WikiDer > Идентификатор безопасности

Security Identifier

В контексте Microsoft Windows NT линия операционные системы, а Идентификатор безопасности (обычно сокращенно SID) - единственное, неизменный идентификатор пользователя, группы пользователей или другого участник безопасности. Участник безопасности имеет один пожизненный идентификатор безопасности (в данном домене), и все свойства участника, включая его имя, связаны с этим идентификатором безопасности. Этот дизайн позволяет переименовать принципала (например, из «Джейн Смит» в «Джейн Джонс»), не затрагивая атрибуты безопасности объектов, которые относятся к принципалу.

Обзор

Windows предоставляет или запрещает доступ и привилегии к ресурсам на основе списки контроля доступа (ACL), которые используют идентификаторы безопасности для уникальной идентификации пользователей и их членства в группах. Когда пользователь входит в систему, токен доступа создается, который содержит идентификаторы безопасности пользователя и группы, а также уровень привилегий пользователя. Когда пользователь запрашивает доступ к ресурсу, маркер доступа проверяется по ACL, чтобы разрешить или запретить определенное действие над определенным объектом.

Идентификаторы безопасности полезны для устранения проблем с аудитами безопасности, миграцией серверов Windows и домена.

Формат SID можно проиллюстрировать на следующем примере: «S-1-5-21-3623811015-3361044348-30300820-1013»;

S1521-3623811015-3361044348-303008201013
Строка - это SID.Уровень редакции (версия спецификации SID).Значение авторитетного идентификатора.Значение субавторитета
В данном случае это домен (21) с уникальным идентификатором.

Может быть несколько подчиненных органов,

особенно если учетная запись существует в домене

и принадлежит к разным группам.[1]

А Относительный ID (ИЗБАВЛЯТЬ). Любая группа или пользователь, которые не созданы по умолчанию, будут иметь относительный идентификатор 1000 или больше.

Значения авторизации идентификаторов

Значение авторитетного идентификатора

Известные авторитетные значения идентификатора:[2][3]

ДесятичныйИмяПоказать имяВпервые представилРекомендацииПримечания
0Нулевой авторитетнапример «Никто» (С-1-0-0)
1Мировая власть(не показано)например хорошо известные группы, такие как «Все». (С-1-1-0)
2Местная власть(не показано)например отметьте SID, как "CONSOLE LOGON"
3Авторитет Создателя
4Неуникальный авторитет
5NT AuthorityВЛАСТЬ NTУправляется подсистемой безопасности NT. Есть много подведомственных органов, таких как "BUILTIN", и каждый Active Directory Домен
7Интернет $Интернет $Windows 7
9Полномочия диспетчера ресурсовWindows Server 2003[4][5]
11Центр учетной записи MicrosoftMicrosoftAccountWindows 8[6]
12Azure Active DirectoryAzureADWindows 10
15Возможности SIDWindows 8

Windows Server 2012

[7][8][9]Все идентификаторы безопасности возможностей начинаются с S-1-15-3.

По замыслу SID возможности не преобразуется в понятное имя.

Наиболее часто используемый SID возможности следующий:

S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681

16Обязательная этикеткаВиндоус вистаИспользуется как часть Обязательный контроль целостности
18Утвержденная личность

Определение идентификатора безопасности возможности:

  • Если вы найдете SID в данных реестра, то это SID возможности. По замыслу, оно не разрешается в понятное имя.
  • Если вы не найдете SID в данных реестра, значит, это неизвестный идентификатор безопасности. Вы можете продолжить устранение неполадок как с обычным неразрешенным SID. Имейте в виду, что существует небольшая вероятность того, что SID может быть сторонним SID, и в этом случае он не будет преобразован в понятное имя.

Согласно поддержке Microsoft:[8] Важный - НЕ УДАЛЯЙТЕ SIDS возможностей из разрешений реестра или файловой системы. Удаление идентификатора безопасности возможности из разрешений файловой системы или разрешений реестра может привести к неправильной работе функции или приложения. После удаления идентификатора безопасности возможности вы не сможете использовать пользовательский интерфейс для его повторного добавления.

S-1-5 Значения субавторитета[7][10][11]

ДесятичныйИмяПоказать имяВпервые представилРекомендацииПримечания
18LocalSystemLocalSystemWindows 7Пример: S-1-5-18 - это известный sid для LocalSystem.
21Домен
32ПользователиWindows 7Пример: S-1-5-32-568 - это идентификатор группы для IIS_IUSRS.
64Аутентификация10 - NTLM

14 - SChannel

21 - Дайджест

80NT СервисNT СЕРВИСВиндоус вистаМожет быть «Служба NT виртуального аккаунта», например, для установок SQL Server.

S-1-5-80-0 соответствует "NT SERVICEALL SERVICES"

82Пул приложений IISAppPoolIdentityWindows 7
83Виртуальные машиныNT ВИРТУАЛЬНАЯ МАШИНАWindows 7"Виртуальная машина NT {guid}", где {guid} - идентификатор GUID виртуальной машины Hyper-V.

S-1-5-83-0 - это идентификатор группы для "NT VIRTUAL MACHINEVirtual Machines"

90Оконный менеджерГруппа диспетчера Windows (DWM)Windows 7Класс оконного менеджера
96Драйвер шрифтаWindows 7Драйвер шрифта HostUMFD-1

Виртуальные учетные записи определены для фиксированного набора имен классов, но имя пользователя не определено. В виртуальной учетной записи доступно почти бесконечное количество учетных записей. Имена работают как «Account ClassAccount Name» или «AppPoolIdentityDefault App Pool». SID основан на хэше SHA-1 имени в нижнем регистре. Каждой виртуальной учетной записи могут быть предоставлены разрешения отдельно, поскольку каждая из них сопоставляется с отдельным идентификатором безопасности. Это предотвращает проблему «перекрестных разрешений», когда каждая служба назначается одному и тому же классу NT AUTHORITY (например, «NT AUTHORITYNetwork Service»)

Идентификаторы безопасности машины

SID машины (S-1-5-21) хранится в БЕЗОПАСНОСТЬ куст реестра, расположенный в БЕЗОПАСНОСТЬSAMDomainsAccount, этот ключ имеет два значения F и V. В V value - это двоичное значение, в которое в конце данных (последние 96 бит) встроен идентификатор безопасности компьютера.[12] (Некоторые источники утверждают, что вместо этого он хранится в кусте SAM.) Резервная копия находится в SECURITYPolicyPolAcDmS @.

NewSID гарантирует, что этот SID находится в стандартном формате NT 4.0 (3 32-битных субавторитета, которым предшествуют три 32-битных поля полномочий). Затем NewSID генерирует новый случайный SID для компьютера. Генерация NewSID прилагает огромные усилия для создания действительно случайного 96-битного значения, которое заменяет 96-битное значение трех значений субавторитета, составляющих SID компьютера.

— Readme NewSID

Формат субавторитета SID машины также используется для SID домена. В этом случае машина считается своим собственным локальным доменом.

SID машины декодирования

Идентификатор безопасности компьютера хранится в реестре в виде необработанных байтов. Чтобы преобразовать его в более распространенную числовую форму, его интерпретируют как три прямой порядок байтов 32-битные целые числа, преобразует их в десятичные числа и добавляет между ними дефисы.

Пример
2E, 43, AC, 40, C0,85,38,5D, 07, E5,3B, 2B
1) Разделите байты на 3 части:
2E, 43, AC, 40 - C0,85,38,5D - 07, E5,3B, 2B
2) Измените порядок байтов в каждом разделе:
40, AC, 43,2E - 5D, 38,85, C0 - 2B, 3B, E5,07
3) Преобразуйте каждый раздел в десятичный:
1085031214 - 1563985344 - 725345543
4) Добавьте префикс SID машины:
S-1-5-21-1085031214-1563985344-725345543

Другое использование

SID машины также используется некоторыми бесплатными пробными программами, такими как Start8, чтобы идентифицировать компьютер, чтобы он не смог перезапустить пробную версию.[нужна цитата]

Идентификаторы безопасности службы

Идентификаторы безопасности службы - это функция изоляция службы, функция безопасности, представленная в Виндоус виста и Windows Server 2008.[13] Любая служба со свойством типа SID «неограниченный» будет иметь SID для конкретной службы, добавленный к токену доступа процесса узла службы. Назначение идентификаторов безопасности служб - разрешить управление разрешениями для одной службы без необходимости создания учетных записей служб и дополнительных административных затрат.

Каждый SID службы - это локальный SID на уровне компьютера, созданный на основе имени службы по следующей формуле:

S-1-5-80- {SHA-1 (имя службы в верхнем регистре, закодированное как UTF-16)}

В sc.exe команда может использоваться для генерации произвольного SID службы:

C:>sc.exe показываетid dnscacheИМЯ: dnscacheИД ОБСЛУЖИВАНИЯ: S-1-5-80-859482183-879914841-863379149-1145462774-2388618682СТАТУС: Активен

Служба также может называться NT SERVICE (например, «NT SERVICEdnscache»).

Дублированные SID

В рабочей группе компьютеров под управлением Windows NT / 2K / XP пользователь может получить неожиданный доступ к общим файлам или файлам, хранящимся на съемном носителе. Этого можно избежать, установив списки контроля доступа для восприимчивого файла, так что действующие разрешения определяются идентификатором безопасности пользователя. Если этот идентификатор безопасности пользователя дублируется на другом компьютере, пользователь второго компьютера с таким же идентификатором безопасности может иметь доступ к файлам, защищенным пользователем первого компьютера. Это часто может произойти, когда идентификаторы безопасности машины дублируются клоном диска, что является обычным для пиратских копий. Идентификаторы безопасности пользователя создаются на основе идентификатора безопасности компьютера и последовательного относительного идентификатора.

Когда компьютеры объединяются в домен (например, Active Directory или домен NT), каждому компьютеру предоставляется уникальный SID домена, который пересчитывается каждый раз, когда компьютер входит в домен. Этот SID похож на SID машины. В результате обычно не возникает серьезных проблем с дублированием SID, когда компьютеры являются членами домена, особенно если локальные учетные записи пользователей не используются. Если используются локальные учетные записи пользователей, существует потенциальная проблема безопасности, аналогичная описанной выше, но проблема ограничивается файлами и ресурсами, защищенными локальными пользователями, а не пользователями домена.

Дублированные SID обычно не являются проблемой для систем Microsoft Windows, хотя другие программы, которые обнаруживают SID, могут иметь проблемы с его безопасностью.

Microsoft раньше предоставляла Марк РуссиновичУтилита "NewSID" как часть Sysinternals для изменения SID машины.[14] Он был удален и удален из загрузки 2 ноября 2009 года. Руссинович объяснил, что ни он, ни команда безопасности Windows не могли придумать ни одной ситуации, когда дублирующиеся идентификаторы безопасности могли бы вызвать какие-либо проблемы, потому что идентификаторы безопасности компьютеров никогда не отвечают за блокирование доступа к сети. .[15]

В настоящее время единственным поддерживаемым механизмом дублирования дисков для операционных систем Windows является использование SysPrep, который создает новые идентификаторы безопасности.

Смотрите также

Рекомендации

  1. ^ "В Windows какой SID (идентификатор безопасности)?". kb.iu.edu. Получено 2020-09-02.
  2. ^ «Хорошо известные идентификаторы безопасности в операционных системах Windows». support.microsoft.com. Получено 12 декабря 2019.
  3. ^ openspecs-office. «[MS-DTYP]: известные структуры SID». docs.microsoft.com. Получено 2020-09-03.
  4. ^ См. Раздел «Пользовательские принципы» на https://msdn.microsoft.com/en-us/library/aa480244.aspx
  5. ^ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
  6. ^ «Пример влияния учетных записей Microsoft на API Windows в Windows 8 / 8.1 - Блог группы поддержки Windows SDK». blogs.msdn.microsoft.com.
  7. ^ а б support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems. Получено 2020-09-02. Отсутствует или пусто | название = (помощь)
  8. ^ а б support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names. Получено 2020-09-02. Отсутствует или пусто | название = (помощь)
  9. ^ lastnameholiu. «Возможности констант SID (Winnt.h) - приложения Win32». docs.microsoft.com. Получено 2020-09-02.
  10. ^ «Учетные записи везде: часть 1, виртуальные учетные записи». 1E. 2017-11-24. Получено 2020-09-02.
  11. ^ «Идентификационные идентификаторы пула приложений IIS». зимовье. 2020-09-02.
  12. ^ «Утилита MS TechNet NewSID - как она работает». База знаний. Microsoft. 1 ноября 2006 г.. Получено 2008-08-05.
  13. ^ «Функция изоляции служб Windows». Статья. Windows для ИТ-специалистов. 6 июня 2012 г.. Получено 7 декабря, 2012.
  14. ^ "NewSID v4.10". Windows Sysinternals. Microsoft. 2006-11-01.
  15. ^ Руссинович Марк (2009-11-03). "Миф о машинном дублировании SID". Блоги TechNet. Microsoft.

внешняя ссылка