目录
一、安全标识符
安全标识符(SID)是用于标识安全主体的唯一符号,每个用户、每个用户组、每个进程都有唯一的SID。每当用户登录系统或打开进程时,系统都会从本地安全数据库中检索出该用户的SID,并将其放在该用户的访问令牌中。所以,虽然用户使用账号和密码登录系统,但是操作系统是使用访问令牌中的SID在于Windows安全性的所有后续交互中识别用户的。
安全标识符在域或者本地始终保持唯一,永远不会重复使用。这意味着即使删除了一个账户并重新创建同名账户,新账户也将获得一个新的SID。
在Windows系统中,每个新创建的账户或组都会被分配一个唯一的SID。SID的生成基于多个因素,如计算机名、当前时间、当前用户态线程的CPU耗费时间的总和等,以确保其唯一性。
二、查看当前用户的SID
命令:whoami /user
三、查看所有用户的SID
命令:wmic useraccount get name,sid
例如,“S-1-5-21-3830755319-676218240-3164985028-1000”标识符的含义如下。
S:表示此段字符串为Windows安全标识符(SID);
1:代表结构修订级别号,总是为1;
5:代表标识符颁发机构,这里为NT颁发机构;
21-3830755319-676218240-3164985028:由域标识符组成;
500:为相对标识符(RID),用来区分不同权限的用户,500代表本地管理员。
有些SID是不变的,在安装操作系统或域时自动创建并分配。常见的SID如下。
Everyone:S-1-1-0;
BUILTIN\Administrators:S-1-5-32-544,内置管理员组;
BUILTIN\Users:S-1-5-32-545,内置用户组;
NTAUTHORITY\INTERACTIVE:S-1-5-4,以交互方式登录的所有用户的组;
NTAUTHORITY\AuthenticatedUsers:S-1-5-11,经过身份验证的用户;
LocalService:S-1-5-19;
NetworkService:S-1-5-20;
LocalSystem:S-1-5-18。
四、应用场景
用户登录:用户登录时,系统会为其生成一个包含SID的访问令牌。该令牌用于在用户尝试访问系统资源时进行权限验证。
访问控制:系统使用SID来实施访问控制策略,确保只有具有适当权限的用户和程序才能访问特定的资源。
安全审计:SID还用于安全审计和日志记录,帮助管理员跟踪用户的活动并检测潜在的安全威胁。
五、修改SID
修改SID(安全标识符)在Windows系统中是一个敏感且复杂的操作,通常不建议轻易进行,因为不当的修改可能会导致系统安全问题、数据丢失或系统不稳定。然而,在某些特定情况下(如克隆系统或需要重置SID以满足特定安全要求时),可能需要修改SID。
1.使用Sysprep工具
Sysprep是Windows系统自带的一个工具,用于重置Windows安装的系统标识(SID)和其他一些设置,以便系统可以被重新封装和部署到另一台计算机上。
1.打开命令提示符(管理员模式);
2.导航到C:\Windows\System32\Sysprep目录;
3.运行sysprep.exe;
3.选择“进入系统全新体验(OOBE)”作为系统清理操作,并勾选“通用”选项;
4.设置关机选项为“重新启动”;
5.点击“确定”开始SID重置过程;
6.系统重启后,将自动进行SID重置和其他配置重置。
2.修改SID的注意事项
数据备份:在修改SID之前,务必备份所有重要数据。SID重置过程可能会导致数据丢失或系统不稳定。
系统快照或镜像:创建系统快照或镜像也是一个好的做法,以便在出现问题时可以快速恢复系统。
网络配置:修改SID后,系统的网络配置(如IP地址、网关地址、DNS等)可能会被重置。因此,在修改SID之前,请确保保存当前的网络配置信息,并在修改后重新配置网络。
域环境:如果计算机已加入域,修改SID后可能需要重新加入域或进行其他域相关配置。
权限问题:修改SID通常需要管理员权限。请确保您有足够的权限来执行此操作。
软件兼容性:某些软件可能与修改后的SID不兼容。在修改SID之前,请确保了解并评估这种可能性。
3612
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
