Identificador de seguridad

En el contexto de la línea de sistemas operativos Microsoft Windows NT , un identificador de seguridad (comúnmente abreviado SID ) es un identificador único e inmutable de un usuario, grupo de usuarios u otra entidad de seguridad . Una entidad de seguridad tiene un único SID de por vida (en un dominio determinado) y todas las propiedades de la entidad de seguridad, incluido su nombre, están asociadas con el SID. Este diseño permite cambiar el nombre de un principal (por ejemplo, de "Jane Smith" a "Jane Jones") sin afectar los atributos de seguridad de los objetos que hacen referencia al principal.

Visión general

Windows concede o niega el acceso y los privilegios a los recursos según las listas de control de acceso (ACL), que utilizan SID para identificar de forma única a los usuarios y sus pertenencias a grupos. Cuando un usuario inicia sesión en una computadora, se genera un token de acceso que contiene los SID de usuario y grupo y el nivel de privilegio del usuario. Cuando un usuario solicita acceso a un recurso, el token de acceso se compara con la ACL para permitir o denegar una acción particular en un objeto en particular.

Los SID son útiles para solucionar problemas con auditorías de seguridad, migraciones de dominios y servidores de Windows.

El formato de un SID se puede ilustrar con el siguiente ejemplo: "S-1-5-21-3623811015-3361044348-30300820-1013";

S

1

5

21-3623811015-3361044348-30300820

1013

La cadena es un SID.

El nivel de revisión (la versión de la especificación SID).

El valor de autoridad del identificador.

Valor de subautoridad
En este caso, un dominio (21) con un identificador único.

Puede haber más de una subautoridad,

especialmente si la cuenta existe en un dominio

y pertenece a diferentes grupos. ^[1]

Un ID relativo (RID). Cualquier grupo o usuario que no se cree de forma predeterminada tendrá un ID relativo de 1000 o más.

Valores de autoridad del identificador

Esta lista está incompleta ; puede ayudar agregando elementos faltantes . ( Mayo de 2016 )

Valor de autoridad del identificador

Los valores de autoridad de identificadores conocidos son: ^[2]^[3]


Decimal	Nombre	Nombre para mostrar	Introdujo por primera vez	Referencias	Notas
0	Autoridad nula				por ejemplo, "Nadie" (S-1-0-0)
1	Autoridad mundial	(no mostrado)			por ejemplo, grupos bien conocidos como "Everyone". (S-1-1-0)
2	Autoridad local	(no mostrado)			por ejemplo, marcar SID como "CONSOLE LOGON"
3	Autoridad creadora
4	Autoridad no única
5	Autoridad del NT	AUTORIDAD DEL NT \			Gestionado por el subsistema de seguridad NT. Hay muchas subautoridades como "BUILTIN" y todos los dominios de Active Directory
7	Internet $	Internet $ \	Windows 7
9	Autoridad del administrador de recursos		Windows Server 2003	^[4]^[5]
11	Autoridad de cuenta de Microsoft	Cuenta de Microsoft\	Windows 8	^[6]
12	Azure Active Directory	AzureAD \	Windows 10
15	SID de capacidad		Windows 8 Windows Server 2012	^[7]^[8]^[9]	Todos los SID de capacidad comienzan en S-1-15-3 Por diseño, un SID de capacidad no se resuelve en un nombre descriptivo. El SID de capacidad más utilizado es el siguiente: S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681
dieciséis		Etiqueta obligatoria \	Windows Vista		Utilizado como parte del control de integridad obligatorio
18		Identidad afirmada

Identificación de un SID de capacidad:

Si encuentra el SID en los datos del registro, entonces es un SID de capacidad. Por diseño, no se convertirá en un nombre descriptivo.
Si no encuentra el SID en los datos del registro, entonces no es un SID de capacidad conocido. Puede continuar solucionándolo como un SID normal sin resolver. Tenga en cuenta que existe una pequeña posibilidad de que el SID sea un SID de capacidad de terceros, en cuyo caso no se resolverá en un nombre descriptivo.

Según el soporte de Microsoft: ^[8] Importante : NO ELIMINE los SIDS de capacidad de los permisos del Registro o del sistema de archivos. La eliminación de un SID de capacidad de los permisos del sistema de archivos o los permisos del registro puede hacer que una característica o aplicación funcione incorrectamente. Después de eliminar un SID de capacidad, no puede usar la interfaz de usuario para volver a agregarlo.

Valores de subautoridad S-1-5 ^[7]^[10]^[11]

Decimal	Nombre	Nombre para mostrar	Introdujo por primera vez	Notas
18	LocalSystem	LocalSystem	Windows 7	Ej: S-1-5-18 es el conocido-sid para LocalSystem
21	Dominio
32	Usuarios		Windows 7	Ej: S-1-5-32-568 es el ID de grupo para IIS_IUSRS
64	Autenticación			10 - NTLM 14 - Canal SC 21 - Resumen
80	Servicio NT	SERVICIO NT \	Windows Vista	Puede ser "Servicio NT de cuenta virtual", como para instalaciones de SQL Server S-1-5-80-0 corresponde a "NT SERVICE \ ALL SERVICES"
82	Grupo de aplicaciones de IIS	AppPoolIdentity \	Windows 7
83	Maquinas virtuales	NT MÁQUINA VIRTUAL \	Windows 7	"NT Virtual Machine \ {guid}" donde {guid} es el GUID de Hyper-V VM S-1-5-83-0 es el ID de grupo para "NT VIRTUAL MACHINE \ Virtual Machines"
90	Administrador de ventanas	Grupo de administradores de Windows (DWM)	Windows 7	Clase de administrador de ventanas
96	Controlador de fuente		Windows 7	Host del controlador de fuente \ UMFD-1

Las cuentas virtuales se definen para un conjunto fijo de nombres de clases, pero el nombre de la cuenta no está definido. Hay una cantidad casi infinita de cuentas disponibles dentro de una cuenta virtual. Los nombres funcionan como "Clase de cuenta \ Nombre de cuenta", por lo que "AppPoolIdentity \ Grupo de aplicaciones predeterminado". El SID se basa en un hash SHA-1 del nombre en minúsculas. Cada una de las cuentas virtuales puede recibir permisos por separado, ya que cada una se asigna a un SID distinto. Esto evita el problema de "permisos de uso compartido cruzado" donde cada servicio se asigna a la misma clase NT AUTHORITY (como "NT AUTHORITY \ Network Service")

SID de la máquina

El SID de la máquina (S-1-5-21) se almacena en la SEGURIDAD subárbol de registro situado en SECURITY \ SAM \ Domains \ Cuenta , esta tecla tiene dos valores F y V . El valor V es un valor binario que tiene el SID de la computadora incrustado al final de sus datos (últimos 96 bits). ^[12] (Algunas fuentes afirman que, en su lugar, se almacena en la colmena SAM). Hay una copia de seguridad en SECURITY \ Policy \ PolAcDmS \ @ .

NewSID asegura que este SID está en un formato estándar NT 4.0 (3 subautoridades de 32 bits precedidas por tres campos de autoridad de 32 bits). A continuación, NewSID genera un nuevo SID aleatorio para la computadora. La generación de NewSID se esmera en crear un valor de 96 bits verdaderamente aleatorio, que reemplaza los 96 bits de los 3 valores de subautoridad que componen un SID de computadora.
- Léame de NewSID

El formato de subautoridad de SID de la máquina también se utiliza para los SID de dominio. En este caso, una máquina se considera su propio dominio local.

SID de la máquina de decodificación

El SID de la máquina se almacena en forma de bytes sin procesar en el registro. Para convertirlo a la forma numérica más común, uno lo interpreta como tres enteros little endian de 32 bits, los convierte a decimales y agrega guiones entre ellos.

Ejemplo	2E, 43, AC, 40, C0,85,38,5D, 07, E5,3B, 2B
1) Divida los bytes en 3 secciones:	2E, 43, AC, 40 - C0,85,38,5D - 07, E5,3B, 2B
2) Invierta el orden de los bytes en cada sección:	40, AC, 43,2E - 5D, 38,85, C0 - 2B, 3B, E5,07
3) Convierta cada sección en decimal:	1085031214 - 1563985344 - 725345543
4) Agregue el prefijo SID de la máquina:	S-1-5-21-1085031214-1563985344-725345543

Otros usos

El SID de la máquina también lo utilizan algunos programas de prueba gratuita, como Start8 , para identificar la computadora de modo que no pueda reiniciar la prueba. ^{[ cita requerida ]}

SID de servicio

Los SID de servicio son una característica del aislamiento del servicio , una característica de seguridad introducida en Windows Vista y Windows Server 2008 . ^[13] Cualquier servicio con la propiedad de tipo SID "sin restricciones" tendrá un SID específico del servicio agregado al token de acceso del proceso de host del servicio. El propósito de los SID de servicio es permitir que los permisos para un solo servicio se administren sin necesidad de crear cuentas de servicio, una sobrecarga administrativa.

Cada SID de servicio es un SID local a nivel de máquina generado a partir del nombre del servicio mediante la siguiente fórmula:

S-1-5-80-{SHA-1(service name in upper case encoded as UTF-16)}

El sc.exe comando se puede utilizar para generar un SID de servicio arbitrario:

El servicio también puede denominarse NT SERVICE \ <service_name> (por ejemplo, "NT SERVICE \ dnscache").

SID duplicados

Es posible que el tono o estilo de este artículo no refleje el tono enciclopédico utilizado en Wikipedia . Consulte la guía de Wikipedia para escribir mejores artículos para obtener sugerencias. ( Abril de 2009 ) ( Obtenga información sobre cómo y cuándo eliminar este mensaje de plantilla )

En un grupo de trabajo de computadoras que ejecutan Windows NT / 2K / XP, es posible que un usuario tenga acceso inesperado a archivos compartidos o archivos almacenados en un almacenamiento extraíble. Esto se puede evitar configurando listas de control de acceso en un archivo susceptible, de modo que los permisos efectivos los determine el SID del usuario. Si este SID de usuario está duplicado en otra computadora, un usuario de una segunda computadora que tenga el mismo SID podría tener acceso a los archivos que el usuario de una primera computadora ha protegido. Esto puede suceder a menudo cuando los SID de la máquina se duplican mediante un clon de disco, algo común en las copias piratas. Los SID de usuario se crean en función del SID de la máquina y un ID relativo secuencial.

Cuando las computadoras se unen en un dominio (Active Directory o dominio NT, por ejemplo), a cada computadora se le proporciona un SID de dominio único que se vuelve a calcular cada vez que una computadora ingresa a un dominio. Este SID es similar al SID de la máquina. Como resultado, normalmente no hay problemas importantes con los SID duplicados cuando los equipos son miembros de un dominio, especialmente si no se utilizan cuentas de usuario locales. Si se utilizan cuentas de usuario locales, existe un problema de seguridad potencial similar al descrito anteriormente, pero el problema se limita a los archivos y recursos protegidos por los usuarios locales, a diferencia de los usuarios del dominio.

Los SID duplicados no suelen ser un problema con los sistemas Microsoft Windows, aunque otros programas que detectan los SID pueden tener problemas con su seguridad.

Microsoft solía proporcionar la utilidad "NewSID" de Mark Russinovich como parte de Sysinternals para cambiar el SID de una máquina. ^[14] Se retiró y se eliminó de la descarga el 2 de noviembre de 2009. La explicación de Russinovich es que ni él ni el equipo de seguridad de Windows podían pensar en ninguna situación en la que los SID duplicados pudieran causar algún problema, porque los SID de la máquina nunca son responsables de la activación cualquier acceso a la red. ^[15]

En la actualidad, el único mecanismo compatible para duplicar discos para los sistemas operativos Windows es mediante el uso de SysPrep , que genera nuevos SID.

Ver también

Control de acceso
Matriz de control de acceso
Control de acceso discrecional (DAC)
Identificador único global (GUID)
Control de acceso obligatorio (MAC)
Control de acceso basado en roles (RBAC)
Seguridad basada en capacidad
Operaciones posteriores a la clonación

Referencias

^ "En Windows, ¿qué es el SID (identificador de seguridad)?" . kb.iu.edu . Consultado el 2 de septiembre de 2020 .
^ "Identificadores de seguridad conocidos en sistemas operativos Windows" . support.microsoft.com . Consultado el 12 de diciembre de 2019 .
^ openspecs-office. "[MS-DTYP]: Estructuras SID conocidas" . docs.microsoft.com . Consultado el 3 de septiembre de 2020 .
^ Consulte la sección "Principales personalizados" en https://msdn.microsoft.com/en-us/library/aa480244.aspx
^ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
^ "Ejemplo de impacto de las cuentas de Microsoft en las API de Windows en Windows 8 / 8.1 - Blog del equipo de soporte de Windows SDK" . blogs.msdn.microsoft.com .
^ a b support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems . Consultado el 2 de septiembre de 2020 . Falta o vacío |title=( ayuda )
^ a b support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names . Consultado el 2 de septiembre de 2020 . Falta o vacío |title=( ayuda )
^ lastnameholiu. "Constantes de capacidad SID (Winnt.h) - aplicaciones Win32" . docs.microsoft.com . Consultado el 2 de septiembre de 2020 .
^ "Cuentas en todas partes: parte 1, cuentas virtuales" . 1E . 2017-11-24 . Consultado el 2 de septiembre de 2020 .
^ "SID de identidad de grupo de aplicaciones IIS" . Winterdom . 2020-09-02.
^ "Utilidad MS TechNet NewSID - cómo funciona" . Base de conocimientos . Microsoft . 1 de noviembre de 2006 . Consultado el 5 de agosto de 2008 .
^ "Característica de aislamiento del servicio de Windows" . Articulo . Windows IT Pro . 6 de junio de 2012 . Consultado el 7 de diciembre de 2012 .
^ "NewSID v4.10" . Sysinternals de Windows . Microsoft. 2006-11-01.
↑ Russinovich, Mark (3 de noviembre de 2009). "El mito de la duplicación de SID de la máquina" . Blogs de TechNet . Microsoft.

enlaces externos

Oficial
- ObjectSID y Active Directory
- Microsoft TechNet: Server 2003: Referencia técnica de identificadores de seguridad
- MSKB154599: Cómo asociar un nombre de usuario con un identificador de seguridad
- MSKB243330: identificadores de seguridad conocidos en los sistemas operativos Windows
- Herramientas de soporte para Windows Server 2003 y Windows XP
- Identificadores de seguridad: documentos de seguridad de Windows
Otro
- Por qué es importante comprender los SID
- Atributos del descriptor de seguridad de Microsoft (SID): artículo tutorial sobre el manejo / conversión de SID en scripts

[1] "En Windows, ¿qué es el SID (identificador de seguridad)?" . kb.iu.edu . Consultado el 2 de septiembre de 2020 .

[2] "Identificadores de seguridad conocidos en sistemas operativos Windows" . support.microsoft.com . Consultado el 12 de diciembre de 2019 .

[3] specs-office. "[MS-DTYP]: Estructuras SID conocidas" . docs.microsoft.com . Consultado el 3 de septiembre de 2020 .

[4] Consulte la sección "Principales personalizados" en https://msdn.microsoft.com/en-us/library/aa480244.aspx

[5] ttp://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx

[6] "Ejemplo de impacto de las cuentas de Microsoft en las API de Windows en Windows 8 / 8.1 - Blog del equipo de soporte de Windows SDK" . blogs.msdn.microsoft.com .

[:0-7] support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems . Consultado el 2 de septiembre de 2020 . Falta o vacío |title=( ayuda )

[:1-8] support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names . Consultado el 2 de septiembre de 2020 . Falta o vacío |title=( ayuda )

[9] stnameholiu. "Constantes de capacidad SID (Winnt.h) - aplicaciones Win32" . docs.microsoft.com . Consultado el 2 de septiembre de 2020 .

[10] "Cuentas en todas partes: parte 1, cuentas virtuales" . 1E . 2017-11-24 . Consultado el 2 de septiembre de 2020 .

[11] "SID de identidad de grupo de aplicaciones IIS" . Winterdom . 2020-09-02.

[12] "Utilidad MS TechNet NewSID - cómo funciona" . Base de conocimientos . Microsoft . 1 de noviembre de 2006 . Consultado el 5 de agosto de 2008 .

[13] "Característica de aislamiento del servicio de Windows" . Articulo . Windows IT Pro . 6 de junio de 2012 . Consultado el 7 de diciembre de 2012 .

[14] "NewSID v4.10" . Sysinternals de Windows . Microsoft. 2006-11-01.

[15] Russinovich, Mark (3 de noviembre de 2009). "El mito de la duplicación de SID de la máquina" . Blogs de TechNet . Microsoft.

[1]