Tajemnica SID.pdf

(52 KB) Pobierz
Microsoft Word - Tajemnica SID.doc
Tajemnica SID
SID jest numerycznĢ reprezentacjĢ podmiotu zabezpieczeı i jest tym, czego
w rzeczywistoĻci uŇywa system operacyjny do identyfikacji uŇytkownikw,
komputerw i grup.
MoŇna skorzystaę z prostego, dostħpnego w Internecie narzħdzia user2sid, aby
sprawdzię, jaki jest SID danego podmiotu zabezpieczeı. Wykonanie tego
polecenia dla wbudowanego konta Administratora oraz dla grupy administratorw
daje przykþadowy wynik:
Administrator: S-1-5-21-299502267-57989841-839522115-500
Administratorzy: S-1-5-32-544
Co znaczĢ te wartoĻci?
Komponenty SID
SID skþada siħ z kilku wymaganych komponentw, przedstawionych na rysunku
poniŇej.
Litera S
Wersja
Identyfikator
uwierzytelnienia
Pierwszy
podrzħdny
0 do n
podrzħdnych
Identyfikator
wzglħdny RID
Rysunek 1. Komponenty SID
SID zawsze rozpoczyna siħ literĢ áSÑ okreĻla ona dany element jako SID oraz
koıczy siħ zawsze wzglħdnym identyfikatorem (Relative Identifier Î RID).
Pomiħdzy nimi mogĢ, choę nie muszĢ, wystħpowaę identyfikatory
uwierzytelnienia. Drugim komponentem jest wersja, ktra obecnie wynosi 1.
Po prefiksie S-1 wystħpuje reszta SIDÓu, ktra przybiera rŇne wartoĻci, ale
zawsze zaczyna siħ identyfikatorem uwierzytelniajĢcym czyli informacjĢ
o jednostce, ktra go wystawiþa.
181625197.006.png
Identyfikator
uwierzytelnienia
Opis
0
SECURITY_NULL_SID_AUTHORITY Î uŇywane do
porwnywania, gdy identyfikator jest nieznany.
1
SECURITY_WORLD_SID_AUTHORITY Î uŇywane do
tworzenia SIDÓw reprezentujĢcych wszystkich
uŇytkownikw, np. SID grupy Everyone ma postaę S-1-
1-0.
2
SECURITY_LOCAL_SID_AUTHORITY Î uŇywany do
tworzenia SIDÓw reprezentujĢcych uŇytkownikw
zalogowanych do lokalnego terminala.
3
SECURITY_CREATOR_SID_AUTHORITY Î uŇywany do
tworzenia SIDÓw reprezentujĢcych twrcħ/wþaĻciciela,
np. S-1-3-0 dla Creator Owner, a S-1-3-1 dla Creator
Group.
5
SECURITY_NT_AUTORITY Î system operacyjny, czyli
SIDÓy wydawane przez komputer lub domenħ.
Tabela 1. Identyfikatory uwierzytelnienia SID
NastħpujĢcy SID:
S-1-5-21-299502267-57989841-839522115-500
rozpoczyna siħ sekwencjĢ S-1-5, ktra wskazuje, Ňe wystawiþ go system
Windows oparty na NT, dalej wystħpuje pierwsze Ņrdþo uwierzytelnienia 21
(0x15). Informuje ono, Ňe nie jest gwarantowana bezwzglħdna unikalnoĻę tego
SID, bħdzie on unikalny w swojej domenie, ale moŇe zdarzyę siħ taki sam w innej
gdzieĻ na Ļwiecie.
Przykþadowy SID ma trzy dodatkowe dalsze uwierzytelnienia: 299502267,
57989841, 839522115, ktre same w sobie nie majĢ konkretnego znaczenia, ale
razem wskazujĢ domenħ lub komputer, ktry SID wystawiþ.
W rzeczywistoĻci SID domeny lub komputera to S-1-5-21-299502267-57989841-
839522115 i wszystkie SIDÓy bħdĢ siħ rozpoczynaþy tĢ sekwencjĢ oraz koıczyþy
RIDÓem, ktry wskazuje konkretnego uŇytkownika lub grupħ. W tym przypadku
500 jest dobrze znanĢ wartoĻciĢ RID dla konta wbudowanego Administrator.
Dalsze
uwierzytelnienie
Opis
5
SID sĢ wydawane dla sesji logowania, aby wþĢczyę
uprawnienia nadawane aplikacjom po uruchomieniu i
majĢ postaę S-1-5-5-x-y
181625197.007.png 181625197.008.png 181625197.009.png
6
Gdy proces loguje siħ jako usþuga, dostaje w swoim
Ňetonie specjalny SID informujĢcy o tym, zaczynajĢ siħ
one od sekwencji S-1-5-6
21
SECURITY_NT_NON_UNIQUE skazuje uŇytkownika lub
komputer, ktrego powszechna unikatowoĻę nie jest
zagwarantowana.
32
SECURITY_BUILTIN_DOMAIN_RID okreĻla wbudowane
dobrze znane SID
80
SECURITY_SERVICE_ID_BASE_RID wskazuje SID
usþugi.
Tabela 2. Dobrze znane dalsze uwierzytelnienia
Pierwotna koncepcja SID wykorzystywaþa kaŇdy poziom hierarchii i zawieraþa
kolejne uwierzytelnienia, co okazaþo siħ bardzo trudne w trakcie konfigurowania
i wdraŇania. W praktyce rozwinħþy siħ dwa wzory SID. Dla wbudowanych,
predefiniowanych toŇsamoĻci hierarchia zostaþa spþaszczona do dwch lub trzech
poziomw uwierzytelniania, dla innych toŇsamoĻci identyfikator uwierzytelniania
zostaþ ustawiony na piħę, a pierwszy podrzħdny na cztery.
Dobrze znane SIDÓy
Model zabezpieczeı wykorzystywany w systemach Windows zawiera pewnĢ
liczbħ tzn. dobrze znanych SID, ktre sĢ identyczne na kaŇdym komputerze
zaczynajĢ siħ one sekwencjami S-1-1, S-1-2 lub S-1-3. Do takich naleŇy SID
Creator Owner: S-1-3-0.
S-1-5-32 oznacza konta wbudowane, moŇe on zostaę poþĢczony z dobrze
znanym RID i stworzyę dobrze znany SID dla konta, np. S-1-5-32-544 oznacza
grupħ Administrators.
W tabeli poniŇej zostaþy podane dobrze znane wartoĻci RID.
RID
Opis
500
Administrator
501
Guest
502
Krbtgt
512
Domain Admins
513
Domain Users
514
Domain Guests
515
Domain Computers
516
Domain Controllers
544
Wbudowane konto Administrators
181625197.001.png 181625197.002.png 181625197.003.png
545
Wbudowane konto Users
546
Wbudowane konto Guests
Tabela 3. Dobrze znane RIDÓy domenowe
SIDÓy na pierwszy rzut oka wydajĢ siħ skomplikowane, lecz po zrozumieniu
czħĻci skþadowych ich odszyfrowanie staje siħ proste.
181625197.004.png 181625197.005.png

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin