Mitul sid calculator duplicat

Motivul pentru care am început să ia în considerare posibilitatea de a trimite la NewSID
Restul au fost recenzii de la utilizatori. Cu toate că, în general, utilizarea utilitarului pe Windows
Vista a fost de succes, unii utilizatori au raportat probleme cu acest
componente ale sistemului după utilizarea NewSID. În plus, nu am urmărit-
testarea completă. Când am început să studieze comentarii, am luat un pas înapoi,
să dau seama cum să duplicat SID poate deveni o cauza de probleme
pentru că înainte am avut această ocazie de la sine, la fel ca toți ceilalți. și
Cu cât m-am gândit la asta, cu atât mai puternică a fost convingerea mea că duplicarea
certificatele de siguranță, adică, prezența mai multor calculatoare cu aceeași
SID, în sine, nu poate fi motivul pentru problemele cu
de securitate sau de orice altceva. Am împărtășit gândurile mele cu echipe
Dezvoltatorii de Windows care se ocupă cu sisteme de securitate și de implementare, și
în cazul în care nimeni nu ar putea veni cu o astfel de secvență în care două
sisteme cu același SID, care funcționează în cadrul unui grup de lucru sau domeniu,
ar putea duce la greșeli. Din acel moment, decizia de a închide a fost NewSID
evidentă.

identificator de securitate (SID)

Windows utilizează SID pentru a reprezenta nu numai mașinile și
în general, întregul sistem de securitate spațiu Principal Names, din care o parte
Acestea sunt mașini, conturi de domeniu, utilizatori și grupuri de securitate. lor
nume - o reprezentare mai ușor de înțeles pentru SID a formularului de utilizare,
permițând, de exemplu, pentru a redenumi contul fără a fi nevoie de a actualiza
pentru a afișa modificările link la acest cont liste
de control al accesului (ACL). SID Identifier - este o valoare numerică
de lungime variabilă, formată din numărul de versiune a structurii SID, codul de 48 biți
identificator agent și un număr variabil de coduri subagenti pe 32 de biți și / sau
ID relativă (RID). Codul de identificare a agentului (identificator
Valoarea autoritate) determină agentul care a emis SID. Un astfel de agent este în mod obișnuit
sistemul local sau un domeniu care rulează Windows. coduri subagenti
Trustees identifica agentul care a emis SID, un RID autorizat -
nu mai mult decât un mijloc de a crea SID unic, bazat pe nucleul comun SID.

Pentru a vedea ce SID al mașinii poate, dacă utilizați
utilitate

PsGetSid. care rulează linia de comandă fără parametri:

Mitul sid calculator duplicat

Acest număr de versiune SID este 1, codul de identificare a agentului de - 5, și apoi du-te
Codurile celor patru sub-agenți. O dată într-un Windows NT SID este capabil
folosit pentru a identifica un calculator în rețea, astfel încât să se asigure
unicitatea în generarea SID în Setup pentru Windows are un conține
fix (21) și trei aleator (numărul următor „S-1-5-21“)
Codul subagenti.

Chiar înainte de a crea primul cont de utilizator pe sistem, Windows
Acesta definește un număr de utilizatori și grupuri încorporate, inclusiv conturi
„Administrator“ și „oaspeți“. În loc să genereze o nouă întâmplare
SID-ul pentru aceste conturi, Windows asigură acestora
alteritate, adăugând pur și simplu numărul SID unic pentru fiecare cont,
numit un identificator relativ (Identifier relativă, RID). pentru
RID conturi încorporate de utilizator menționate mai sus sunt definite în prealabil, astfel încât
utilizator "Administrator" RID este întotdeauna 500:

Mitul sid calculator duplicat

Mitul sid calculator duplicat

Identificatorii de liste de securitate și control al accesului (ACL)

Mitul sid calculator duplicat

Și aici (în fereastra Process Explorer, mânerul) se poate vedea informațiile pe marcator,
care LSASS a creat pentru această sesiune. Vă rugăm să rețineți că numărul următor
nume de cont (7fdee), corespunde cu ID-ul sesiunii de intrare
LogonSessions:

Mitul sid calculator duplicat

În mod implicit, procesele mosteni o copie a token-ul procesului părinte.

Astfel, fiecare proces care rulează în sesiune mea interactiv, o copie a
marcator, moștenită inițial de la procesul userinit.exe că primul
Winlogon este creat de fiecare dată când un Log on interactiv. s-ar putea
Vizualizați conținutul procesului de token-ul prin dublu-clic pe linia de proces
în

Process Explorer și comutați la fila Securitate din caseta de dialog
proprietăți de proces:

Mitul sid calculator duplicat

Atunci când unul dintre procesele mele se deschide un sistem de operare obiect, de exemplu,
fișier sau registru cheie, controalele subsistemul de securitate
drepturile de acces, în care înregistrările sunt verificate pe lista de control al accesului
(ACL) obiecte care se referă la SID, marcatorul este în proces.

Aceeași verificare se efectuează pentru conectare la sesiunea de la distanță
utilizarea resurselor comune cu computerele de la distanță. Pentru o conexiune de succes
resursa partajată trebuie să autentifice la un sistem la distanță folosind
cont cunoscut acest sistem. În cazul în care computerul face parte din „Working
Group“, atunci va trebui să introduceți datele de intrare într-un cont local
sistemul de la distanță, și un sistem conectat la un domeniu, acesta poate fi la fel
datele unui cont local de pe computerul la distanță, iar contul de date
intrare domeniu. Atunci când un utilizator accesează un fișier de pe o resursă partajată, conducătorul auto
server de fișiere, sistemul utilizează token-ul de la sesiunea de intrare pentru a testa
drepturi de acces, pentru traducerea prin mecanismul drepturilor de împrumut.

SID duplicarea

Promovat de Microsoft mod de a crea instalare Windows, potrivite pentru
implementare pentru grupuri de calculatoare, este instalat Windows
computer de referință și pregătirea sistemului pentru donarea cu utilitatea
Sysprep. Această metodă se numește „imagine generalizată“, pentru că atunci când este încărcat
Sysprep particularizează instalației, generând un nou SID mașină, definind
hardware-ul existent resetarea activarea contra și setarea altor
setări, inclusiv - numele calculatorului.

Cu toate acestea, unele IT-administratori pus primul Windows pe unul dintre lor
sisteme, instalarea și configurarea aplicației, și apoi utilizați astfel
instrumente de implementare care nu naparlesc SID în imaginile de instalare
Windows. Până în prezent, cel mai bun mod în astfel de situații a fost de a utiliza
Utility pentru a schimba SID, cum ar fi NewSID. Aceste utilități generează noi
SID a mașinii, și apoi încercați să-l actualizeze la toate
locuri imaginabile, inclusiv sistemul de fișiere și de acces la listele de control
registru. Motivul pentru care Microsoft nu acceptă această metodă de schimbare
sistemul este destul de simplu - în contrast cu sysprep, utilități terțe părți pot să nu
Știu toate locurile în care pentru Windows stochează SID
calculator. Și dacă da, atunci fiabilitatea computerului, pe care există o veche și
nou SID, nu poate fi garantată.

Cu alte cuvinte, SID oferă acces la un computer, iar numele
Contul de utilizator și parola. simpla cunoaștere a contului SID privind
aparatul la distanță nu va permite accesul la calculator sau de resurse.
Pentru a vedea încă o dată acest lucru, este suficient să se amintească faptul că built-in
conturi (de exemplu, sistemul local) au același SID cu privire la orice
de calculator, care ar fi o vulnerabilitate serioasă în cazul în care accesul a fost bazat
pe SID.

Într-o serie de articole dedicate duplicării SID, inclusiv
acest articol din
Baza de cunoștințe Microsoft. avertizează că prezența a mai multor
SID de calculator rezultate identice faptul că resursele pe suport amovibil
(De exemplu, formatat în disc extern NTFS) nu pot fi rezervate
înseamnă un cont local. Cu toate acestea, ei au trecut cu vederea
fapt, că dreptul de acces la aceste unități nu vor lucra pentru a proteja
oricum, deoarece acestea pot fi conectate la o mașină, care
NTFS indiferente permisiunile. În plus, unitățile detașabile adesea
utilizați permisiunile implicite care permit accesul bun
cunoscut identificatorul SID (grup „Admin“, de exemplu), la fel
pe orice sistem. Este o regulă fundamentală de protecție fizică, astfel încât
Windows 7 este activat BitLocker-to-Go, care permite ca datele să fie criptate
mass-media amovibil.

Acesta din urmă la care SID duplicarea ar duce la
apariția problemei - este o situație în care o cerere de distribuit
ar folosi identificator de securitate al computerului ca singura
mijloace posibile de mașini de identificare. Cu toate acestea, software-ul Microsoft nu funcționează
dacă numai pentru că utilizat pentru SID calculator este inutil, deoarece
toate controlerele de domeniu au același SID. Dacă doriți să ștergeți
identifica computerul, utilizați fie numele de calculator sau domeniu
identificatori SID.

cel mai bun nou

În mod surprinzător, că nu este considerat un duplicat SID pentru atât de mult timp să fie
discuta problema numai pentru că toată lumea a crezut cineva despre asta tocmai
Este cunoscut. Spre regretul meu, de fapt, nu a fost niciodată cu adevărat NewSID
un instrument util, și dor de ea acum face nici un sens. oficial
Politica Microsoft cu privire la această problemă, de asemenea, se va schimba, astfel încât vă puteți aștepta
că, în versiunile viitoare ale Sysprep generație etapa SID vor fi omise.


Expert sisteme de operare laterale greșit: Mark Russinovich