|
前言
SID也就是安全標識符(Security Identifiers),是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創建該帳戶時,將給網絡上的每一個帳戶發佈一個唯一的 SID。Windows 2000 中的內部進程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創建帳戶,再刪除帳戶,然後使用相同的用戶名創建另一個帳戶,則新帳戶將不具有授權給前一個帳戶的權力或權限,原因是該帳戶具有不同的 SID 號。安全標識符也被稱爲安全 ID 或 SID。
SID的作用
用戶通過驗證後,登陸進程會給用戶一個訪問令牌,該令牌相當於用戶訪問系統資源的票證,當用戶試圖訪問系統資源時,將訪問令牌提供給 Windows NT,然後 Windows NT 檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象,Windows NT將會分配給用戶適當的訪問權限。
訪問令牌是用戶在通過驗證的時候有登陸進程所提供的,所以改變用戶的權限需要註銷後重新登陸,重新獲取訪問令牌。
SID號碼的組成
如果存在兩個同樣SID的用戶,這兩個帳戶將被鑑別爲同一個帳戶,原理上如果帳戶無限制增加的時候,會產生同樣的SID,在通常的情況下SID是唯一的,他由計算機名、當前時間、當前用戶態線程的CPU耗費時間的總和三個參數決定以保證它的唯一性。
一個完整的SID包括:
• 用戶和組的安全描述
• 48-bit的ID authority
• 修訂版本
• 可變的驗證值Variable sub-authority values
例:S-1-5-21-310440588-250036847-580389505-500
我們來先分析這個重要的SID。第一項S表示該字符串是SID;第二項是SID的版本號,對於2000來說,這個就是1;然後是標誌符的頒發機構(identifier authority),對於2000內的帳戶,頒發機構就是NT,值是5。然後表示一系列的子頒發機構,前面幾項是標誌域的,最後一個標誌着域內的帳戶和組。
SID的獲得
開始-運行-regedt32-HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members,找到本地的域的代碼,展開後,得到的就是本地帳號的所有SID列表。
其中很多值都是固定的,比如第一個000001F4(16進制),換算成十進制是500,說明是系統建立的內置管理員帳號administrator,000001F5換算成10進制是501,也就是GUEST帳號了,詳細的參照後面的列表。
這一項默認是system可以完全控制,這也就是爲什麼要獲得這個需要一個System的Cmd的Shell的原因了,當然如果權限足夠的話你可以把你要添加的帳號添加進去。
或者使用Support Tools的Reg工具:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
還有一種方法可以獲得SID和用戶名稱的對應關係:
1. Regedt32:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList
2. 這個時候可以在左側的窗口看到SID的值,可以在右側的窗口中ProfileImagePath看到不同的SID關聯的用戶名,
比如%SystemDrive%\Documents and Settings\Administrator.momo這個對應的就是本地機器的管理員SID
%SystemDrive%\Documents and Settings\Administrator.domain這個就是對應域的管理員的帳戶
另外微軟的ResourceKit裏面也提供了工具getsid,sysinternals的工具包裏面也有Psgetsid,其實感覺原理都是讀取註冊表的值罷了,就是省了一些事情。
SID重複問題的產生
安裝NT/2000系統的時候,產生了一個唯一的SID,但是當你使用類似Ghost的軟件克隆機器的時候,就會產生不同的機器使用一個SID的問題。產生了很嚴重的安全問題。
同樣,如果是重複的SID對於對等網來說也會產生很多安全方面的問題。在對等網中帳號的基礎是SID加上一個相關的標識符(RID),如果所有的工作站都擁有一樣的SID,每個工作站上產生的第一個帳號都是一樣的,這樣就對用戶本身的文件夾和文件的安全產生了隱患。
這個時候某個人在自己的NTFS分區建立了共享,並且設置了自己可以訪問,但是實際上另外一臺機器的SID號碼和這個一樣的用戶此時也是可以訪問這個共享的。
SID重複問題的解決
下面的幾個試驗帶有高危險性,慎用,我已經付出了慘痛的代價!
微軟在ResourceKit裏面提供了一個工具,叫做SYSPREP,這個可以用在克隆一臺工作站以前產生一個新的SID號碼。 下圖是他的參數
這個工具在DC上是不能運行這個命令的,否則會提示
但是這個工具並不是把所有的帳戶完全的產生新的SID,而是針對兩個主要的帳戶Administrator和Guest,其他的帳號仍然使用原有的SID。
下面做一個試驗,先獲得目前帳號的SID:
S-1-5-21-2000478354-688789844-839522115
然後運行Sysprep,出現提示窗口:
確定以後需要重啓,然後安裝程序需要重新設置計算機名稱、管理員口令等,但是登陸的時候還是需要輸入原帳號的口令。
進入2000以後,再次查詢SID,得到:
S-1-5-21-759461550-145307086-515799519,發現SID號已經得到了改變,查詢註冊表,發現註冊表已經全部修改了,當然全部修改了。
另外sysinternals公司也提供了類似的工具NTSID,這個到後來才發現是針對NT4的產品,界面如下:
他可不會提示什麼再DC上不能用,接受了就開始,結果導致我的一臺DC崩潰,重啓後提示“安全賬號管理器初始化失敗,提供給識別代號頒發機構的值爲無效值,錯誤狀態0XC0000084,請按確定,重啓到目錄服務還原模式...”,即使切換到目錄服務還原模式也再也進不去了!
想想自己膽子也夠大的啊,好在是一臺額外DC,但是自己用的機器,導致重裝系統半天,重裝軟件N天,所以再次提醒大家,做以上試驗的時候一定要慎重,最好在一臺無關緊要的機器上試驗,否則出現問題我不負責哦。另外在Ghost的新版企業版本中的控制檯已經加入了修改SID的功能,自己還沒有嘗試,有興趣的朋友可以自己試驗一下,不過從原理上應該都是一樣的。
文章發表之前,又發現了微軟自己提供的一個工具“Riprep”,這個工具主要用做在遠程安裝的過程中,想要同時安裝上應用程序。管理員安裝了一個標準的公司桌面操作系統,並配置好應用軟件和一些桌面設置之後,可以使用Riprep從這個標準的公司桌面系統製作一個Image文件。這個Image文件既包括了客戶化的應用軟件,又把每個桌面系統必須獨佔的安全ID、計算機賬號等刪除了。管理員可以它放到遠程安裝服務器上,供客戶端遠程啓動進行安裝時選用。但是要注意的是這個工具只能在單硬盤、單分區而且是Professional的機器上面用。
下面是SID末尾RID值的列表,括號內爲16進制:
Built-In Users
DOMAINNAME\ADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)
DOMAINNAME\GUEST
S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)
Built-In Global Groups
DOMAINNAME\DOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)
DOMAINNAME\DOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)
DOMAINNAME\DOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)
Built-In Local Groups
BUILTIN\ADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTIN\USERS S-1-5-32-545 (=0x221)
BUILTIN\GUESTS S-1-5-32-546 (=0x222)
BUILTIN\ACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTIN\SERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTIN\PRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTIN\BACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTIN\REPLICATOR S-1-5-32-552 (=0x228)
Special Groups
\CREATOR OWNER S-1-3-0
\EVERYONE S-1-1-0
NT AUTHORITY\NETWORK S-1-5-2
NT AUTHORITY\INTERACTIVE S-1-5-4
NT AUTHORITY\SYSTEM S-1-5-18
NT AUTHORITY\authenticated users S-1-5-11 *.(over)
如何修改鏡像操作系統的SID
SID也就是安全標識符(Security Identifiers),是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創建該帳戶時,將給網絡上的每一個帳戶發佈一個唯一的 SID。Windows 2000 中的內部進程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創建帳戶,再刪除帳戶,然後使用相同的用戶名創建另一個帳戶,則新帳戶將不具有授權給前一個帳戶的權力或權限,原因是該帳戶具有不同的 SID 號。安全標識符也被稱爲安全 ID 或 SID。如果我們要想查看我們的SID有很多方法可以看見比如通過註冊表就可以找到,另外我們也可以通過CMD中的命令來查看SID,如圖一用令“whoami /user”來查看用戶的SID的![]()
SID我們也看見了,那到底該如何來修改操作系統SID呢?其實很簡單,這裏依windows server 2003操作系統爲例,在windows server 2003操作系統的安裝盤中有一個SUPPORT文件夾打開該文件夾找到TOOLS子文件夾,然後找到DEPLOY.CAB文件包進行解壓, 解壓完成之後,直接點擊sysprep.exe文件會出現圖二窗口,點擊“工廠”按鈕,計算機會自動關閉,然後打開計算機,再查看SID就可以看見SID已經被修改了。
圖二
一、問題描述:
在Windows內部,每個賬號具有一個惟一的Security ID,可以在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList看到。SID是用來識別賬戶的惟一標誌,而不是通常以爲的機器名\用戶名。而現有的Ghost文件是把整個安裝好的系統分區直接備份下來,這樣,當把這個Ghost文件恢復到別的機器上時,別的機器也具有了同樣的SID(欲知SID更多詳情,請參見[url]http://www.winmag.com.cn/html/2005/03/20050324170613-1.shtml[/url])。
二、帶來的問題:
1.潛在的安全問題。如果某臺機器設置了一個共享目錄,限制爲只有本機Administrator才能完全訪問,但實際上來自別的機器的Administrator也有可能訪問。
2.在域中,涉及組策略等操作的話,也是以SID爲機器或用戶的惟一標誌。如果LAN中存在重複的SID,組策略將不能正常工作。
解決方案:
使用Windows XP和2003安裝光盤中提供的附加工具Sysprep,它是專爲在多臺計算機上部署Windows而設計的工具,可以擦除並重新生成SID。Sysprep工具在安裝光盤的support\tools\deploy.cab中,解壓將得到10個文件。你可以使用任意語言的deploy.cab。
三、額外發現:
經過一天的研究,Sysprep除了重新生成SID之外,還可以爲我們做這樣兩件非常好的事:
1.將Windows激活期限展期。
我們的測試環境中所使用的Windows XP和2003都是未激活的。受到激活期限的限制,我們不能使用真實時間,而是要根據Ghost文件的日期相應調整機器日期。比如Ghost文件日期不幸爲2001年1月1日,測試機的日期就必須使用2001年1月的某天。這樣的機器一旦加入其它時間的域中,將被同步時間而導致Windows過期。而經過Sysprep,Windows重啓時將重新執行所有系統設置。重啓之後Windows XP就可以重新恢復30天的激活日期,2003類推。想無限Sysprep嗎?忘掉這個念頭吧,早就試過了,Sysprep的展期功能只允許使用三次-_-b..正確的解決方法見後。
2.重新掃描硬件並安裝驅動。
我們之前的Ghost文件中是已經安裝有驅動程序的,所以這些Ghost文件只能對應於特定機型。如果將Dell 170L的Ghost恢復到了Dell 3000上,有時會出現驅動不能正常工作,但是又無法安裝新驅動的情況(雖然他們都是Intel 865G芯片組,板載顯卡網卡都一樣……奇怪中)。
同樣經過Sysprep,可以擦除HAL(硬件抽象層)信息,Windows重啓時將重新掃描硬件。如果系統已經安裝某些驅動文件,這些驅動會被自動識別。即使不能自動識別,也不會影響安裝新的驅動。惟一的問題是暫時無法將若干種顯卡、網卡、芯片組的驅動集成到一起,如果可以做到,今後我們使用Ghost備份就再也不用區分機型了,僅僅需要區分語言。但是實際上的Windows部署從來都是不帶驅動的,驅動需要自行安裝:(
Sysprep簡解:
將WinXP\pro\support\tools\delpoy.cab解壓到本地文件夾中,將得到10個文件。其中的Sysprep.exe就是我們主要需要的。
下圖是運行界面:
![]()
說明:
第一個按鈕Reseal就是我們所需要的“重新封裝”,意即Windows將像重新安裝一樣去進行配置。
在點擊Reseal之前,下方的Flags區域是可選項。Minisetup是我們惟一需要的,“最小化安裝”,意即Windows僅保留文件,而不使用任何驅動和設置。如果不選此項,Reseal之後不會重新掃描硬件,而是僅僅重新生成SID。
其它選項,PnP指在重啓後掃描非即插即用設備,這年頭……似乎不用了吧;NoSIDGen指不生成SID,這是爲了便於OEM商在單臺計算機上恢復出廠設置用的,不需要重新生成SID;Pre-actived指不使用“展期”功能。Reseal重啓之後會和使用光盤第一次安裝一樣,要求我們輸入各種用戶、網絡、區域等信息。
系統當前時間等。 | |
