Последние Статьи


Самые популярные пароли

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Хакеры и кракеры, или Что такое хорошо и что такое плохо?

Хронология ARPANET - INTERNET

Система защиты в Windows — факт или вымысел

Основные принципы обеспечения безопасности

Диспетчер SAM и служба Active Directory

Административные границы: лес или домен?

Можно ли доверять домену, подключенному к Internet?

Идентификаторы защиты (SID)

Почему нельзя входить в систему с правами администратора из любой точки?

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Ложный ARP-сервер в сети Internet

Ложный DNS-сервер в сети Internet

Подмена одного из субъектов TCP-соединения в сети Internet

Нарушение работоспособности хоста в сети

Мифические удаленные атаки в сети Internet

Выделенный канал связи между объектами распределенной ВС

Идентификаторы защиты (SID)

  До настоящего времени мы говорили об элементах системы безопасности, пользуясь Их "общими" названиям, такими как администратор или группа администраторов домена Domain Admins. Но внутри систем семейства Windows NT каждый из этих объектов представлен гло¬бально уникальным 48-разрядным числом, которое называется идентификатором системы за¬щиты или SID (Security Identifier). Такой подход позволяет системе различать, например, локальную учетную запись Administrator компьютера А и одноименную локальную учетную запись Administrator компьютера.

  В идентификатор SID состоит из нескольких частей. Рассмотрим пример такого идентификатора.

  S-1-5-21-1507001333-1204550764-1011284298-500

  Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (в данном случае 1) является номером редакции, второе — значение полномочий идентификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения под полномочий (в рассматриваемом примере это 21 и три длинные последовательности цифр), а последним указывается относительный идентификатор (RID — Relative Identifier) (в нашем примере его значение равно 500).

  Идентификатор SID может показаться слишком сложным, но важно понять, что одна его часть уникальна для инсталляции или домена, а другая — общая для всех инсталляций и ваменов (относительный идентификатор R1D). После установки Windows Server 2003 локальный компьютер случайным образом выбирает SID. То же самое происходит и при создании домена под Windows Server 2003 — он также получает уникальный идентификатор SID. Таким образом, для любого компьютера или домена под управлением Windows Server 2003 значения под полномочий всегда будут уникальными (если только их не подделывали и не дублировали, как это происходит при некоторых видах низкоуровневого копирования дисков).

  В любом случае, значение R1D является постоянным для всех компьютеров и доменов. Например, идентификатор SID, у которого значение RiD равно 500, всегда принадлежит учетной записи Administrator локальной машины. RID 501 используется для учетной записи Guest. Для домена RID начинается со значения 1001 и показывает количество учетных записей пользователей (например, RID 1015 получит пятнадцатый пользователь домена). Достаточно сказать, что переименование учетной записи никак не влияет на соответствующий ей S1D, поэтому учетная запись всегда будет идентифицирована.

  Переименовав учетную запись Administrator, вы лишь измените ее имя, система Windows Server 2003 (или злоумышленник, использующий специальные средства) всегда определит се по значению R1D 500.
ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Диспетчер SAM и служба Active Directory

Вы забыли пароль. Что делать? Часть 3

Идентификаторы защиты (SID)

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации
Copyright © 2010 BRV ISTCOM S.R.L.- раскрутка сайта