Sicherheitskennung (Sid)

Die Sicherheitskennung (Sid, durch sein englisches Akronym) es un valor único que se asigna a cada objeto de seguridad en un sistema operativo Windows y es utilizado para gestionar la seguridad y los permisos de acceso a recursos. Los SIDs son fundamentales para el funcionamiento del Control de Acceso Basado en Identidad (IBAC) en entornos Windows, y permiten a los sistemas identificar de manera inequívoca a los usuarios, grupos y otros objetos de seguridad, facilitando así la implementación de políticas de seguridad.

Estructura del SID

Un SID se compone de varios componentes que definen su estructura jerárquica. Die Grundstruktur einer SID ist wie folgt:

• Revision: Gibt die Version des SID-Formats an.
• SubAuthorityCount: Eine Zahl, die angibt, wie viele Unterbehördenwerte im SID vorhanden sind.
• IdentifierAuthority: Ein Wert, der die Sicherheitsbehörde definiert, unter der die SID erstellt wurde. Dieses Feld kann einen Behörwert enthalten, der angibt, ob die SID in einer Domäne oder auf einem lokalen Computer erstellt wurde.
• SubAuthorities: Eine Reihe von Werten, die einen eindeutigen Bezeichner für das Sicherheitsobjekt im Kontext der Sicherheitsbehörde bereitstellen.

Ein Beispiel für eine SID könnte sein: S-1-5-32-544, wo:

• S zeigt an, dass es sich um eine SID handelt.
• 1 ist die Revisionsversion.
• 5 ist der Identifikator der Sicherheitsbehörde.
• 32 ist der Wert für die bekannte Unterbehörde, in diesem Fall, lokale Gruppen.
• 544 es ist der Bezeichner für die Administratoren-Gruppe im System.

Beispiel für gängige SIDs

• S-1-5-18: Dies ist das Konto des lokalen Systems (SYSTEM).
• S-1-5-19: Dies ist das Konto des lokalen Dienstes (LOCAL SERVICE).
• S-1-5-20: Dies ist das Konto des Netzwerkdienstes (NETWORK SERVICE).
• S-1-5-32-544: Die Administratoren-Gruppe.
• S-1-5-32-545: Die Standardbenutzer-Gruppe.

Erstellung und Zuweisung von SIDs

SIDs werden vom Betriebssystem automatisch erzeugt, wenn ein neues Objekt erstellt wird, sei es ein Benutzer, eine Gruppe, oder eine andere Sicherheitsressource. Jedes Mal, wenn ein Objekt erstellt wird, fragt das System die zuständige Sicherheitsbehörde ab und erzeugt eine eindeutige SID, die bei keinem anderen unter derselben Behörde erstellten Objekt wiederholt wird.

Erstellungsprozess

1. Erstellungsanfrage: Wenn ein Administrator oder ein Programm die Erstellung eines neuen Sicherheitsobjekts anfordert, startet das Betriebssystem den Prozess.
2. Generierung der SID: Das System verwendet seine internen Mechanismen, um eine neue SID zuzuweisen, wobei sichergestellt wird, dass sie einzigartig ist und der definierten Struktur folgt.
3. Lager: Das neue Objekt zusammen mit seiner SID wird in der Sicherheitsdatenbank des Systems gespeichert, Als die Active DirectoryActive Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst, der es ermöglicht, Ressourcen innerhalb eines Netzwerks zu verwalten und zu organisieren. Er erleichtert die Authentifizierung und Autorisierung von Benutzern und Geräten, und bietet einen Rahmen für die zentrale Verwaltung von Sicherheits- und Zugriffsrichtlinien. AD verwendet eine hierarchische Struktur, die Domänen, Bäume und Wälder, umfasst, was eine effiziente Skalierbarkeit ermöglicht. Was ist mehr, ermöglicht die Implementierung von Gruppenrichtlinien, die helfen zu...., im Fall von Domänenumgebungen.

Persistenz von SIDs

Eine der wichtigsten Eigenschaften der SIDs ist ihre Persistenz. Sobald eine SID erstellt und zugewiesen wurde, bleibt sie mit dem Objekt verbunden, selbst wenn Namen geändert oder auf andere Systeme verschoben werden. Diese Eigenschaft stellt sicher, dass der Zugriff auf die Ressourcen unverändert bleibt, unabhängig von Änderungen in der Nomenklatur oder der Systemarchitektur.

Verwendung von SIDs in der Zugriffskontrolle

Die Hauptfunktion einer SID ist ihre Verwendung in der Zugriffskontrolle auf Ressourcen in einem Windows-System. Jede Ressource, wie Dateien und Ordner, eine Zugriffssteuerungsliste (ACL) definiert, welche SIDs Berechtigungen haben, mit dieser Ressource zu interagieren.

Zugriffssteuerungslisten (ACL)

ACLs sind Strukturen, die Zugriffskontrolleinträge enthalten (ACE), wobei jeder ACE eine SID und die mit dieser SID verbundenen Berechtigungen angibt. Die Berechtigungen können umfassen:

• Lesen: Erlaubt der SID, die Ressource zu lesen.
• Schreiben: Erlaubt der SID, die Ressource zu ändern.
• Lauf: Erlaubt der SID, die Ressource auszuführen, falls es ein Programm ist.

Arten von ACLs

1. DACL (Discretionary Access Control List): Steuert den Zugriff auf Ressourcen und ermöglicht die Festlegung, welche SIDs Rechte an dem Objekt haben.
2. SACL (Systemzugriffskontrollliste): Es wird verwendet, um den Zugriff auf eine Ressource zu protokollieren, und ermöglicht Administratoren, Prüfungen darüber durchzuführen, wer auf welche Ressourcen zugreift.

Zugriffsbewertung

Wenn ein Benutzer oder Prozess versucht, auf eine Ressource zuzugreifen, bewertet das Betriebssystem die ACL der Ressource, indem es die SIDs des Anfragenden abruft. Der Bewertungsprozess erfolgt wie folgt:

1. Benutzeridentifikation: Das System erhält die SID des Benutzers, der versucht, auf die Ressource zuzugreifen.
2. Abfrage der ACL: Die DACL der Ressource wird überprüft, um festzustellen, ob die SID des Benutzers vorhanden ist.
3. Berechtigungsbestimmung: Wenn die SID in der DACL gefunden wird, werden deren Berechtigungen bewertet, um zu bestimmen, ob der Zugriff erlaubt oder verweigert wird.

Migration und Umbenennung von SIDs

Die Migration und das Umbenennen von Sicherheitsobjekten können Herausforderungen darstellen aufgrund der Existenz von SIDs.

Migration

Wenn ein Objekt von einem System auf ein anderes migriert wird, muss auch die SID migriert werden, aber dies kann komplex sein, wenn das neue System nicht dieselbe Sicherheitsautorität hat. Werkzeuge wie Active Directory Migration Tool (ADMT) können verwendet werden, um die Migration von Benutzern und Gruppen zu verwalten, sowie um die Übereinstimmung zwischen den SIDs des alten und des neuen Systems aufrechtzuerhalten.

Umbenennung

Das Umbenennen von Objekten wie Benutzern oder Gruppen ändert ihre SID nicht. Dies ist vorteilhaft, da es sicherstellt, dass die mit der SID verbundenen Berechtigungen intakt bleiben. jedoch, Es ist entscheidend, dass Administratoren verstehen, dass jede Referenz auf Objektname durch die SID nicht beeinflusst wird.

Werkzeuge zur Verwaltung von SIDs

Es gibt verschiedene Werkzeuge, die es Systemadministratoren ermöglichen, mit SIDs in einer Windows-Umgebung zu arbeiten. Algunas de estas herramientas incluyen:

whoami

El comando whoami /user ermöglicht es, die SID des aktuellen Benutzers in der Befehlszeile aufzulisten.

PsGetSid

Dieses Tool von Sysinternals, PsGetSid, ermöglicht es, die SID eines bestimmten Benutzers oder einer bestimmten Gruppe abzurufen.

PowerShellPowerShell es una herramienta de automatización y gestión de configuraciones desarrollada por Microsoft. Permite a los administradores de sistemas y desarrolladores ejecutar comandos y scripts para realizar tareas de administración en sistemas operativos Windows y otros entornos. Su sintaxis basada en objetos facilita la manipulación de datos, lo que lo convierte en una opción poderosa para la gestión de sistemas. Además, PowerShell cuenta con una amplia biblioteca de cmdlets, así...

PowerShell stellt Cmdlets wie Get-LocalUser Ja Get-LocalGroup bereit, die es ermöglichen, Informationen über lokale Benutzer und Gruppen abzurufen, einschließlich ihrer SIDs.

Active Directory Users and Computers

Dieses grafische Tool ermöglicht es Administratoren, Benutzer und Gruppen in einer Active Directory-Umgebung zu verwalten, einschließlich der Anzeige ihrer SIDs.

Fazit

Die Sicherheitskennung (Sid) es ist eine wichtige Komponente innerhalb des Windows-Sicherheits-Ökosystems, sie bietet einen robusten und flexiblen Mechanismus für die Verwaltung von Benutzern und Berechtigungen. Sein Design ermöglicht es, Sicherheitsobjekte eindeutig und dauerhaft zu identifizieren, was entscheidend ist, um die Integrität und Sicherheit der Systeme zu gewährleisten. Das Verständnis der Struktur, Erstellung und Verwendung von SIDs ist für IT-Fachleute, die in Windows-Umgebungen arbeiten, unerlässlich, da es die Implementierung von Sicherheitsrichtlinien und die Zugriffskontrolle auf Ressourcen erleichtert. Die korrekte Verwaltung von SIDs hilft nicht nur bei der Sicherheitsverwaltung, sondern ist auch für die Auditierung und die Einhaltung von Vorschriften in Unternehmensumgebungen von grundlegender Bedeutung.