Article de reference

Identifiant de sécurité

Dans le contexte de la gamme de systèmes d'exploitation Microsoft Windows NT , un identifiant de sécurité ( SID ) est un identifiant unique et immuable d'un utilisateur, d'un gr...

Dans le contexte de la gamme de systèmes d'exploitation Microsoft Windows NT , un identifiant de sécurité ( SID ) est un identifiant unique et immuable d'un utilisateur, d'un groupe d'utilisateurs ou d'un autre élément de sécurité . Un élément de sécurité possède un SID unique à vie (dans un domaine donné) et toutes les propriétés de l'élément, y compris son nom, sont associées au SID. Cette conception permet de renommer un élément (par exemple, de « Jane Smith » à « Jane Jones ») sans affecter les attributs de sécurité des objets qui font référence à l'élément.

Aperçu

Windows accorde ou refuse l'accès et les privilèges aux ressources en fonction des listes de contrôle d'accès (ACL), qui utilisent des SID pour identifier de manière unique les utilisateurs et leurs appartenances à des groupes. Lorsqu'un utilisateur se connecte à un ordinateur, un jeton d'accès est généré, qui contient les SID d'utilisateur et de groupe et le niveau de privilège de l'utilisateur. Lorsqu'un utilisateur demande l'accès à une ressource, le jeton d'accès est vérifié par rapport à l'ACL pour autoriser ou refuser une action particulière sur un objet particulier.

Les SID sont utiles pour résoudre les problèmes liés aux audits de sécurité, à Windows Server et aux migrations de domaine.

Le format d'un SID peut être illustré à l'aide de l'exemple suivant : « S-1-5-21-3623811015-3361044348-30300820-1013 » :

Valeurs d'autorité d'identification

Valeur d'autorité d'identification

Les valeurs d'autorité d'identification connues sont :

Identification d'un SID de capacité :

  • Si un utilisateur trouve le SID dans les données du registre, il s'agit alors d'un SID de capacité. De par sa conception, il ne se résoudra pas en un nom convivial.
  • Si l'utilisateur ne trouve pas le SID dans les données du registre, il ne s'agit pas d'un SID de capacité connu. Il peut toujours être résolu comme un SID normal non résolu. Il existe une faible probabilité que le SID soit un SID de capacité tiers, auquel cas il ne se résoudra pas en un nom convivial.

Conformément au support Microsoft : Important : NE SUPPRIMEZ PAS les SID de capacité du Registre ou des autorisations du système de fichiers. La suppression d'un SID de capacité des autorisations du système de fichiers ou des autorisations du Registre peut entraîner le mauvais fonctionnement d'une fonctionnalité ou d'une application. Après avoir supprimé un SID de capacité, vous ne pouvez pas utiliser l'interface utilisateur pour le rajouter.

S-1-5 Valeurs de sous-autorité

Les comptes virtuels sont définis pour un ensemble fixe de noms de classe, mais le nom du compte n'est pas défini. Il existe un nombre presque infini de comptes disponibles dans un compte virtuel. Les noms fonctionnent comme « Classe de compte\Nom de compte » donc « AppPoolIdentity\Pool d'applications par défaut ». Le SID est basé sur un hachage SHA-1 du nom en minuscules. Les comptes virtuels peuvent chacun se voir attribuer des autorisations séparément, car chacun correspond à un SID distinct. Cela évite le problème des « autorisations de partage croisé » où chaque service est affecté à la même classe NT AUTHORITY (par exemple, « NT AUTHORITY\Network Service »).

SID des machines

Le SID de la machine (S-1-5-21) est stocké dans la ruche du registre SECURITY située dans SECURITY\SAM\Domains\Account , cette clé a deux valeurs F et V . La valeur V est une valeur binaire qui contient le SID de l'ordinateur intégré à la fin de ses données (96 derniers bits). (Certaines sources indiquent qu'il est plutôt stocké dans la ruche SAM.) Une sauvegarde est située dans SECURITY\Policy\PolAcDmS\@ .

NewSID garantit que ce SID est au format standard NT 4.0 (3 sous-autorités de 32 bits précédées de trois champs d'autorité de 32 bits). Ensuite, NewSID génère un nouveau SID aléatoire pour l'ordinateur. La génération de NewSID prend grand soin de créer une valeur de 96 bits véritablement aléatoire, qui remplace les 96 bits des 3 valeurs de sous-autorité qui composent un SID d'ordinateur.

—  Lisez-moi NewSID

Le format de sous-autorité SID de machine est également utilisé pour les SID de domaine. Une machine est alors considérée comme son propre domaine local.

Machine de décodage SID

Le SID de la machine est stocké sous forme d'octets bruts dans le registre. Pour le convertir en une forme numérique plus courante, il faut l'interpréter comme trois entiers little endian de 32 bits, les convertir en décimal et ajouter des tirets entre eux.

Autres utilisations

Le SID de la machine est également utilisé par certains programmes d'essai gratuits, tels que Start8, pour identifier l'ordinateur afin qu'il ne puisse pas redémarrer l'essai.

SID de service

Les SID de service sont une fonctionnalité d'isolation de service, une fonctionnalité de sécurité introduite dans Windows Vista et Windows Server 2008. [ Tout service avec la propriété de type SID « sans restriction » aura un SID spécifique au service ajouté au jeton d'accès du processus hôte de service. L'objectif des SID de service est de permettre la gestion des autorisations pour un service unique sans nécessiter la création de comptes de service, ce qui représente une charge administrative supplémentaire.

Chaque SID de service est un SID local au niveau de la machine généré à partir du nom de service à l'aide de la formule suivante :

S-1-5-80-{SHA-1(service name in upper case encoded as UTF-16)}

La sc.exe commande peut être utilisée pour générer cette valeur SID spéciale ; par exemple, étant donné le service « dnscache » :

C:> sc affiche l'ID "dnscache" NOM : dnscache Numéro de service : S-1-5-80-859482183-879914841-863379149-1145462774-2388618682 

Par conséquent, le service « dnscache » peut être désigné par l'un ou l'autre des termes NT SERVICE\dnscache, ou le plus encombrant S-1-5-80-859482183-879914841-863379149-1145462774-2388618682; ce sont des synonymes. Notez également que, dans la mesure où un SID de service est déterminé exclusivement par le nom du service, la valeur du SID pour un service donné est toujours la même sur toutes les machines où le service s'exécute.

SID dupliqués

Dans un groupe de travail d'ordinateurs exécutant Windows NT/2K/XP, il est possible qu'un utilisateur ait un accès inattendu à des fichiers partagés ou à des fichiers stockés sur un support de stockage amovible. Cela peut être évité en définissant des listes de contrôle d'accès sur un fichier sensible, de telle sorte que les autorisations effectives soient déterminées par le SID de l'utilisateur. Si ce SID d'utilisateur est dupliqué sur un autre ordinateur, un utilisateur d'un deuxième ordinateur ayant le même SID pourrait avoir accès aux fichiers que l'utilisateur d'un premier ordinateur a protégés. Cela peut souvent se produire lorsque les SID de machine sont dupliqués par un clone de disque, ce qui est courant pour les copies pirates. Les SID d'utilisateur sont créés sur la base du SID de la machine et d'un ID relatif séquentiel.

Lorsque les ordinateurs sont intégrés dans un domaine (par exemple, un domaine Active Directory ou NT), chaque ordinateur reçoit un SID de domaine unique qui est recalculé à chaque fois qu'un ordinateur entre dans un domaine. Ce SID est similaire au SID de la machine. Par conséquent, il n'y a généralement pas de problèmes majeurs de doublons de SID lorsque les ordinateurs sont membres d'un domaine, en particulier si des comptes d'utilisateur locaux ne sont pas utilisés. Si des comptes d'utilisateur locaux sont utilisés, il existe un problème de sécurité potentiel similaire à celui décrit ci-dessus, mais le problème est limité aux fichiers et aux ressources protégés par les utilisateurs locaux, par opposition aux utilisateurs du domaine.

Les SID dupliqués ne constituent généralement pas un problème avec les systèmes Microsoft Windows, bien que d'autres programmes qui détectent les SID puissent avoir des problèmes de sécurité.

Microsoft fournissait l'utilitaire « NewSID » de Mark Russinovich dans le cadre de Sysinternals pour modifier un SID de machine. Il a été retiré et supprimé du téléchargement le 2 novembre 2009. L'explication de Russinovich est que ni lui ni l'équipe de sécurité Windows ne pouvaient penser à une situation dans laquelle des SID dupliqués pourraient causer des problèmes, car les SID de machine ne sont jamais responsables de la fermeture d'un accès réseau.

Actuellement, le seul mécanisme pris en charge pour la duplication de disques pour les systèmes d’exploitation Windows est l’utilisation de SysPrep , qui génère de nouveaux SID.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index