Идентификатор безопасности - Security Identifier
В контексте Microsoft Windows NT линия операционные системы, а Идентификатор безопасности (обычно сокращенно SID) - единственное, неизменный идентификатор пользователя, группы пользователей или другого участник безопасности. Участник безопасности имеет один пожизненный идентификатор безопасности (в данном домене), и все свойства участника, включая его имя, связаны с этим идентификатором безопасности. Этот дизайн позволяет переименовать принципала (например, из «Джейн Смит» в «Джейн Джонс»), не затрагивая атрибуты безопасности объектов, которые относятся к принципалу.
Обзор
Windows предоставляет или запрещает доступ и привилегии к ресурсам на основе списки контроля доступа (ACL), которые используют идентификаторы безопасности для уникальной идентификации пользователей и их членства в группах. Когда пользователь входит в систему, токен доступа создается, который содержит идентификаторы безопасности пользователя и группы, а также уровень привилегий пользователя. Когда пользователь запрашивает доступ к ресурсу, маркер доступа проверяется по ACL, чтобы разрешить или запретить определенное действие над определенным объектом.
Идентификаторы безопасности полезны для устранения проблем с аудитами безопасности, миграцией серверов Windows и домена.
Формат SID можно проиллюстрировать на следующем примере: «S-1-5-21-3623811015-3361044348-30300820-1013»;
| S | 1 | 5 | 21-3623811015-3361044348-30300820 | 1013 |
|---|---|---|---|---|
| Строка - это SID. | Уровень редакции (версия спецификации SID). | Значение авторитетного идентификатора. | Значение субавторитета В данном случае это домен (21) с уникальным идентификатором. Может быть несколько подчиненных органов, особенно если учетная запись существует в домене и принадлежит к разным группам.[1] | А Относительный ID (ИЗБАВЛЯТЬ). Любая группа или пользователь, которые не созданы по умолчанию, будут иметь относительный идентификатор 1000 или больше. |
Значения авторизации идентификаторов
Значение авторитетного идентификатора
Известные авторитетные значения идентификатора:[2][3]
| Десятичный | Имя | Показать имя | Впервые представил | Рекомендации | Примечания | |
|---|---|---|---|---|---|---|
| 0 | Нулевой авторитет | например «Никто» (С-1-0-0) | ||||
| 1 | Мировая власть | (не показано) | например хорошо известные группы, такие как «Все». (С-1-1-0) | |||
| 2 | Местная власть | (не показано) | например отметьте SID, как "CONSOLE LOGON" | |||
| 3 | Авторитет Создателя | |||||
| 4 | Неуникальный авторитет | |||||
| 5 | NT Authority | ВЛАСТЬ NT | Управляется подсистемой безопасности NT. Есть много подведомственных органов, таких как "BUILTIN", и каждый Active Directory Домен | |||
| 7 | Интернет $ | Интернет $ | Windows 7 | |||
| 9 | Полномочия диспетчера ресурсов | Windows Server 2003 | [4][5] | |||
| 11 | Центр учетной записи Microsoft | MicrosoftAccount | Windows 8 | [6] | ||
| 12 | Azure Active Directory | AzureAD | Windows 10 | |||
| 15 | Возможности SID | Windows 8 Windows Server 2012 | [7][8][9] | Все идентификаторы безопасности возможностей начинаются с S-1-15-3. По замыслу SID возможности не преобразуется в понятное имя. Наиболее часто используемый SID возможности следующий: S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 | ||
| 16 | Обязательная этикетка | Виндоус виста | Используется как часть Обязательный контроль целостности | |||
| 18 | Утвержденная личность |
Определение идентификатора безопасности возможности:
- Если вы найдете SID в данных реестра, то это SID возможности. По замыслу, оно не разрешается в понятное имя.
- Если вы не найдете SID в данных реестра, значит, это неизвестный идентификатор безопасности. Вы можете продолжить устранение неполадок как с обычным неразрешенным SID. Имейте в виду, что существует небольшая вероятность того, что SID может быть сторонним SID, и в этом случае он не будет преобразован в понятное имя.
Согласно поддержке Microsoft:[8] Важный - НЕ УДАЛЯЙТЕ SIDS возможностей из разрешений реестра или файловой системы. Удаление идентификатора безопасности возможности из разрешений файловой системы или разрешений реестра может привести к неправильной работе функции или приложения. После удаления идентификатора безопасности возможности вы не сможете использовать пользовательский интерфейс для его повторного добавления.
S-1-5 Значения субавторитета[7][10][11]
| Десятичный | Имя | Показать имя | Впервые представил | Рекомендации | Примечания |
|---|---|---|---|---|---|
| 18 | LocalSystem | LocalSystem | Windows 7 | Пример: S-1-5-18 - это известный sid для LocalSystem. | |
| 21 | Домен | ||||
| 32 | Пользователи | Windows 7 | Пример: S-1-5-32-568 - это идентификатор группы для IIS_IUSRS. | ||
| 64 | Аутентификация | 10 - NTLM 14 - SChannel 21 - Дайджест | |||
| 80 | NT Сервис | NT СЕРВИС | Виндоус виста | Может быть «Служба NT виртуального аккаунта», например, для установок SQL Server. S-1-5-80-0 соответствует "NT SERVICEALL SERVICES" | |
| 82 | Пул приложений IIS | AppPoolIdentity | Windows 7 | ||
| 83 | Виртуальные машины | NT ВИРТУАЛЬНАЯ МАШИНА | Windows 7 | "Виртуальная машина NT {guid}", где {guid} - идентификатор GUID виртуальной машины Hyper-V. S-1-5-83-0 - это идентификатор группы для "NT VIRTUAL MACHINEVirtual Machines" | |
| 90 | Оконный менеджер | Группа диспетчера Windows (DWM) | Windows 7 | Класс оконного менеджера | |
| 96 | Драйвер шрифта | Windows 7 | Драйвер шрифта HostUMFD-1 |
Виртуальные учетные записи определены для фиксированного набора имен классов, но имя пользователя не определено. В виртуальной учетной записи доступно почти бесконечное количество учетных записей. Имена работают как «Account ClassAccount Name» или «AppPoolIdentityDefault App Pool». SID основан на хэше SHA-1 имени в нижнем регистре. Каждой виртуальной учетной записи могут быть предоставлены разрешения отдельно, поскольку каждая из них сопоставляется с отдельным идентификатором безопасности. Это предотвращает проблему «перекрестных разрешений», когда каждая служба назначается одному и тому же классу NT AUTHORITY (например, «NT AUTHORITYNetwork Service»)
Идентификаторы безопасности машины
SID машины (S-1-5-21) хранится в БЕЗОПАСНОСТЬ куст реестра, расположенный в БЕЗОПАСНОСТЬSAMDomainsAccount, этот ключ имеет два значения F и V. В V value - это двоичное значение, в которое в конце данных (последние 96 бит) встроен идентификатор безопасности компьютера.[12] (Некоторые источники утверждают, что вместо этого он хранится в кусте SAM.) Резервная копия находится в SECURITYPolicyPolAcDmS @.
NewSID гарантирует, что этот SID находится в стандартном формате NT 4.0 (3 32-битных субавторитета, которым предшествуют три 32-битных поля полномочий). Затем NewSID генерирует новый случайный SID для компьютера. Генерация NewSID прилагает огромные усилия для создания действительно случайного 96-битного значения, которое заменяет 96-битное значение трех значений субавторитета, составляющих SID компьютера.
— Readme NewSID
Формат субавторитета SID машины также используется для SID домена. В этом случае машина считается своим собственным локальным доменом.
SID машины декодирования
Идентификатор безопасности компьютера хранится в реестре в виде необработанных байтов. Чтобы преобразовать его в более распространенную числовую форму, его интерпретируют как три прямой порядок байтов 32-битные целые числа, преобразует их в десятичные числа и добавляет между ними дефисы.
| Пример | 2E, 43, AC, 40, C0,85,38,5D, 07, E5,3B, 2B |
|---|---|
| 1) Разделите байты на 3 части: | 2E, 43, AC, 40 - C0,85,38,5D - 07, E5,3B, 2B |
| 2) Измените порядок байтов в каждом разделе: | 40, AC, 43,2E - 5D, 38,85, C0 - 2B, 3B, E5,07 |
| 3) Преобразуйте каждый раздел в десятичный: | 1085031214 - 1563985344 - 725345543 |
| 4) Добавьте префикс SID машины: | S-1-5-21-1085031214-1563985344-725345543 |
Другое использование
SID машины также используется некоторыми бесплатными пробными программами, такими как Start8, чтобы идентифицировать компьютер, чтобы он не смог перезапустить пробную версию.[нужна цитата ]
Идентификаторы безопасности службы
Идентификаторы безопасности службы - это функция изоляция службы, функция безопасности, представленная в Виндоус виста и Windows Server 2008.[13] Любая служба со свойством типа SID «неограниченный» будет иметь SID для конкретной службы, добавленный к токену доступа процесса узла службы. Назначение идентификаторов безопасности служб - разрешить управление разрешениями для одной службы без необходимости создания учетных записей служб и дополнительных административных затрат.
Каждый SID службы - это локальный SID на уровне компьютера, созданный на основе имени службы по следующей формуле:
S-1-5-80- {SHA-1 (имя службы в верхнем регистре, закодированное как UTF-16 )}
В sc.exe команда может использоваться для генерации произвольного SID службы:
C:>sc.exe показываетid dnscacheИМЯ: dnscacheИД ОБСЛУЖИВАНИЯ: S-1-5-80-859482183-879914841-863379149-1145462774-2388618682СТАТУС: АктивенСлужба также может называться NT SERVICE
Дублированные SID
 | Эта статья тон или стиль могут не отражать энциклопедический тон используется в Википедии. (Апрель 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
В рабочей группе компьютеров под управлением Windows NT / 2K / XP пользователь может получить неожиданный доступ к общим файлам или файлам, хранящимся на съемном носителе. Этого можно избежать, установив списки контроля доступа для восприимчивого файла, так что действующие разрешения определяются идентификатором безопасности пользователя. Если этот идентификатор безопасности пользователя дублируется на другом компьютере, пользователь второго компьютера с таким же идентификатором безопасности может иметь доступ к файлам, защищенным пользователем первого компьютера. Это часто может произойти, когда идентификаторы безопасности машины дублируются клоном диска, что является обычным для пиратских копий. Идентификаторы безопасности пользователя создаются на основе идентификатора безопасности компьютера и последовательного относительного идентификатора.
Когда компьютеры объединяются в домен (например, Active Directory или домен NT), каждому компьютеру предоставляется уникальный SID домена, который пересчитывается каждый раз, когда компьютер входит в домен. Этот SID похож на SID машины. В результате обычно не возникает серьезных проблем с дублированием SID, когда компьютеры являются членами домена, особенно если локальные учетные записи пользователей не используются. Если используются локальные учетные записи пользователей, существует потенциальная проблема безопасности, аналогичная описанной выше, но проблема ограничивается файлами и ресурсами, защищенными локальными пользователями, а не пользователями домена.
Дублированные SID обычно не являются проблемой для систем Microsoft Windows, хотя другие программы, которые обнаруживают SID, могут иметь проблемы с его безопасностью.
Microsoft раньше предоставляла Марк Руссинович Утилита "NewSID" как часть Sysinternals для изменения SID машины.[14] Он был удален и удален из загрузки 2 ноября 2009 года. Руссинович объяснил, что ни он, ни команда безопасности Windows не могли придумать ни одной ситуации, когда дублирующиеся идентификаторы безопасности могли бы вызвать какие-либо проблемы, потому что идентификаторы безопасности компьютеров никогда не отвечают за блокирование доступа к сети. .[15]
В настоящее время единственным поддерживаемым механизмом дублирования дисков для операционных систем Windows является использование SysPrep, который создает новые идентификаторы безопасности.
Смотрите также
- Контроль доступа
- Матрица контроля доступа
- Дискреционный контроль доступа (ЦАП)
- Глобальный уникальный идентификатор (GUID)
- Обязательный контроль доступа (MAC)
- Контроль доступа на основе ролей (RBAC)
- Безопасность на основе возможностей
- Постклонирование операций
Рекомендации
- ^ "В Windows какой SID (идентификатор безопасности)?". kb.iu.edu. Получено 2020-09-02.
- ^ «Хорошо известные идентификаторы безопасности в операционных системах Windows». support.microsoft.com. Получено 12 декабря 2019.
- ^ openspecs-office. «[MS-DTYP]: известные структуры SID». docs.microsoft.com. Получено 2020-09-03.
- ^ См. Раздел «Пользовательские принципы» на https://msdn.microsoft.com/en-us/library/aa480244.aspx
- ^ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
- ^ «Пример влияния учетных записей Microsoft на API Windows в Windows 8 / 8.1 - Блог группы поддержки Windows SDK». blogs.msdn.microsoft.com.
- ^ а б support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems. Получено 2020-09-02. Отсутствует или пусто
| название =(помощь) - ^ а б support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names. Получено 2020-09-02. Отсутствует или пусто
| название =(помощь) - ^ lastnameholiu. «Возможности констант SID (Winnt.h) - приложения Win32». docs.microsoft.com. Получено 2020-09-02.
- ^ «Учетные записи везде: часть 1, виртуальные учетные записи». 1E. 2017-11-24. Получено 2020-09-02.
- ^ «Идентификационные идентификаторы пула приложений IIS». зимовье. 2020-09-02.
- ^ «Утилита MS TechNet NewSID - как она работает». База знаний. Microsoft. 1 ноября 2006 г.. Получено 2008-08-05.
- ^ «Функция изоляции служб Windows». Статья. Windows для ИТ-специалистов. 6 июня 2012 г.. Получено 7 декабря, 2012.
- ^ "NewSID v4.10". Windows Sysinternals. Microsoft. 2006-11-01.
- ^ Руссинович Марк (2009-11-03). "Миф о машинном дублировании SID". Блоги TechNet. Microsoft.
внешняя ссылка
- Официальный
- ObjectSID и Active Directory
- Microsoft TechNet: Server 2003: Технический справочник по идентификаторам безопасности
- MSKB154599: Как связать имя пользователя с идентификатором безопасности
- MSKB243330: хорошо известные идентификаторы безопасности в операционных системах Windows.
- Инструменты поддержки для Windows Server 2003 и Windows XP
- Идентификаторы безопасности - документы по безопасности Windows
- Другой