Säkerhetsidentifierare
Inom ramen för Microsoft Windows NT- serien av operativsystem är en säkerhetsidentifierare (vanligtvis förkortad SID ) en unik, oföränderlig identifierare för en användare, användargrupp eller annan säkerhetsprincip . En säkerhetsrektor har ett enda SID för livet (i en given domän), och alla egenskaper hos huvudmannen, inklusive dess namn, är associerade med SID. Denna design gör det möjligt att byta namn på en rektor (till exempel från "Jane Smith" till "Jane Jones") utan att det påverkar säkerhetsattributen för objekt som hänvisar till rektorn.
Översikt
Windows beviljar eller nekar åtkomst och privilegier till resurser baserade på åtkomstkontrollistor (ACL), som använder SID för att unikt identifiera användare och deras gruppmedlemskap. När en användare loggar in på en dator genereras en åtkomsttoken som innehåller användar- och grupp-SID:n och användarbehörighetsnivå. När en användare begär åtkomst till en resurs kontrolleras åtkomsttoken mot ACL:n för att tillåta eller neka en viss åtgärd på ett visst objekt.
SID:n är användbara för att felsöka problem med säkerhetsrevisioner, Windows-server- och domänmigreringar.
Formatet för ett SID kan illustreras med följande exempel: "S-1-5-21-3623811015-3361044348-30300820-1013":
| S | 1 | 5 | 21-3623811015-3361044348-30300820 | 1013 |
|---|---|---|---|---|
| Strängen är en SID. | Revisionsnivån (versionen av SID-specifikationen). | Identifierarens auktoritetsvärde. | Undermyndighetens värde. I detta fall en domän (21) med en unik identifierare. Det kan finnas mer än en undermyndighet, särskilt om kontot finns på en domän och tillhör olika grupper. | Ett relativ-ID (RID). Alla grupper eller användare som inte har skapats som standard kommer att ha ett Relativt ID på 1000 eller högre. |
Identifierare auktoritetsvärden
Identifieringsbehörighetsvärde
Kända identifierare auktoritetsvärden är:
| Decimal | namn | Visningsnamn | Först introducerad | Referenser | Anteckningar |
|---|---|---|---|---|---|
| 0 | Noll myndighet | t.ex. "Ingen" (S-1-0-0) | |||
| 1 | Världsmyndigheten | (inte visad) | t.ex. välkända grupper som "Alla". (S-1-1-0) | ||
| 2 | Lokal myndighet | (inte visad) | t.ex. flagga SID som "CONSOLE LOGON" | ||
| 3 | Skaparens auktoritet | ||||
| 4 | Icke-unik auktoritet | ||||
| 5 | NT-myndigheten | NT MYNDIGHET\ | Hanteras av NT-säkerhetsundersystemet. Det finns många undermyndigheter som "BUILTIN" och varje Active Directory- domän | ||
| 7 | Internet$ | Internet$\ | Windows 7 | ||
| 9 | Resursförvaltarmyndigheten | Windows Server 2003 | |||
| 11 | Microsoft Account Authority | Microsoft konto\ | Windows 8 | ||
| 12 | Azure Active Directory | AzureAD\ | Windows 10 | ||
| 15 | Kapacitets-SID:n | Windows 8 Windows Server 2012 |
Alla kapacitets-SID:n börjar vid S-1-15-3 Genom designen löser sig en förmåga SID inte till ett vänligt namn. Den vanligaste funktions-SID:n är följande: S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-34816934 |
||
| 16 | Obligatorisk etikett\ | Windows Vista | Används som en del av obligatorisk integritetskontroll | ||
| 18 | Påstådd identitet |
Identifiera ett kapacitets-SID:
- Om du hittar SID i registerdata är det ett kapacitets-SID. Genom design kommer det inte att lösas till ett vänligt namn.
- Om du inte hittar SID i registerdata är det inte ett känt SID. Du kan fortsätta att felsöka det som ett normalt olöst SID. Tänk på att det finns en liten chans att SID kan vara ett SID med kapacitet från tredje part, i vilket fall det inte kommer att lösas till ett vänligt namn.
Per Microsoft Support: Viktigt - RADERA INTE kapacitet SIDS från vare sig registret eller filsystemets behörigheter. Att ta bort ett funktions-SID från filsystembehörigheter eller registerbehörigheter kan göra att en funktion eller applikation fungerar felaktigt. När du har tagit bort ett funktions-SID kan du inte använda användargränssnittet för att lägga till det igen.
S-1-5 Undermyndighetsvärden
| Decimal | namn | Visningsnamn | Först introducerad | Referenser | Anteckningar |
|---|---|---|---|---|---|
| 18 | LocalSystem | LocalSystem | Windows 7 | Ex: S-1-5-18 är den välkända sidan för LocalSystem | |
| 21 | Domän | ||||
| 32 | Användare | Windows 7 | Ex: S-1-5-32-568 är grupp-ID för IIS_IUSRS | ||
| 64 | Autentisering | 10 - NTLM 14 - SChannel 21 - Digest |
|||
| 80 | NT Service | NT SERVICE\ | Windows Vista | Kan vara "Virtual Account NT Service" såsom för SQL Server-installationer S-1-5-80-0 motsvarar "NT SERVICE\ALLA SERVICES" |
|
| 82 | IIS AppPool | AppPoolIdentity\ | Windows 7 | ||
| 83 | Virtuella maskiner | NT VIRTUELL MACHINE\ | Windows 7 | "NT Virtual Machine\{guid}" där {guid} är GUID för Hyper-V VM S-1-5-83-0 är grupp-ID för "NT VIRTUAL MACHINE\Virtual Machines" |
|
| 90 | Fönsterhanterare | Windows Manager Group (DWM) | Windows 7 | Fönsterhanterare klass | |
| 96 | Drivrutin för teckensnitt | Windows 7 | Font Driver Host\UMFD-1 |
Virtuella konton definieras för en fast uppsättning klassnamn, men kontonamnet är inte definierat. Det finns ett nästan oändligt antal konton tillgängliga inom ett virtuellt konto. Namnen fungerar som "Kontoklass\Kontonamn" så "AppPoolIdentity\Default App Pool". SID:t är baserat på en SHA-1-hash med gemener. Virtuella konton kan vart och ett ges behörigheter separat eftersom varje mappar till ett eget SID. Detta förhindrar problemet med "korsdelningsbehörigheter" där varje tjänst är tilldelad till samma NT AUTHORITY-klass (som "NT AUTHORITY\Network Service").
Maskinens SID
Maskinens SID (S-1-5-21) lagras i SECURITY -registret som finns på SECURITY\SAM\Domains\Account , denna nyckel har två värden F och V . V - värdet är ett binärt värde som har datorns SID inbäddat i slutet av sina data (sista 96 bitar). (Vissa källor anger att den lagras i SAM-kuben istället.) En säkerhetskopia finns på SECURITY\Policy\PolAcDmS\@ .
NewSID säkerställer att detta SID är i ett standardformat NT 4.0 (3 32-bitars underauktoriteter föregås av tre 32-bitars auktoritetsfält). Därefter genererar NewSID ett nytt slumpmässigt SID för datorn. NewSIDs generation anstränger sig mycket för att skapa ett verkligt slumpmässigt 96-bitars värde, som ersätter 96-bitarna av de 3 underauktoritetsvärdena som utgör ett dator-SID.
— NewSID readme
Maskinens SID-underauktoritetsformat används också för domän-SID:n. En maskin anses vara sin egen lokala domän i detta fall.
Avkodningsmaskin SID
Maskinens SID lagras i en rå-byte-form i registret. För att konvertera det till den vanligare numeriska formen tolkar man det som tre små endian 32-bitars heltal, konverterar dem till decimaler och lägger till bindestreck mellan dem.
| Exempel |
2E,43,AC,40,C0,85,38,5D,07,E5,3B,2B |
|---|---|
| 1) Dela in byten i 3 sektioner: |
2E,43,AC,40 - C0,85,38,5D - 07,E5,3B,2B |
| 2) Vänd om byteordningen i varje avsnitt: |
40,AC,43,2E - 5D,38,85,C0 - 2B,3B,E5,07 |
| 3) Konvertera varje avsnitt till decimal: |
1085031214 - 1563985344 - 725345543 |
| 4) Lägg till maskinens SID-prefix: |
S-1-5-21-1085031214-1563985344-725345543 |
Andra användningsområden
Maskinens SID används också av vissa gratistestprogram, som Start8, för att identifiera datorn så att den inte kan starta om testversionen. [ citat behövs ]
Service SID
Service SID är en funktion för tjänstisolering, en säkerhetsfunktion som introduceras i Windows Vista och Windows Server 2008 . Alla tjänster med egenskapen "obegränsad" SID-typ kommer att ha ett tjänstespecifikt SID lagt till åtkomsttoken för tjänstvärdprocessen. Syftet med Service SID är att tillåta behörigheter för en enskild tjänst att hanteras utan att det krävs att man skapar tjänstekonton, en administrativ overhead.
Varje tjänst-SID är ett lokalt SID på maskinnivå som genereras från tjänstens namn med följande formel:
S-1-5-80-{SHA-1(tjänstens namn i versaler kodad som UTF-16 ) }
Kommandot sc.exe kan användas för att generera ett godtyckligt tjänst-SID :
Tjänsten kan också kallas NT SERVICE\ (t.ex. "NT SERVICE\dnscache").
Duplicerade SID:n
I en arbetsgrupp av datorer som kör Windows NT/2K/XP är det möjligt för en användare att få oväntad åtkomst till delade filer eller filer lagrade på ett flyttbart minne. Detta kan förhindras genom att sätta åtkomstkontrollistor på en mottaglig fil, så att de effektiva behörigheterna bestäms av användarens SID. Om detta användar-SID dupliceras på en annan dator kan en användare av en andra dator som har samma SID ha tillgång till filerna som användaren av en första dator har skyddat. Detta kan ofta hända när maskin-SID:n dupliceras av en diskklon, vanlig för piratkopior. Användar-SID:n är byggda baserat på maskinens SID och ett sekventiellt relativt ID.
När datorerna ansluts till en domän (till exempel Active Directory eller NT-domän) får varje dator ett unikt domän-SID som beräknas om varje gång en dator går in i en domän. Detta SID liknar maskinens SID. Som ett resultat av detta finns det vanligtvis inga betydande problem med dubbletter av SID när datorerna är medlemmar i en domän, särskilt om lokala användarkonton inte används. Om lokala användarkonton används finns det ett potentiellt säkerhetsproblem som liknar det som beskrivs ovan, men problemet är begränsat till filer och resurser som skyddas av lokala användare, i motsats till av domänanvändare.
Duplicerade SID är vanligtvis inte ett problem med Microsoft Windows-system, även om andra program som upptäcker SID kan ha problem med dess säkerhet.
Microsoft brukade tillhandahålla Mark Russinovichs "NewSID"-verktyg som en del av Sysinternals för att ändra ett maskin-SID. Den togs bort och togs bort från nedladdning den 2 november 2009. Russinovichs förklaring är att varken han eller Windows säkerhetsteam kunde komma på någon situation där dubbletter av SID:n skulle kunna orsaka några problem alls, eftersom maskin-SID:n aldrig är ansvariga för gating av nätverksåtkomst .
För närvarande är den enda mekanismen som stöds för att duplicera diskar för Windows-operativsystem genom användning av SysPrep , som genererar nya SID.
Se även
- Åtkomstkontroll
- Matris för åtkomstkontroll
- Diskretionär åtkomstkontroll (DAC)
- Globally Unique Identifier (GUID)
- Obligatorisk åtkomstkontroll (MAC)
- Rollbaserad åtkomstkontroll (RBAC)
- Kapacitetsbaserad säkerhet
- Postkloningsoperationer
externa länkar
- Officiell
- ObjectSID och Active Directory
- Microsoft TechNet: Server 2003: Teknisk referens för säkerhetsidentifierare
- MSKB154599: Hur man associerar ett användarnamn med en säkerhetsidentifierare
- MSKB243330: Välkända säkerhetsidentifierare i Windows-operativsystem
- Supportverktyg för Windows Server 2003 och Windows XP
- Säkerhetsidentifierare - Windows Säkerhetsdokument
- Övrig