Последние Статьи


Самые популярные пароли

Ложный ARP-сервер в сети Internet

Почему нельзя входить в систему с правами администратора из любой точки?

Идентификаторы защиты (SID)

Можно ли доверять домену, подключенному к Internet?

Административные границы: лес или домен?

Основные принципы обеспечения безопасности

Система защиты в Windows — факт или вымысел

Хронология ARPANET - INTERNET

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Административные методы защиты от удаленных атак в сети Internet

Контроль за виртуальными соединениями в распределенной ВС

Контроль за маршрутом сообщения в распределенной ВС

Плюсы и минусы распределенной ВС с выделенными каналами

Мифические удаленные атаки в сети Internet

Нарушение работоспособности хоста в сети

Подмена одного из субъектов TCP-соединения в сети Internet

Идентификаторы защиты (SID)

  До настоящего времени мы говорили об элементах системы безопасности, пользуясь Их "общими" названиям, такими как администратор или группа администраторов домена Domain Admins. Но внутри систем семейства Windows NT каждый из этих объектов представлен гло¬бально уникальным 48-разрядным числом, которое называется идентификатором системы за¬щиты или SID (Security Identifier). Такой подход позволяет системе различать, например, локальную учетную запись Administrator компьютера А и одноименную локальную учетную запись Administrator компьютера.

  В идентификатор SID состоит из нескольких частей. Рассмотрим пример такого идентификатора.

  S-1-5-21-1507001333-1204550764-1011284298-500

  Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (в данном случае 1) является номером редакции, второе — значение полномочий идентификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения под полномочий (в рассматриваемом примере это 21 и три длинные последовательности цифр), а последним указывается относительный идентификатор (RID — Relative Identifier) (в нашем примере его значение равно 500).

  Идентификатор SID может показаться слишком сложным, но важно понять, что одна его часть уникальна для инсталляции или домена, а другая — общая для всех инсталляций и ваменов (относительный идентификатор R1D). После установки Windows Server 2003 локальный компьютер случайным образом выбирает SID. То же самое происходит и при создании домена под Windows Server 2003 — он также получает уникальный идентификатор SID. Таким образом, для любого компьютера или домена под управлением Windows Server 2003 значения под полномочий всегда будут уникальными (если только их не подделывали и не дублировали, как это происходит при некоторых видах низкоуровневого копирования дисков).

  В любом случае, значение R1D является постоянным для всех компьютеров и доменов. Например, идентификатор SID, у которого значение RiD равно 500, всегда принадлежит учетной записи Administrator локальной машины. RID 501 используется для учетной записи Guest. Для домена RID начинается со значения 1001 и показывает количество учетных записей пользователей (например, RID 1015 получит пятнадцатый пользователь домена). Достаточно сказать, что переименование учетной записи никак не влияет на соответствующий ей S1D, поэтому учетная запись всегда будет идентифицирована.

  Переименовав учетную запись Administrator, вы лишь измените ее имя, система Windows Server 2003 (или злоумышленник, использующий специальные средства) всегда определит се по значению R1D 500.

ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Что делать, если вы забыли пароль BIOS

Как взламывают пароли?

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации

Вы забыли пароль. Что делать? Часть 3


Создание сайтов - Studio Webmaster
Copyright © 2010 BRV ISTCOM S.R.L.
Хостинг поддержка - ZHost