Митът за дубликат компютър Сид

Причината, поради която аз започнах да се разгледа възможността за изпращане на NewSID
Останалите са потребителски мнения. Въпреки че като цяло използването на помощната програма на Windows
Vista е бил успешен, някои потребители съобщават за проблеми с това
компоненти на системата и след като се използва NewSID. Освен това, аз не съм я последва
пълно тестване. Когато започнах да уча мнения, аз отстъпи крачка назад,
да разбера как да се дублира SID може да стане причина за проблеми
защото преди да се възползва от случая, за даденост, просто като всички останали. и
Колкото повече мислех за това, толкова по-силно е моето убеждение, че дублирането
сертификати за безопасност, което е, наличието на множество компютри с еднакви
SID, само по себе си не може да бъде причина за проблемите с
сигурност или нещо друго. Аз споделих моите мисли с екипи
Windows разработчици, които се занимават със системи за сигурност и на инсталациите и
където никой не може да излезе с такава последователност, в която две
системи с една и съща SID, работещи в рамките на една работна група или домейн,
може да причини грешки. От този момент решението за затваряне е NewSID
очевидно.

идентификатор за сигурност (SID)

Windows използва SID да представляват не само на машините и
по принцип цялото пространство система за сигурност Основни имена, част от които
Те са машини, сметки на домейни, потребители и групи за сигурност. техен
имена - на по-разбираем начин да се представи SID на формуляра за потребител,
което позволява например да преименувате без да е необходимо да се актуализира
за да се покаже промените линк към тази списъци сметки
контрол на достъпа (ACL). Identifier SID - това е числова стойност
променлива дължина, образувана от номера на версията на структурата на SID, 48-битов код
идентификатор агент и променлив брой 32-битови кодове подизпълнители и / или
относителна ID (RID). идентификатор агент код (идентификатор
орган стойност) определя агент, който е издал SID. Такова средство обикновено е
локалната система или домейн използвате Windows. кодове подагенти
идентифициране на Настоятелството разрешени агент, който е издал SID, а RID -
не повече от средство за създаване на уникален SID се основава на обща ядрото SID.

За да видите какво СИД на машината може, ако използвате
полезност

PsGetSid. използвате командния ред без параметри:

Митът за дубликат компютър Сид

Този номер SID версия е 1, агент ID код - 5, а след това да се
кодове на четири под-агенти. Един път в Windows NT SID е в състояние
използва за идентифициране на компютър в мрежата, така че да се гарантира,
уникалност при генерирането на SID в Настройка на Windows съдържа един
фиксирана (21) и три случайно генерирани (броят след "S-1.5.21")
подизпълнители код.

Дори преди да създадете първия потребителски акаунт на системата, Windows
Той определя редица вградени потребители и групи, в това число сметки
"Администратор" и "гости". Вместо това се генерира нов случаен
СИД за тези сметки, Windows осигурява тяхната
другостта, просто чрез добавяне на номера на SID уникален за всеки акаунт,
нарича относителна идентификатор (Относителен идентификатор, RID). за
RID вградени потребителски акаунти споменати по-горе са определени предварително, така че
потребител "Администратор" RID винаги е 500:

Митът за дубликат компютър Сид

Митът за дубликат компютър Сид

Идентификатори на списъци за сигурност и контрол на достъпа (ACL)

Митът за дубликат компютър Сид

И тук (в прозореца на Process Explorer, дръжката) може да видите информацията за маркера,
който Lsass е създал за тази сесия. Моля, имайте предвид, че броят следната
името на профила (7fdee), съответства на идентификатора на сесията вход
LogonSessions:

Митът за дубликат компютър Сид

По подразбиране, процеси наследят копие от код за достъп до процеса на родител.

По този начин, всеки процес, протичащ в моя интерактивна сесия, копие от
маркер, първоначално наследена от Userinit.exe процес, който за пръв път
Winlogon се създава всеки път, интерактивна влизане. ти май
Преглед на съдържанието в процес символични чрез двукратно щракване върху технологичната линия
в

Process Explorer и преминете към раздела Защита в диалоговия прозорец
технологични свойства:

Митът за дубликат компютър Сид

Когато един от моите процеси отваря обект система операционната, например,
файл или ключ на системния регистър, проверките на подсистемата за защита
права за достъп, в който записите се проверяват срещу списъка за контрол на достъпа
(ACL) предмети, които се отнасят за SID, маркерът е в процес.

Същото се извършва проверката за вход в сесия за дистанционно при
използването на общи ресурси с отдалечени компютри. За една успешна връзка
споделения ресурс, което трябва да удостовери автентичността на отдалечена система, използвайки
предвид познатите тази система. Ако компютърът е част от "Работа
Група ", а след това ще трябва да въведете входните данни на местен сметка
отдалечената система и система, свързана към домейн, може да бъде като
данни местен сметка на отдалечения компютър, както и отчета за данни
влизане домейн. Когато даден потребител има достъп до файла на споделен ресурс, водачът
файлов сървър, системата използва означението от входната сесия да се тества
права за достъп, които превеждат това чрез механизма на правата на заеми.

SID дублиране

Популяризирано от Microsoft начин за създаване на инсталация на Windows, подходящ за
разполагане на групи от компютри, Windows е инсталиран на
справка компютър и да се подготвят системата за клониране, с полезността
Sysprep. Този метод се нарича "обобщен образ", защото, когато е зареден
Sysprep персонализира инсталацията, генериране на нова машина SID, определяща
съществуващия хардуер нулиране брояч активиране и определяне на друг
настройки, включително - име на компютъра.

Въпреки това, някои ИТ администраторите на пускане на Windows на един от тях
системи, да инсталират и конфигурират приложението и след това използвайте такива
Средства за разгръщане, които не се отърсили SID в инсталационните копия,
Windows. До момента най-добрият начин в такива ситуации е да се използват
Utility за промяна на SID, като NewSID. Тези комунални услуги генерират нови
SID на машината, а след това се опита да го актуализира при всички
възможни места, включително и контролните списъци на файловата система и достъп
регистър. Причината, поради която Microsoft не поддържа този метод за промяна
системата е съвсем проста - в контраст с Sysprep, трети страни комунални услуги, не може
Знам, че всички места, където Windows съхранява SID
компютър. И ако е така, тогава надеждността на вашия компютър, на който има една стара и
нов SID, не може да бъде гарантирана.

С други думи, SID осигурява достъп до компютър, а името
Профилът на потребител и парола. обикновеното познаване на SID на профила
отдалечената машина няма да позволи достъп до компютъра или ресурси.
За да видите още веднъж това, достатъчно е да се припомни, че вградената
сметки (например, Local System) имат една и съща SID на всеки
компютър, който ще бъде сериозна уязвимост, ако достъпът се основава
на SID.

В поредица от статии, посветени на дублирането на СИД, включително
тази статия от
База на Microsoft Knowledge. предупреждава, че наличието на няколко
SID компютърни идентични резултати на факта, че ресурсите на преносимите носители
(Например форматира в NTFS външен диск) не могат да бъдат запазени
означава местен сметка. Въпреки това, те пренебрегва
факт е, че правото на достъп до такива устройства няма да работи, за да се защити
така или иначе, тъй като те могат да бъдат свързани с една машина, която
безразлични NTFS разрешения. Освен това, преносими устройства често
Използване на разрешения по подразбиране, които позволяват добър достъп
Известно идентификатор SID (група "Администриране", например), същото
на всяка система. Тя е основно правило за физическа защита, така че
Windows 7 е активиран Bitlocker-към-Go, която позволява данните да бъдат криптирани
сменяеми носители.

Последният, на която SID дублиране би довело до
появата на проблема - това е ситуация, при която приложение в разпределена
ще използва идентификатор за сигурност на компютъра като единственото
възможни средства за идентифициране на машини. Въпреки това, софтуер на Microsoft не работи
дори и само заради това, използвано за компютър Сид е безполезна, защото
всички домейн контролери имат същия SID. Ако искате да изчистите
идентифициране на компютъра си, използвайте или имената компютър или домейн
идентификатори SID.

Нов най-добрата политика

Изненадващо е, че не се счита за дубликат SID за толкова дълго време, за да бъде
обсъди въпроса само защото всички мислеха, че някой за това точно
Той е известен. За мое съжаление, в действителност никога не е наистина NewSID
полезен инструмент, и тя ми липсва сега няма смисъл. официален
Microsoft политика по този въпрос, също ще се промени, така че можете да очаквате
че в бъдещите версии на Sysprep поколение етап SID ще бъде пропуснат.


Експертни операционни системи грешната страна: Марк Русинович