Xavfsizlik identifikatori - Security Identifier

Kontekstida Microsoft Windows NT qatori operatsion tizimlar, a Xavfsizlik identifikatori (odatda qisqartirilgan SID) noyob, o'zgarmas foydalanuvchi, foydalanuvchi guruhi yoki boshqasining identifikatori xavfsizlik bo'yicha direktor. Xavfsizlik bo'yicha direktor hayot uchun bitta SIDga ega (ma'lum bir domenda) va uning barcha xususiyatlari, shu jumladan uning nomi ham SID bilan bog'liq. Ushbu dizayn, direktorning nomini o'zgartirishga imkon beradi (masalan, "Jeyn Smit" dan "Jeyn Jons" ga), direktorga tegishli bo'lgan ob'ektlarning xavfsizlik atributlariga ta'sir ko'rsatmasdan.

Umumiy nuqtai

Windows manbalarga asoslangan holda kirish va imtiyozlarni beradi yoki rad etadi kirishni boshqarish ro'yxatlari (ACL), bu foydalanuvchilarni va ularning guruh a'zoligini noyob tarzda aniqlash uchun SIDlardan foydalanadi. Foydalanuvchi kompyuterga kirganda, an kirish belgisi foydalanuvchi va guruh SIDlari va foydalanuvchi imtiyozlari darajasini o'z ichiga olgan holda yaratiladi. Agar foydalanuvchi manbaga kirishni so'raganda, kirish belgisi, ma'lum bir ob'ekt bo'yicha muayyan harakatlarga ruxsat berish yoki rad etish uchun ACL-ga qarshi tekshiriladi.

SID xavfsizlik tekshiruvi, Windows server va domen migratsiyasi bilan bog'liq muammolarni bartaraf etish uchun foydalidir.

SID formatini quyidagi misol yordamida ko'rsatish mumkin: "S-1-5-21-3623811015-3361044348-30300820-1013";

S	1	5	21-3623811015-3361044348-30300820	1013
Ip - bu SID.	Qayta ko'rib chiqish darajasi (SID spetsifikatsiyasining versiyasi).	Identifikator vakolati qiymati.	Subauthority qiymati Bunday holda, noyob identifikatorga ega bo'lgan domen (21). Bir nechta subtoritet bo'lishi mumkin, ayniqsa, hisob qaydnomasi domenda mavjud bo'lsa va turli guruhlarga tegishli.^[1]	A Nisbiy identifikator (RID). Sukut bo'yicha yaratilmagan har qanday guruh yoki foydalanuvchining nisbiy identifikatori 1000 va undan yuqori bo'ladi.

Identifikator vakolatining qiymatlari

Identifikator vakolatining qiymati

Ma'lum identifikator vakolat qiymatlari:^[2]^[3]

O'nli	Ism	Ko'rsatiladigan ism	Birinchi tanishtirildi	Adabiyotlar	Izohlar
0	Nol vakolat				masalan. "Hech kim" (S-1-0-0)
1	Jahon hokimiyati	(ko'rsatilmagan)			masalan. "Hamma" kabi taniqli guruhlar. (S-1-1-0)
2	Mahalliy hokimiyat	(ko'rsatilmagan)			masalan. "CONSOLE LOGON" kabi SIDlarni belgilash
3	Ijodkor vakolati
4	Noyob vakolat
5	NT vakolati	NT Hokimiyat			NT xavfsizlik quyi tizimi tomonidan boshqariladi. "BUILTIN" kabi ko'plab sub-hokimiyat mavjud va har biri Faol katalog Domen
7	Internet $	Internet $	Windows 7
9	Resurs menejeri vakolati		Windows Server 2003	^[4]^[5]
11	Microsoft hisob qaydnomasi vakolati	MicrosoftAccount	Windows 8	^[6]
12	Azure Active Directory	AzureAD	Windows 10
15	SID-larning imkoniyatlari		Windows 8 Windows Server 2012	^[7]^[8]^[9]	Barcha SID-lar S-1-15-3 da boshlanadi Dizayn bo'yicha, SID qobiliyati do'stona nomga mos kelmaydi. SIDning eng ko'p ishlatiladigan qobiliyati quyidagilar: S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681
16		Majburiy yorliq	Windows Vista		Qismi sifatida ishlatiladi Majburiy yaxlitlikni boshqarish
18		Tasdiqlangan shaxs

SID qobiliyatini aniqlash:

Agar siz SIDni ro'yxatga olish ma'lumotlaridan topsangiz, bu SID qobiliyatidir. Dizayni bo'yicha, u do'stona nomga aylanmaydi.
Agar siz SIDni ro'yxatga olish kitobi ma'lumotlaridan topmasangiz, u ma'lum bo'lgan SID qobiliyati emas. Muammoni hal qilishni odatdagi hal qilinmagan SID sifatida davom ettirishingiz mumkin. Shuni yodda tutingki, SID uchinchi tomon qobiliyatiga ega bo'lgan SID bo'lishi mumkin, bu holda u do'stona nomga aylanmaydi.

Microsoft ko'magi bo'yicha:^[8] Muhim - SIDS-ni ro'yxatga olish yoki fayl tizimidagi ruxsatlardan o'chirmang. Fayl tizimidagi ruxsatlardan yoki ro'yxatga olish kitobidagi ruxsatlardan SIDni olib tashlash, xususiyat yoki dasturning noto'g'ri ishlashiga olib kelishi mumkin. SID qobiliyatini olib tashlaganingizdan so'ng, uni qayta qo'shish uchun interfeysdan foydalana olmaysiz.

S-1-5 Subauthority qiymatlari^[7]^[10]^[11]

O'nli	Ism	Ko'rsatiladigan ism	Birinchi tanishtirildi	Izohlar
18	LocalSystem	LocalSystem	Windows 7	Masalan: S-1-5-18 LocalSystem uchun taniqli
21	Domen
32	Foydalanuvchilar		Windows 7	Masalan: S-1-5-32-568 - bu IIS_IUSRS uchun guruh identifikatori
64	Autentifikatsiya			10 - NTLM 14 - SChannel 21 - hazm qilish
80	NT xizmati	NT SERVICE	Windows Vista	SQL Server o'rnatilishi kabi "Virtual Account NT Service" bo'lishi mumkin S-1-5-80-0 "NT SERVICEALL SERVICES" ga mos keladi
82	IIS AppPool	AppPoolIdentity	Windows 7
83	Virtual mashinalar	NT VIRTUAL MACHINE	Windows 7	"NT Virtual Machine {guid}", bu erda {guid} Hyper-V VM qo'llanmasi S-1-5-83-0 - bu "NT VIRTUAL MACHINEV virtual mashinalari" uchun guruh identifikatori.
90	Oyna menejeri	Windows menejeri guruhi (DWM)	Windows 7	Oyna menejeri klassi
96	Shrift haydovchisi		Windows 7	Shrift drayveri HostUMFD-1

Virtual hisob qaydnomalari belgilangan sinf nomlari to'plami uchun belgilanadi, ammo hisob nomi aniqlanmagan. Virtual hisobda deyarli cheksiz ko'p hisob mavjud. Ismlar "AccountAccount Name" kabi ishlaydi, shuning uchun "AppPoolIdentityDefault App Pool". SID kichik ismning SHA-1 xashiga asoslangan. Virtual hisoblarga har biriga alohida ruxsat berilishi mumkin, chunki har bir alohida SIDga xaritalar. Bu har bir xizmat bir xil NT AUTHORITY sinfiga tayinlangan ("NT AUTHORITYNetwork Service" kabi) "o'zaro almashish uchun ruxsatlar" muammosini oldini oladi.

Mashina SIDlari

SID (S-1-5-21) mashinasi XAVFSIZLIK joylashgan ro'yxatga olish uyasi SECURITYSAMDomainsAccount, bu kalit ikkita qiymatga ega F va V. The V qiymat - bu ma'lumotlarning oxirida (oxirgi 96 bit) kompyuter ichiga o'rnatilgan SID-ga ega bo'lgan ikkilik qiymat.^[12] (Ba'zi manbalarda uning o'rniga SAM uyasida saqlanganligi ko'rsatilgan.) Zaxira nusxasi joylashgan SECURITYPolicyPolAcDmS @.

NewSID ushbu SID standart NT 4.0 formatida bo'lishini ta'minlaydi (uchta 32 bitli avtoritetlar oldida uchta 32 bitli vakolatli maydonlar oldin). Keyinchalik, NewSID kompyuter uchun yangi tasodifiy SID ishlab chiqaradi. NewSID-ning avlodi kompyuterning SID-ni tashkil etuvchi 3 ta subtorlik qiymatining 96-biti o'rnini bosadigan chindan ham tasodifiy 96-bitli qiymat yaratish uchun juda ko'p azob chekadi.
— NewSID o'qish rejasi

Mashinaning SID subauthority formati domen SIDlari uchun ham ishlatiladi. Mashina bu holda o'zining mahalliy domeni hisoblanadi.

SID dekodlash mashinasi

SID mashinasi registrda xom-bayt shaklida saqlanadi. Uni yanada keng tarqalgan raqamli shaklga o'tkazish uchun uni uchta deb talqin qilishadi kichik endian 32-bitli tamsayılar, ularni kasrga aylantiradi va ular orasida defis qo'shiladi.

Misol	2E, 43, AC, 40, C0,85,38,5D, 07, E5,3B, 2B
1) baytlarni 3 qismga ajrating:	2E, 43, AC, 40 - C0,85,38,5D - 07, E5,3B, 2B
2) Har bir bo'limdagi baytlarning tartibini o'zgartiring:	40, AC, 43,2E - 5D, 38,85, C0 - 2B, 3B, E5,07
3) Har bir bo'limni o'nli kasrga aylantiring:	1085031214 - 1563985344 - 725345543
4) Mashinaning SID prefiksini qo'shing:	S-1-5-21-1085031214-1563985344-725345543

Boshqa foydalanish

SID mashinasi ba'zi bir bepul sinov dasturlari tomonidan ham qo'llaniladi, masalan Boshlash8, kompyuterni sinov jarayonini qayta boshlamasligi uchun uni aniqlash.^{[iqtibos kerak ]}

SID xizmatlari

SID xizmatining xususiyati xizmatni ajratish, xavfsizlik xususiyati Windows Vista va Windows Server 2008.^[13] "Cheklanmagan" SID tipidagi xususiyatga ega bo'lgan har qanday xizmatda xizmatni boshqarish jarayonining kirish belgisiga xizmatga xos SID qo'shiladi. Service SID-larning maqsadi ma'muriy qo'shimcha hisob-kitoblarni yaratishni talab qilmasdan bitta xizmatni boshqarish huquqiga ruxsat berishdir.

Har bir SID xizmati - bu quyidagi formuladan foydalangan holda xizmat nomidan hosil bo'lgan mahalliy, mashina darajasidagi SID:

S-1-5-80- {SHA-1 (xizmat nomi katta harf bilan kodlangan UTF-16 )}

The sc.exe buyruq o'zboshimchalik bilan SID xizmatini yaratish uchun ishlatilishi mumkin:

C:>sc.exe showsid dnscacheNOM: dnscacheXIZMAT SID: S-1-5-80-859482183-879914841-863379149-1145462774-2388618682STATUS: faol

Xizmatni NT SERVICE deb ham atash mumkin (masalan, "NT SERVICEdnscache").

Takrorlangan SIDlar

Windows NT / 2K / XP operatsion tizimida ishlaydigan kompyuterlarning ishchi guruhida foydalanuvchiga umumiy fayllarga yoki olinadigan omborda saqlangan fayllarga kutilmagan kirish huquqi berilishi mumkin. Buni sozlash orqali oldini olish mumkin kirishni boshqarish ro'yxatlari samarali ruxsatnomalar foydalanuvchi SID tomonidan belgilanadigan sezgir faylda. Agar ushbu foydalanuvchi SID boshqa kompyuterda takrorlangan bo'lsa, xuddi shu SIDga ega bo'lgan ikkinchi kompyuterning foydalanuvchisi birinchi kompyuter foydalanuvchisi himoya qilgan fayllarga kirish huquqiga ega bo'lishi mumkin. Bu ko'pincha kompyuter SID-lari qaroqchilar nusxalari uchun odatiy bo'lgan disk klonida takrorlanganda yuz berishi mumkin. Foydalanuvchi SIDlari SID mashinasi va ketma-ket nisbiy identifikator asosida qurilgan.

Kompyuterlar domenga qo'shilganda (masalan, Active Directory yoki NT domeni) har bir kompyuterga noyob domen SID beriladi, u kompyuter har safar domenga kirganda qayta hisoblab chiqiladi. Ushbu SID SID mashinasiga o'xshaydi. Natijada, kompyuterlar domen a'zosi bo'lganida, ayniqsa, mahalliy foydalanuvchi hisob qaydnomalaridan foydalanilmasa, takrorlanadigan SID-larda odatda hech qanday jiddiy muammolar bo'lmaydi. Agar mahalliy foydalanuvchi qayd yozuvlaridan foydalanilsa, yuqorida tavsiflanganga o'xshash xavfsizlik muammosi mavjud, ammo bu masala mahalliy foydalanuvchilar tomonidan himoyalangan fayllar va resurslar bilan cheklangan, aksincha domen foydalanuvchilari.

Takrorlangan SIDlar odatda Microsoft Windows tizimlarida muammo tug'dirmaydi, ammo SIDlarni aniqlaydigan boshqa dasturlarda uning xavfsizligi bilan bog'liq muammolar bo'lishi mumkin.

Microsoft taqdim etgan Mark Russinovich SID mashinasini o'zgartirish uchun Sysinternals tarkibiga kiruvchi "NewSID" yordam dasturi.^[14] U 2009 yil 2-noyabrda yuklab olindi va o'chirib tashlandi. Russinovichning tushuntirishicha, u ham, Windows xavfsizlik xizmati ham takrorlangan SIDlar hech qanday muammo tug'dirishi mumkin bo'lgan har qanday vaziyat haqida o'ylay olmaydi, chunki mashinaning SIDlari hech qachon tarmoqqa kirish uchun javobgar bo'lmaydi. .^[15]

Hozirgi vaqtda Windows operatsion tizimlari uchun disklarni nusxalashning yagona qo'llab-quvvatlanadigan mexanizmi bu SysPrep, bu yangi SIDlarni ishlab chiqaradi.

Shuningdek qarang

Adabiyotlar

^ "Windows-da SID (xavfsizlik identifikatori) nima?". kb.iu.edu. Olingan 2020-09-02.
^ "Windows operatsion tizimlarida taniqli xavfsizlik identifikatorlari". support.microsoft.com. Olingan 12 dekabr 2019.
^ ochiladigan joylar. "[MS-DTYP]: taniqli SID tuzilmalari". docs.microsoft.com. Olingan 2020-09-03.
^ "Maxsus printsiplar" bo'limiga qarang https://msdn.microsoft.com/en-us/library/aa480244.aspx
^ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
^ "Microsoft hisob qaydnomalarining Windows 8 / 8.1-dagi Windows API-lariga ta'siri - Windows SDK-ni qo'llab-quvvatlash jamoasi blogi". bloglar.msdn.microsoft.com.
^ ^a ^b support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems. Olingan 2020-09-02. Yo'qolgan yoki bo'sh sarlavha = (Yordam bering)
^ ^a ^b support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names. Olingan 2020-09-02. Yo'qolgan yoki bo'sh sarlavha = (Yordam bering)
^ lastnameholiu. "SID doimiy imkoniyatlari (Winnt.h) - Win32 dasturlari". docs.microsoft.com. Olingan 2020-09-02.
^ "Hamma joyda hisoblar: 1-qism, Virtual hisoblar". 1E. 2017-11-24. Olingan 2020-09-02.
^ "IIS AppPool Identity SIDs". qishki. 2020-09-02.
^ "MS TechNet NewSID yordam dasturi - bu qanday ishlaydi". Bilimlar bazasi. Microsoft. 2006 yil 1-noyabr. Olingan 2008-08-05.
^ "Windows xizmatini ajratish xususiyati". Maqola. Windows IT Pro. 2012 yil 6-iyun. Olingan 7 dekabr, 2012.
^ "NewSID v4.10". Windows Sysinternals. Microsoft. 2006-11-01.
^ Russinovich, Mark (2009-11-03). "Mashinani SID nusxalash haqidagi afsona". TechNet bloglari. Microsoft.

Tashqi havolalar

[1] "Windows-da SID (xavfsizlik identifikatori) nima?". kb.iu.edu. Olingan 2020-09-02.

[2] "Windows operatsion tizimlarida taniqli xavfsizlik identifikatorlari". support.microsoft.com. Olingan 12 dekabr 2019.

[3] ylar. "[MS-DTYP]: taniqli SID tuzilmalari". docs.microsoft.com. Olingan 2020-09-03.

[4] "Maxsus printsiplar" bo'limiga qarang https://msdn.microsoft.com/en-us/library/aa480244.aspx

[5] ttp://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx

[6] "Microsoft hisob qaydnomalarining Windows 8 / 8.1-dagi Windows API-lariga ta'siri - Windows SDK-ni qo'llab-quvvatlash jamoasi blogi". bloglar.msdn.microsoft.com.

[:0-7] support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems. Olingan 2020-09-02. Yo'qolgan yoki bo'sh sarlavha = (Yordam bering)

[:1-8] support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names. Olingan 2020-09-02. Yo'qolgan yoki bo'sh sarlavha = (Yordam bering)

[9] stnameholiu. "SID doimiy imkoniyatlari (Winnt.h) - Win32 dasturlari". docs.microsoft.com. Olingan 2020-09-02.

[10] "Hamma joyda hisoblar: 1-qism, Virtual hisoblar". 1E. 2017-11-24. Olingan 2020-09-02.

[11] "IIS AppPool Identity SIDs". qishki. 2020-09-02.

[12] "MS TechNet NewSID yordam dasturi - bu qanday ishlaydi". Bilimlar bazasi. Microsoft. 2006 yil 1-noyabr. Olingan 2008-08-05.

[13] "Windows xizmatini ajratish xususiyati". Maqola. Windows IT Pro. 2012 yil 6-iyun. Olingan 7 dekabr, 2012.

[14] "NewSID v4.10". Windows Sysinternals. Microsoft. 2006-11-01.

[15] Russinovich, Mark (2009-11-03). "Mashinani SID nusxalash haqidagi afsona". TechNet bloglari. Microsoft.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]