Идентификатор безопасности - Security Identifier (sid)
(слайд №14)
Структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера (в Windows на базе технологии NT (NT4, 2000, XP, 2003, Vista). SID ставится в соответствие каждой учетной записи в момент её создания. Система оперирует с SID'ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID'ы.
Идентификаторы безопасности для встроенных учетных записей (таких, как например Администраторы или Гости) одинаковы в каждом экземпляре установленной Windows и не зависят от её версии (будь то Windows 2000 или Vista). Это позволяет администраторам сетей применять шаблоны безопасности и политики безопасности, а также управлять доступом удаленных пользователей в сети без доменов.
Состав Security Identifier (SID):
Относительный идентификатор
это последнее подчиненное полномочие, оно является идентификатором уникального принципала безопасности в области, в которой был определен SID. И может быть равно:
500 - обозначает встроенную учетную запись Administrator;
501 - обозначает встроенную учетную запись Guest;
502 - RID для билета на получение билетов (krbtgt).
1003 - идентификатор группы пользователя.
Уровень контроля.
Второе значение в SID - это уровень контроля (в настоящее время всегда равен 1).
Подчиненные полномочия.
Между ними находятся 0 или более подчиненных полномочий:
для встроенных, предопределенных структур иерархия сжата до глубины в 2 или 3 подчиненных полномочия;
для настоящих идентичностей других принципалов полномочия идентификатора установлены равными 5, а набор подчиненных полномочий установлен равным 4.
Первое подчиненное полномочие.
Значение первых подчиненных полномочий общеизвестно. Они могут иметь значение:
5 - идентификаторы SID присваиваются сеансам регистрации для выдачи прав любому приложению, запускаемому во время определенного сеанса регистрации. У таких идентификаторов SID первые подчиненные полномочия установлены как 5 и принимают форму S-1-5-5-x-y;
6 -когда процесс регистрируется как служба, он получает специальный идентификатор SID в свой маркер для обозначения данного действия. Этот идентификатор SID имеет подчиненные полномочия 6 и всегда будет S-1-5-6;
21 (SECURITY_NT_NON_UNIQUE) - обозначают идентификатор SID пользователя и идентификатор SID компьютера, которые не являются уникальными в глобальном масштабе;
32 (SECURITY_BUILTIN_DOMAIN_RID) - обозначают встроенные идентификаторы SID. Например, известный идентификатор SID для встроенной группы администраторов S-1-5-32-544;
80 (SECURITY_SERVICE_ID_BASE_RID) - обозначают идентификатор SID, который принадлежит службе.
Полномочия идентификатора.
После S-1 в идентификаторе SID идут полномочия идентификатора (подчиненные полномочия идут уже после них). Они обозначают субъекта, который их присвоил, и могут быть следующими:
0 (SECURITY_NULL_SID_AUTHORITY) - используются для сравнений, когда неизвестны полномочия идентификатора;
1 (SECURITY_WORLD_SID_AUTHORITY) - применяются для конструирования идентификаторов SID, которые представляют всех пользователей. Например, идентификатор SID для группы Everyone (Все пользователи) - это S-1-1-0. Он создается добавлением WORLD RID (0) к полномочиям этого идентификатора, выбирая, таким образом, всех пользователей из этих полномочий;
2 (SECURITY_LOCAL_SID_AUTHORITY) - используются для построения идентификаторов SID, представляющих пользователей, которые входят на локальный терминал;
3 (SECURITY_CREATOR_SID_AUTHORITY) - применяются для создания идентификаторов SID, представляющих создателя или владельца объекта. Например, CREATOR OWNER SID выглядит как S-1-3-0. Если идентификатор S-1-3-0 используется в наследуемом списке контроля доступа (ACL), то он будет заменен идентификатором SID владельца в дочерних объектах, которые наследуют этот ACL. Таким образом, SID группы CREATOR GROUP (группы создателя) будет выглядеть как S-1-3-1. Он выполняет те же функции, что и идентификатор S-1-3-0, но вместо этого примет SID для первичной группы создателя;
5 (SECURITY_NT_AUTHORITY) - сама операционная система. То есть, данный идентификатор выпущен компьютером или доменом.
Постоянные SID
(слайд №15)
Помимо обычных SID существует ряд общеизвестных "коротких" SID, одинаковых на всех компьютерах, это учетные записи пользователей SYSTEM, LOCAL SERVICE и NETWORK SERVICE и т.д. Все они начинаются с S-1-1, S-1-2 или S-1-3.
Например:
S-1-3-0 - CREATOR OWNER SID.
SID |
Пользователь или группа |
S-1.0 |
Нет полномочий, «пустые» полномочия, соответствует имени пользователя «nobody» («никто») |
S-1.1.0 |
Все |
S-1.5. −7 |
Anonymous (анонимный пользователь) |
S-1.5−13 |
Терминальная служба, имеется в виду пользователь, который зарегистрировался через Telnet |
S-1.5−14 |
Удаленный вход в систему |
S-1.5−18 |
Локальная система (LocalSystem) |
S-1.5−19 |
Локальная служба (LocalService) |
S-1.5−20 |
Сетевая служба (NetworkService) |
S-1.5-домен-500 |
Администратор системы (Administrator) |
S −1.5-домен-501 |
Гость (Guest) |
S −1.5-домен-512 |
Администраторы домена (Domain Administrators) |
S-1.5−32−544 |
Администраторы (Administrators) |
S-1.5−32−545 |
Пользователи (Users) |
S-1.5−32−546 |
Гости (Guests) |
Например
(слайд №16)
SID S-1-5-21-1534169462-1651380828-111620651-500:
S - говорит нам о том, что это именно SID;
1 - уровень контроля;
5 - полномочие идентификатора;
21 - первое подчиненное полномочие идентификатора;
1534169462, 1651380828 и 111620651 - остальные подчиненные полномочия идентификатора, все вместе они обозначают домен или компьютер, который издал идентификатор SID;
500 - относительный идентификатор.
S-1.5−18 - Локальная система (LocalSystem)
S-1.5−19 - Локальная служба (LocalService)
S-1.5−20 - Сетевая служба (NetworkService)
Расположение SID в реестре: (слайд №17) (слайд №18)