Идентификатор безопасности

Идентификатор, используемый для учетных записей пользователей и групп в Microsoft Windows.

В контексте линейки операционных систем Microsoft Windows NT идентификатор безопасности ( SID ) — это уникальный, неизменяемый идентификатор пользователя, группы пользователей или другого принципала безопасности . Принципал безопасности имеет единственный SID на всю жизнь (в данном домене), и все свойства принципала, включая его имя, связаны с SID. Такая конструкция позволяет переименовывать принципала (например, с «Джейн Смит» на «Джейн Джонс»), не затрагивая атрибуты безопасности объектов, которые ссылаются на принципала.

Обзор

Windows предоставляет или запрещает доступ и привилегии к ресурсам на основе списков управления доступом (ACL), которые используют SID для уникальной идентификации пользователей и их членства в группах. Когда пользователь входит в систему на компьютере, генерируется токен доступа , содержащий SID пользователя и группы, а также уровень привилегий пользователя. Когда пользователь запрашивает доступ к ресурсу, токен доступа проверяется по ACL, чтобы разрешить или запретить определенное действие над определенным объектом.

Идентификаторы безопасности полезны для устранения неполадок, связанных с аудитом безопасности, Windows Server и миграцией доменов.

Формат SID можно проиллюстрировать на следующем примере: «S-1-5-21-3623811015-3361044348-30300820-1013»:

Значения полномочий идентификатора

Значение авторитета идентификатора

Известные значения авторитетности идентификатора: ^{[1] [2]}

Определение SID возможности:

• Если пользователь находит SID в данных реестра, то это SID возможности. По замыслу он не будет преобразован в понятное имя.
• Если пользователь не находит SID в данных реестра, то это не известный SID возможности. Его все еще можно устранить как обычный неразрешенный SID. Существует небольшая вероятность того, что SID может быть сторонним SID возможности, и в этом случае он не будет разрешен в понятное имя.

Согласно поддержке Microsoft: ^[7] Важно - НЕ УДАЛЯЙТЕ SIDS возможностей из разрешений реестра или файловой системы. Удаление SID возможностей из разрешений файловой системы или разрешений реестра может привести к неправильной работе функции или приложения. После удаления SID возможностей вы не сможете использовать пользовательский интерфейс для его повторного добавления.

S-1-5 Значения субавторитетов[6][9][10]

Виртуальные учетные записи определены для фиксированного набора имен классов, но имя учетной записи не определено. В виртуальной учетной записи доступно почти бесконечное количество учетных записей. Имена работают как «Класс учетной записи\Имя учетной записи», так и «AppPoolIdentity\Default App Pool». SID основан на хэше SHA-1 имени в нижнем регистре. Каждой виртуальной учетной записи можно предоставить разрешения отдельно, так как каждая сопоставляется с отдельным SID. Это предотвращает проблему «перекрестного совместного использования разрешений», когда каждая служба назначается одному и тому же классу NT AUTHORITY (например, «NT AUTHORITY\Network Service»).

SID машины

SID машины (S-1-5-21) хранится в кусте реестра SECURITY , расположенном по адресу SECURITY\SAM\Domains\Account , этот ключ имеет два значения F и V . Значение V представляет собой двоичное значение, в конце данных которого (последние 96 бит) встроен SID компьютера. ^[11] (Некоторые источники утверждают, что вместо этого он хранится в кусте SAM.) Резервная копия находится по адресу SECURITY\Policy\PolAcDmS\@ .

NewSID гарантирует, что этот SID находится в стандартном формате NT 4.0 (3 32-битных поддоверенности, которым предшествуют три 32-битных поля полномочий). Затем NewSID генерирует новый случайный SID для компьютера. Генерация NewSID требует больших усилий для создания действительно случайного 96-битного значения, которое заменяет 96 бит 3 значений поддоверенностей, составляющих SID компьютера.

—  Новый SID readme

Формат субавторитета SID машины используется также для SID домена. В этом случае машина считается своим собственным локальным доменом.

Декодирующая машина SID

SID машины хранится в реестре в виде сырых байтов. Чтобы преобразовать его в более распространенную числовую форму, его интерпретируют как три 32-битных целых числа с прямым порядком байтов , преобразуют их в десятичное число и добавляют между ними дефисы.

Другие применения

SID машины также используется некоторыми бесплатными пробными программами, такими как Start8, для идентификации компьютера, чтобы он не мог перезапустить пробную версию. ^{[ необходима цитата ]}

SID сервиса

Идентификаторы безопасности служб являются функцией изоляции служб, функцией безопасности, представленной в Windows Vista и Windows Server 2008. [ ^12] Любая служба со свойством типа SID "unrestricted" будет иметь специфичный для службы идентификатор безопасности, добавленный к маркеру доступа процесса-хоста службы. Цель идентификаторов безопасности служб — разрешить управление разрешениями для одной службы без необходимости создания учетных записей служб, что является административными издержками.

Каждый SID службы — это локальный SID машинного уровня, сгенерированный из имени службы с использованием следующей формулы:

S-1-5-80-{SHA-1(service name in upper case encoded as UTF-16)}

Эту sc.exe команду можно использовать для генерации произвольного SID службы:

Службу также можно называть NT SERVICE\<имя_службы> (например, «NT SERVICE\dnscache»).

Дублированные SID

В рабочей группе компьютеров под управлением Windows NT/2K/XP пользователь может получить неожиданный доступ к общим файлам или файлам, хранящимся на съемном носителе. Это можно предотвратить, настроив списки контроля доступа для уязвимого файла, так что эффективные разрешения будут определяться SID пользователя. Если этот SID пользователя дублируется на другом компьютере, пользователь второго компьютера с тем же SID может получить доступ к файлам, которые пользователь первого компьютера защитил. Это часто может происходить, когда SID машины дублируются клоном диска, что обычно происходит с пиратскими копиями. SID пользователя создаются на основе SID машины и последовательного относительного ID.

Когда компьютеры объединяются в домен (например, Active Directory или домен NT), каждому компьютеру предоставляется уникальный SID домена, который пересчитывается каждый раз, когда компьютер входит в домен. Этот SID похож на SID машины. В результате, как правило, не возникает существенных проблем с дублированием SID, когда компьютеры являются членами домена, особенно если не используются локальные учетные записи пользователей. Если используются локальные учетные записи пользователей, существует потенциальная проблема безопасности, аналогичная описанной выше, но проблема ограничивается файлами и ресурсами, защищенными локальными пользователями, а не пользователями домена.

Дублирование SID обычно не является проблемой для систем Microsoft Windows, хотя другие программы, обнаруживающие SID, могут иметь проблемы с безопасностью.

Microsoft предоставляла утилиту "NewSID" Марка Руссиновича как часть Sysinternals для изменения SID машины. ^[13] Она была упразднена и удалена из загрузки 2 ноября 2009 года. Объяснение Руссиновича заключается в том, что ни он, ни команда безопасности Windows не могли представить себе ситуацию, в которой дублирующиеся SID могли бы вызвать какие-либо проблемы, поскольку SID машины никогда не отвечают за ограничение доступа к сети. ^[14]

В настоящее время единственным поддерживаемым механизмом дублирования дисков для операционных систем Windows является использование SysPrep , который генерирует новые SID.

Смотрите также

• Контроль доступа
• Матрица контроля доступа
• Дискреционный контроль доступа (DAC)
• Глобальный уникальный идентификатор (GUID)
• Обязательный контроль доступа (MAC)
• Управление доступом на основе ролей (RBAC)
• Безопасность на основе возможностей
• Операции после клонирования

Ссылки

1. "Известные идентификаторы безопасности в операционных системах Windows". support.microsoft.com . Получено 12 декабря 2019 г. .
2. openspecs-office. "[MS-DTYP]: Известные структуры SID". docs.microsoft.com . Получено 2020-09-03 .
3. См. раздел «Пользовательские принципы» на https://msdn.microsoft.com/en-us/library/aa480244.aspx
4. "Larry Osterman's WebLog". 17 июля 2020 г.
5. «Пример влияния учетных записей Microsoft на API Windows в Windows 8/8.1 – Блог группы поддержки Windows SDK». blogs.msdn.microsoft.com . 12 декабря 2014 г.
6. "Идентификаторы безопасности". support.microsoft.com . 28 августа 2021 г. . Получено 2020-09-02 .
7. "Некоторые SID не преобразуются в понятные имена". support.microsoft.com . 24 сентября 2021 г. Получено 2020-09-02 .
8. lastnameholiu. "Константы SID возможностей (Winnt.h) - приложения Win32". docs.microsoft.com . Получено 2020-09-02 .
9. "Accounts Everywhere: часть 1, Virtual Accounts". 1E . 2017-11-24 . Получено 2020-09-02 .
10. "IIS AppPool Identity SID". winterdom . 2020-09-02.
11. "MS TechNet NewSID Utility - Как это работает". База знаний . Microsoft . 1 ноября 2006 г. Получено 2008-08-05 .
12. "Функция изоляции служб Windows". Статья . Windows IT Pro. 6 июня 2012 г. Получено 7 декабря 2012 г.
13. "NewSID v4.10". Windows Sysinternals . Microsoft. 2006-11-01.
14. Руссинович, Марк (2009-11-03). «Миф о дублировании SID машины». Блоги TechNet . Microsoft.

Внешние ссылки

• Официально
  • ObjectSID и Active Directory
  • Microsoft TechNet: Server 2003: Технический справочник по идентификаторам безопасности
  • MSKB154599: Как связать имя пользователя с идентификатором безопасности
  • MSKB243330: Известные идентификаторы безопасности в операционных системах Windows
  • Инструменты поддержки для Windows Server 2003 и Windows XP
  • Идентификаторы безопасности — документы по безопасности Windows
• Другой
  • Почему важно понимать SID
  • Атрибуты дескриптора безопасности Microsoft (SID): Учебная статья об обработке и преобразовании SID в скриптах