stringtranslate.com

Identificador de seguridad

En el contexto de la línea de sistemas operativos Microsoft Windows NT , un identificador de seguridad ( SID ) es un identificador único e inmutable de un usuario, un grupo de usuarios u otro principal de seguridad . Un principal de seguridad tiene un único SID de por vida (en un dominio determinado) y todas las propiedades del principal, incluido su nombre, están asociadas con el SID. Este diseño permite cambiar el nombre de un principal (por ejemplo, de "Jane Smith" a "Jane Jones") sin afectar los atributos de seguridad de los objetos que hacen referencia al principal.

Descripción general

Windows otorga o deniega el acceso y los privilegios a los recursos en función de listas de control de acceso (ACL), que utilizan identificadores de grupo (SID) para identificar de forma única a los usuarios y sus pertenencias a grupos. Cuando un usuario inicia sesión en un equipo, se genera un token de acceso que contiene los identificadores de grupo y de grupo del usuario y el nivel de privilegio del usuario. Cuando un usuario solicita acceso a un recurso, el token de acceso se compara con la ACL para permitir o denegar una acción particular sobre un objeto en particular.

Los SID son útiles para solucionar problemas con auditorías de seguridad, Windows Server y migraciones de dominios.

El formato de un SID se puede ilustrar utilizando el siguiente ejemplo: "S-1-5-21-3623811015-3361044348-30300820-1013":

Valores de autoridad del identificador

Valor de autoridad del identificador

Los valores de autoridad de identificador conocidos son: [1] [2]

Identificación de un SID de capacidad:

Según el soporte técnico de Microsoft: [7] Importante : NO ELIMINE los SID de capacidad del Registro o de los permisos del sistema de archivos. Eliminar un SID de capacidad de los permisos del sistema de archivos o del Registro puede provocar que una función o aplicación funcione de forma incorrecta. Después de eliminar un SID de capacidad, no podrá usar la interfaz de usuario para volver a agregarlo.

Valores de subautoridad S-1-5[6][9][10]

Las cuentas virtuales se definen para un conjunto fijo de nombres de clase, pero el nombre de la cuenta no está definido. Hay una cantidad casi infinita de cuentas disponibles dentro de una cuenta virtual. Los nombres funcionan como "Clase de cuenta\Nombre de cuenta", es decir, "Identidad de grupo de aplicaciones\Grupo de aplicaciones predeterminado". El SID se basa en un hash SHA-1 del nombre en minúsculas. A cada cuenta virtual se le pueden otorgar permisos por separado, ya que cada una se asigna a un SID distinto. Esto evita el problema de "permisos de uso compartido cruzado" en el que cada servicio se asigna a la misma clase NT AUTHORITY (como "NT AUTHORITY\Servicio de red").

SID de máquina

El SID de la máquina (S-1-5-21) se almacena en la subárbol del registro SECURITY ubicado en SECURITY\SAM\Domains\Account , esta clave tiene dos valores F y V . El valor V es un valor binario que tiene el SID de la computadora incrustado dentro de él al final de sus datos (últimos 96 bits). [11] (Algunas fuentes afirman que se almacena en la subárbol SAM en su lugar). Una copia de seguridad se encuentra en SECURITY\Policy\PolAcDmS\@ .

NewSID garantiza que este SID tenga un formato estándar de NT 4.0 (3 subautoridades de 32 bits precedidas por tres campos de autoridad de 32 bits). A continuación, NewSID genera un nuevo SID aleatorio para el equipo. La generación de NewSID se esfuerza mucho para crear un valor de 96 bits verdaderamente aleatorio, que reemplaza los 96 bits de los 3 valores de subautoridad que componen un SID de equipo.

—  Léame de NewSID

El formato de subautoridad SID de máquina también se utiliza para los SID de dominio. En este caso, una máquina se considera su propio dominio local.

Máquina decodificadora SID

El SID de la máquina se almacena en formato de bytes sin formato en el registro. Para convertirlo al formato numérico más común, se interpreta como tres números enteros little endian de 32 bits, se convierten a decimales y se añaden guiones entre ellos.

Otros usos

El SID de la máquina también es utilizado por algunos programas de prueba gratuitos, como Start8, para identificar la computadora de modo que no pueda reiniciar la prueba. [ cita requerida ]

SID de servicio

Los SID de servicio son una característica del aislamiento de servicios, una característica de seguridad introducida en Windows Vista y Windows Server 2008. [ 12] Cualquier servicio con la propiedad de tipo SID "sin restricciones" tendrá un SID específico del servicio agregado al token de acceso del proceso host del servicio. El propósito de los SID de servicio es permitir que se administren los permisos para un solo servicio sin necesidad de crear cuentas de servicio, lo que supone una sobrecarga administrativa.

Cada SID de servicio es un SID local a nivel de máquina generado a partir del nombre del servicio utilizando la siguiente fórmula:

S-1-5-80-{SHA-1(service name in upper case encoded as UTF-16)}

El sc.exe comando se puede utilizar para generar un SID de servicio arbitrario:

El servicio también puede denominarse NT SERVICE\<service_name> (por ejemplo, "NT SERVICE\dnscache").

SID duplicados

En un grupo de trabajo de equipos con Windows NT/2K/XP, es posible que un usuario tenga acceso inesperado a archivos compartidos o a archivos almacenados en un dispositivo de almacenamiento extraíble. Esto se puede evitar configurando listas de control de acceso en un archivo susceptible, de modo que los permisos efectivos estén determinados por el SID del usuario. Si este SID de usuario se duplica en otro equipo, un usuario de un segundo equipo que tenga el mismo SID podría tener acceso a los archivos que el usuario de un primer equipo ha protegido. Esto puede suceder a menudo cuando los SID de los equipos se duplican mediante un clon de disco, algo habitual en las copias piratas. Los SID de usuario se construyen en función del SID de la máquina y de un ID relativo secuencial.

Cuando los equipos se unen a un dominio (por ejemplo, Active Directory o dominio NT), a cada equipo se le asigna un SID de dominio único que se vuelve a calcular cada vez que un equipo ingresa a un dominio. Este SID es similar al SID de la máquina. Como resultado, normalmente no hay problemas significativos con SID duplicados cuando los equipos son miembros de un dominio, especialmente si no se utilizan cuentas de usuario locales. Si se utilizan cuentas de usuario locales, existe un problema de seguridad potencial similar al descrito anteriormente, pero el problema se limita a los archivos y recursos protegidos por usuarios locales, en lugar de por usuarios de dominio.

Los SID duplicados generalmente no son un problema con los sistemas Microsoft Windows, aunque otros programas que detectan SID pueden tener problemas con su seguridad.

Microsoft solía proporcionar la utilidad "NewSID" de Mark Russinovich como parte de Sysinternals para cambiar el SID de una máquina. [13] Se retiró y se eliminó de la descarga el 2 de noviembre de 2009. La explicación de Russinovich es que ni él ni el equipo de seguridad de Windows podían pensar en ninguna situación en la que los SID duplicados pudieran causar algún problema, porque los SID de la máquina nunca son responsables de bloquear el acceso a la red. [14]

Actualmente, el único mecanismo compatible para duplicar discos para sistemas operativos Windows es mediante el uso de SysPrep , que genera nuevos SID.

Véase también

Referencias

  1. ^ "Identificadores de seguridad conocidos en sistemas operativos Windows". support.microsoft.com . Consultado el 12 de diciembre de 2019 .
  2. ^ openspecs-office. «[MS-DTYP]: Estructuras de SID conocidas». docs.microsoft.com . Consultado el 3 de septiembre de 2020 .
  3. ^ Consulte la sección "Principales personalizados" en https://msdn.microsoft.com/en-us/library/aa480244.aspx
  4. ^ "Weblog de Larry Osterman". 17 de julio de 2020.
  5. ^ "Ejemplo del impacto de las cuentas Microsoft en las API de Windows en Windows 8/8.1 – Blog del equipo de soporte técnico de Windows SDK". blogs.msdn.microsoft.com . 12 de diciembre de 2014.
  6. ^ ab "Identificadores de seguridad". support.microsoft.com . 28 de agosto de 2021 . Consultado el 2 de septiembre de 2020 .
  7. ^ ab "Algunos SID no se resuelven en nombres descriptivos". support.microsoft.com . 24 de septiembre de 2021 . Consultado el 2 de septiembre de 2020 .
  8. ^ lastnameholiu. "Constantes SID de capacidad (Winnt.h) - Aplicaciones Win32". docs.microsoft.com . Consultado el 2 de septiembre de 2020 .
  9. ^ "Cuentas en todas partes: parte 1, Cuentas virtuales". 1E . 2017-11-24 . Consultado el 2020-09-02 .
  10. ^ "SID de identidad de IIS AppPool". winterdom . 2020-09-02.
  11. ^ "Utilidad MS TechNet NewSID: cómo funciona". Base de conocimientos . Microsoft . 1 de noviembre de 2006 . Consultado el 5 de agosto de 2008 .
  12. ^ "Función de aislamiento de servicios de Windows". Artículo . Windows IT Pro. 6 de junio de 2012 . Consultado el 7 de diciembre de 2012 .
  13. ^ "NuevoSID v4.10". Componentes internos del sistema Windows . Microsoft. 2006-11-01.
  14. ^ Russinovich, Mark (3 de noviembre de 2009). "El mito de la duplicación de SID de la máquina". Blogs de TechNet . Microsoft.

Enlaces externos