Identifikátor zabezpečení - Security Identifier

V kontextu Microsoft Windows NT řada operační systémy, a Identifikátor zabezpečení (běžně zkráceno SID) je jedinečný, neměnný identifikátor uživatele, skupiny uživatelů nebo jiného jistina zabezpečení. Instanční objekt zabezpečení má jediný identifikátor SID pro celý život (v dané doméně) a všechny vlastnosti hlavního objektu, včetně jeho názvu, jsou přidruženy k identifikátoru SID. Tento návrh umožňuje přejmenovat jistinu (například z „Jane Smith“ na „Jane Jones“) bez ovlivnění bezpečnostních atributů objektů, které odkazují na jistinu.

Přehled

Windows uděluje nebo odepírá přístup a oprávnění k prostředkům na základě seznamy řízení přístupu (ACL), které používají SID k jedinečné identifikaci uživatelů a jejich členství ve skupinách. Když se uživatel přihlásí k počítači, zobrazí se přístupový token je generován, který obsahuje uživatelské a skupinové SID a úroveň uživatelských oprávnění. Když uživatel požaduje přístup k prostředku, zkontroluje se přístupový token proti ACL, aby povolil nebo odepřel konkrétní akci na konkrétním objektu.

SID jsou užitečné pro řešení problémů s audity zabezpečení, migrací serverů Windows a domén.

Formát SID lze ilustrovat na následujícím příkladu: „S-1-5-21-3623811015-3361044348-30300820-1013“;

S	1	5	21-3623811015-3361044348-30300820	1013
Řetězec je SID.	Úroveň revize (verze specifikace SID).	Hodnota autoritního identifikátoru.	Hodnota podautority V tomto případě doména (21) s jedinečným identifikátorem. Může existovat více než jedna subautorita, zejména pokud účet existuje v doméně a patří do různých skupin.^[1]	A Relativní ID (ZBAVIT). Jakákoli skupina nebo uživatel, který není ve výchozím nastavení vytvořen, bude mít relativní ID 1 000 nebo vyšší.

Hodnoty autority identifikátoru

Hodnota identifikační autority

Hodnoty známých autorit identifikátoru jsou:^[2]^[3]

Desetinný	název	Zobrazované jméno	Nejprve představen	Reference	Poznámky
0	Nulová autorita				např. „Nikdo“ (S-1-0-0)
1	Světový úřad	(nezobrazeno)			např. známé skupiny jako „Každý“. (S-1-1-0)
2	Obecní úřad	(nezobrazeno)			např. označit SID jako „CONSOLE LOGON“
3	Autor autority
4	Nejedinečný úřad
5	NT autorita	NT ORGÁN			Spravováno subsystémem zabezpečení NT. Existuje mnoho podřízených orgánů, například „BUILTIN“ a všechny Aktivní adresář Doména
7	Internet $	Internet $	Windows 7
9	Oprávnění správce zdrojů		Windows Server 2003	^[4]^[5]
11	Autorita účtu Microsoft	Účet Microsoft	Windows 8	^[6]
12	Azure Active Directory	AzureAD	Windows 10
15	SID schopnosti		Windows 8 Windows Server 2012	^[7]^[8]^[9]	SID všech schopností začínají na S-1-15-3 Podle návrhu se identifikátor SID funkce nevyřeší na popisný název. Nejčastěji používanou funkcí SID je: S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681
16		Povinný štítek	Windows Vista		Používá se jako součást Povinná kontrola integrity
18		Vložená identita

Identifikace identifikátoru SID schopnosti:

Pokud najdete SID v datech registru, jedná se o SID funkce. Podle návrhu se nevyřeší v přátelské jméno.
Pokud nenajdete SID v datech registru, nejedná se o známý identifikátor SID. Můžete pokračovat v jeho odstraňování jako normální nevyřešený SID. Mějte na paměti, že existuje malá šance, že SID může být SID schopnosti třetí strany, v takovém případě se nevyřeší na popisný název.

Na podporu Microsoftu:^[8] Důležité - NEODSTRAŇUJTE funkce SIDS z oprávnění registru ani systému souborů. Odebrání identifikátoru SID z oprávnění systému souborů nebo oprávnění registru může způsobit nesprávnou funkci funkce nebo aplikace. Po odebrání funkčního identifikátoru SID jej nemůžete pomocí uživatelského rozhraní přidat zpět.

Hodnoty subautority S-1-5^[7]^[10]^[11]

Desetinný	název	Zobrazované jméno	Nejprve představen	Poznámky
18	LocalSystem	LocalSystem	Windows 7	Příklad: S-1-5-18 je dobře známý sid pro LocalSystem
21	Doména
32	Uživatelé		Windows 7	Příklad: S-1-5-32-568 je ID skupiny pro IIS_IUSRS
64	Ověření			10 - NTLM 14 - SChannel 21 - Přehled
80	Služba NT	NT SERVIS	Windows Vista	Může to být „služba NT virtuálního účtu“, například pro instalace serveru SQL S-1-5-80-0 odpovídá „NT SERVICEALL SERVICES“
82	IIS AppPool	AppPoolIdentity	Windows 7
83	Virtuální stroje	NT VIRTUÁLNÍ STROJ	Windows 7	„NT Virtual Machine {guid}“, kde {guid} je identifikátor GUID virtuálního počítače Hyper-V S-1-5-83-0 je ID skupiny pro „NT VIRTUAL MACHINEVirtual Machines“
90	Správce oken	Windows Manager Group (DWM)	Windows 7	Třída správce oken
96	Ovladač písma		Windows 7	Ovladač písma HostUMFD-1

Virtuální účty jsou definovány pro pevnou sadu názvů tříd, ale jméno účtu není definován. Ve virtuálním účtu je k dispozici téměř nekonečné množství účtů. Názvy fungují jako „Název účtu třídy účtu“, tedy „AppPoolIdentityDefault App Pool“. SID je založen na hash SHA-1 názvu malých písmen. Virtuálním účtům lze každému udělit oprávnění samostatně, protože každý se mapuje na odlišný SID. To zabrání problému "oprávnění ke křížovému sdílení", kde je každá služba přiřazena ke stejné třídě NT AUTHORITY (například "NT AUTHORITYNetwork Service")

SID stroje

SID stroje (S-1-5-21) je uložen v BEZPEČNOSTNÍ podregistr registru umístěný na SECURITYSAMDomainsAccount, tento klíč má dvě hodnoty F a PROTI. The PROTI value je binární hodnota, která má v sobě vložený SID počítače na konci svých dat (posledních 96 bitů).^[12] (Některé zdroje uvádějí, že je místo toho uložen v podregistru SAM.) Záloha se nachází na SECURITYPolicyPolAcDmS @.

NewSID zajišťuje, že tento SID je ve standardním formátu NT 4.0 (3 32bitové subautority předcházené třemi 32bitovými poli oprávnění). Dále NewSID generuje nový náhodný SID pro počítač. Generace NewSID se velmi snaží vytvořit skutečně náhodnou 96bitovou hodnotu, která nahradí 96 bitů ze 3 hodnot subautority, které tvoří počítačový SID.
— Soubor readme NewSID

Formát subautority SID stroje se používá také pro SID domény. Počítač je v tomto případě považován za vlastní místní doménu.

Dekódovací stroj SID

SID počítače je uložen ve formě bajtů v registru. Chcete-li jej převést do běžnější číselné formy, interpretuje to jako tři malý Endian 32bitová celá čísla, převede je na desetinná místa a přidá mezi ně pomlčky.

Příklad	2E, 43, AC, 40, C0,85,38,5D, 07, E5,3B, 2B
1) Rozdělte bajty do 3 sekcí:	2E, 43, AC, 40 - C0,85,38,5D - 07, E5,3B, 2B
2) Obraťte pořadí bajtů v každé sekci:	40, AC, 43,2E - 5D, 38,85, C0 - 2B, 3B, E5,07
3) Převést každou sekci na desítkovou:	1085031214 - 1563985344 - 725345543
4) Přidejte předponu SID stroje:	S-1-5-21-1085031214-1563985344-725345543

Jiná použití

SID stroje používají také některé bezplatné zkušební programy, například Začátek8, k identifikaci počítače, aby nemohl restartovat zkušební verzi.^{[Citace je zapotřebí ]}

SID služby

SID služby jsou funkcí izolace služby, bezpečnostní funkce zavedená v Windows Vista a Windows Server 2008.^[13] U jakékoli služby s „neomezenou“ vlastností typu SID bude do přístupového tokenu procesu hostitele služby přidán identifikátor SID pro konkrétní službu. Účelem identifikátorů SID služby je umožnit spravování oprávnění pro jednu službu bez nutnosti vytváření účtů služeb, administrativní režie.

Každý identifikátor SID služby je místní identifikátor SID na úrovni počítače vygenerovaný z názvu služby pomocí následujícího vzorce:

S-1-5-80- {SHA-1 (název služby velkými písmeny kódován jako UTF-16 )}

The sc.exe příkaz lze použít ke generování libovolného SID služby:

C:>sc.exe showsid dnscacheJMÉNO: dnscacheSERVISNÍ SID: S-1-5-80-859482183-879914841-863379149-1145462774-2388618682STAV: Aktivní

Službu lze také označit jako NT SERVICE (např. „NT SERVICEdnscache“).

Duplicitní SID

V pracovní skupině počítačů se systémem Windows NT / 2K / XP je možné, aby měl uživatel neočekávaný přístup ke sdíleným souborům nebo souborům uloženým na vyměnitelném úložišti. Tomu lze zabránit nastavením seznamy řízení přístupu v náchylném souboru, takže efektivní oprávnění určuje SID uživatele. Pokud je tento uživatelský identifikátor SID duplikován na jiném počítači, mohl by uživatel druhého počítače se stejným identifikátorem SID mít přístup k souborům, které uživatel prvního počítače chránil. To se často může stát, když jsou SID stroje duplikovány klonem disku, běžným pro pirátské kopie. Uživatelské SID jsou sestaveny na základě SID zařízení a sekvenčního relativního ID.

Když jsou počítače připojeny k doméně (například doména Active Directory nebo NT), každému počítači je poskytnut jedinečný identifikátor SID domény, který se přepočítá pokaždé, když počítač vstoupí do domény. Tento SID je podobný SID stroje. Výsledkem je, že pokud jsou počítače členy domény, obvykle neexistují žádné významné problémy s duplicitními identifikátory SID, zejména pokud se nepoužívají místní uživatelské účty. Pokud se používají místní uživatelské účty, existuje potenciální problém se zabezpečením podobný problému popsanému výše, ale problém je omezen na soubory a prostředky chráněné místními uživateli, na rozdíl od uživatelů domény.

Duplikované SID obvykle nejsou problémem v systémech Microsoft Windows, i když jiné programy, které detekují SID, mohou mít problémy s jeho zabezpečením.

Microsoft poskytoval Mark Russinovich "NewSID" nástroj jako součást Sysinternals pro změnu SID stroje.^[14] Byl vyřazen a odstraněn ze stahování 2. listopadu 2009. Vysvětlení Russinoviče je, že ani on, ani bezpečnostní tým Windows nemohli myslet na žádnou situaci, kdy by duplicitní SID mohly způsobit vůbec nějaké problémy, protože SID stroje nikdy nejsou odpovědné za zajištění přístupu k síti .^[15]

V současné době je jediným podporovaným mechanismem pro duplikování disků pro operační systémy Windows použití SysPrep, který generuje nové SID.

Viz také

Reference

^ „Co je ve Windows SID (identifikátor zabezpečení)?“. kb.iu.edu. Citováno 2020-09-02.
^ „Známé identifikátory zabezpečení v operačních systémech Windows“. support.microsoft.com. Citováno 12. prosince 2019.
^ openspecs-office. „[MS-DTYP]: Známé struktury SID“. docs.microsoft.com. Citováno 2020-09-03.
^ Viz část „Vlastní příkazci“ na https://msdn.microsoft.com/en-us/library/aa480244.aspx
^ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
^ „Příklad dopadu účtů Microsoft na rozhraní Windows API ve Windows 8 / 8.1 - blog týmu podpory Windows SDK“. blogs.msdn.microsoft.com.
^ ^A ^b support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems. Citováno 2020-09-02. Chybějící nebo prázdný | název = (Pomoc)
^ ^A ^b support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names. Citováno 2020-09-02. Chybějící nebo prázdný | název = (Pomoc)
^ příjmeníholiu. „Capability SID Constants (Winnt.h) - Win32 apps“. docs.microsoft.com. Citováno 2020-09-02.
^ „Účty všude: část 1, virtuální účty“. 1E. 2017-11-24. Citováno 2020-09-02.
^ „IIS AppPool Identity SID“. Winterdom. 2020-09-02.
^ „Nástroj MS TechNet NewSID - jak to funguje“. Znalostní báze. Microsoft. 1. listopadu 2006. Citováno 2008-08-05.
^ „Funkce izolace služby Windows“. Článek. Windows IT Pro. 6. června 2012. Citováno 7. prosince 2012.
^ „NewSID v4.10“. Windows Sysinternals. Microsoft. 2006-11-01.
^ Russinovich, Mark (2009-11-03). „Mýtus o duplikaci stroje“. Blogy TechNet. Microsoft.

externí odkazy

[1] „Co je ve Windows SID (identifikátor zabezpečení)?“. kb.iu.edu. Citováno 2020-09-02.

[2] „Známé identifikátory zabezpečení v operačních systémech Windows“. support.microsoft.com. Citováno 12. prosince 2019.

[3] specs-office. „[MS-DTYP]: Známé struktury SID“. docs.microsoft.com. Citováno 2020-09-03.

[4] Viz část „Vlastní příkazci“ na https://msdn.microsoft.com/en-us/library/aa480244.aspx

[5] ttp://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx

[6] „Příklad dopadu účtů Microsoft na rozhraní Windows API ve Windows 8 / 8.1 - blog týmu podpory Windows SDK“. blogs.msdn.microsoft.com.

[:0-7] A ^b support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems. Citováno 2020-09-02. Chybějící nebo prázdný | název = (Pomoc)

[:1-8] A ^b support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names. Citováno 2020-09-02. Chybějící nebo prázdný | název = (Pomoc)

[9] říjmeníholiu. „Capability SID Constants (Winnt.h) - Win32 apps“. docs.microsoft.com. Citováno 2020-09-02.

[10] „Účty všude: část 1, virtuální účty“. 1E. 2017-11-24. Citováno 2020-09-02.

[11] „IIS AppPool Identity SID“. Winterdom. 2020-09-02.

[12] „Nástroj MS TechNet NewSID - jak to funguje“. Znalostní báze. Microsoft. 1. listopadu 2006. Citováno 2008-08-05.

[13] „Funkce izolace služby Windows“. Článek. Windows IT Pro. 6. června 2012. Citováno 7. prosince 2012.

[14] „NewSID v4.10“. Windows Sysinternals. Microsoft. 2006-11-01.

[15] Russinovich, Mark (2009-11-03). „Mýtus o duplikaci stroje“. Blogy TechNet. Microsoft.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]