Windows的SID和RID

最新推荐文章于 2022-05-16 13:24:45 发布
最新推荐文章于 2022-05-16 13:24:45 发布
阅读量1.8k 收藏 5
点赞数
分类专栏: WINDOWS
原文链接:https://blog.csdn.net/qq_36334464/article/details/96425728
版权

     关于SID和RID的文章有很多,为什么要写这篇文章(tips:瞎攒一份)?其实在我们进行安全数据分析的时候,经常会遇到

日志源无法满足模型建设的问题,那么我们能够放弃这个模型么?不能啊!!!甲方粑粑不允许啊!所以我们要对模型进行调

整,使模型满足当前日志源质量,对模型进行调整就会带来准确度就会下降,误报率上升的问题。在排除误报时,这些SID会给

我们很大的帮助。

SID

    SID安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上

的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,

再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不

同的 SID 号。安全标识符也被称为安全 ID 或 SID。

SID作用

    用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,

将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对

象,Windows NT将会分配给用户适当的访问权限。

    访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。

SID号码的组成

    如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,

在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一

性。

   一个完整的SID包括:

     • 用户和组的安全描述

     • 48-bit的ID authority

     • 修订版本

     • 可变的验证值Variable sub-authority values

    例:S-1-5-21-310440588-250036847-580389505-500 它遵循的模式是:S-R-IA-SA-SA-RID。下面是具体解释:

      1、字母S指明这是一个SID标识符,它将数字标记为一个SID。

      2、R代表Revision(修订),Windows生成的所有SID都使用修订级别 1.

      3、IA代表颁发机构。在Widnwos中,几乎所有SID都指定NT机构作为颁发机构,它的ID编号为5.但是,代表已知组和账户

的SID例外。

      4、SA代表一个子机构。SA指定特殊的组或职能。例如、21表明SID由一个域控制器或者一台单机颁发。随后的一长串数字

(1683771068-12213551888-624655398)就是颁发SID的那个域或机器的SA。

      5、RID是指相对ID(RID)、是SA所指派的一个惟一的、顺序的编号、代表一个安全主体(比如一个用户、计算机或组)。

    插播一条重点知识:在经典NT和windows2000中,Local System账户SID S-1-5-18为几乎所有服务提供了安全上下文,

该账户具有很大的特权。(在数据分析过程中你会经常看到它的身影)。

 

SID重复问题的产生

    安装NT/2000系统的时候,产生了一个唯一的SID,但是当你使用类似Ghost的软件克隆机器的时候,就会产生不同的机器

使用一个SID的问题。产生了很严重的安全问题。

同样,如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中帐号的基础是SID加上一个相关的标识符

(RID),如果所有的工作站都拥有一样的SID,每个工作站上产生的第一个帐号都是一样的,这样就对用户本身的文件夹和文件

的安全产生了隐患。

     这个时候某个人在自己的NTFS分区建立了共享,并且设置了自己可以访问,但是实际上另外一台机器的SID号码和这个一

样的用户此时也是可以访问这个共享的。

关于RID

    已知RID:指派给用户、计算机和组的RID从1000开始。500-999的RID被专门保留起来、表示在每个Windows计算机和域中

通用的账户和组,它们称为“已知RID”有些已知RID会附加到一个域SID上,从而构成一个惟一的标识符。另一些则附加到Builtin

SID(S-1-5-32)上,指出它们是可能具有特权的Builtin账户--特权要么是硬编码到操作系统中的,要么是在安全数据库中指派

的。

关于RID劫持技术中提及到的权限问题:需要system权限进行RID劫持操作!

参考链接:

    关于RID相关攻击手法:https://xz.aliyun.com/t/2998

    关于windows SID理解:https://www.cnblogs.com/jackydalong/p/3262241.html

    关于windows SID详解:https://www.cnblogs.com/mq0036/p/3518542.html

    关于windows SID解释:https://support.microsoft.com/zh-cn/help/243330/well-known-security-identifiers-in-windows-operating-systems


 

子曰小玖
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在AP AUTOSAR诊断中DID、RIDSID、AccessPermission分别代表什么?
usstmiracle的博客
05-20 715
这些标识符在AUTOSAR诊断通信中起着至关重要的作用,它们帮助确保诊断数据的准确传输和处理。更多关于AUTOSAR诊断的详细信息,您可以参考AUTOSAR的[官方文档]。
Windows中的SID详解
weixin_34284188的博客
11-28 375
SID详解前言SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SIDWindows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或...
windows rid劫持
qq_59950255的博客
05-16 902
Windows 操作系统使用 RID(相对标识符)来区分组和用户帐户。它是安全标识符 (SID) 的一部分,每次创建新帐户或组时,该数字都会增加一。本地管理员组 RID 始终为 500,GUEST组501,标准用户或组通常以数字 1001 开头。这可以帮助渗透测试人员和红队操作员在 RID 枚举期间区分帐户是提升的还是标准的。发现可以在注册表中进行修改,以便通过劫持有效帐户的 RID 使访客帐户成为管理员。此技术需要 SYSTEM 级别权限,因为注册表中的位置在标准或管理员权限下是不可见的。在攻击性操作期间
win7计算机sid,win7系统怎么生成新的SID号 win7系统生成新SID号的方法
weixin_33060753的博客
07-28 485
在win7系统中,系统是通过对象的SID号来区分的,也即SID号可以区分系统中所有的用户、组、计算机,然而在企业内部中安装系统通常都是ghost批量安装的,这样就导致计算机中所有的SID号都一样,这样会导致无法加入域等情况,那么在win7系统汇总,我们要如何生成新的SID号呢?具体随小编一起来看看具体的步骤吧。1、WIN7以后的操作系统,微软都自带新的sysprep封装工具,通过此工具可自动修改系...
windows server 2022 域占用
最新发布
08-30
在学习Windows Server 2022的域管理时,理解这些概念和技术对于构建和维护稳定的企业级网络至关重要。这不仅涉及到角色的分配,还包括故障转移、恢复策略以及日常的AD维护和监控。通过这样的实验,一个纯小白可以...
系统SID修改工具
02-06
SID,全称为Security Identifier,在Windows操作系统中,每个用户账户、服务、组以及其他安全主体都有一个独特的SID,用于识别和区分不同的安全实体。在某些特定场景下,例如系统克隆或者多台计算机需要共享同一套...
SID重复的解决方法
08-19
SID 重复引起的问题是在安装 Windows 系统时,windows 将为计算机分配名称和唯一的计算机 SID。如果系统是克隆的,则克隆的所有计算机都将具有完全相同的计算机 SID。请注意,只更改计算机名称或将计算机添加到不同...
实验1理解windows的安全标识符201911181
08-03
安全标识符(Security Identifier,简称SID)是Windows操作系统中的一个核心概念,用于唯一地标识用户、组、服务和其他安全主体。SID是一个字符串,由一系列数字和字母组成,用于在访问控制列表(Access Control ...
本地管理员检测工具和sid查询小工具
02-02
- 当用户或组被复制到其他系统时,SID保持不变,但会添加一个称为RID(相对标识符)的附加部分,形成SID历史,这有助于跨网络环境识别用户。 结合这两个工具,我们可以进行更全面的安全评估: - 使用本地管理员...
SID修改.rar SID修改器
09-08
2. **SID的作用**:在Windows系统中,SID是验证用户身份和权限的关键。当用户尝试访问系统资源时,系统会比较请求的SID与资源的安全描述符中的权限项来决定是否允许访问。 3. **风险与后果**:修改SID可能导致系统...
Windows Server 2008 活动目录视频课程csdn.txt
04-04
11-3PDC仿真器和RID主控11:58 11-4基础结构主控的作用03:10 11-5查看域命名主控和架构主控04:05 11-6传递操作主控04:54 11-7使用命令争夺操作主控06:58 11-8操作主控失败后应该采取的措施06:42 第12章维护活动目...
windows域控制器的讲解
09-25
Windows域控制器是企业网络环境中核心的组件之一,它主要用于管理和控制网络中的用户、计算机和其他资源。域控制器基于Windows Server操作系统,并且是活动目录(Active Directory,简称AD)服务的实体,负责存储和...
Windows2008R2域控升级和迁移到WindowsServer2012R2上实例实测
05-27
Windows Server 2012 R2 AD 域环境中,有五个角色需要转移:架构主机、域命令主机、PDC 模拟器、RID 主机和基础架构主机。这些角色都是非常重要的,需要在迁移过程中进行转移。 4. 架构主机(Schema Master) ...
GetNtUser.tar.gz_GETNTUSER.T_GetNTUser _getntus_getntuser window
07-15
"GETNTUSER.T"可能是该工具的一个特定版本或模块,而"getntus"和"getntuser_windows"可能是与这个工具相关的命令、函数或者关键词。 描述中提到的"通过分析注册表文件SAM"是指Windows操作系统存储本地用户账户和...
Windows权限维持1:账号隐藏
da_chuan_chuan的博客
12-30 2925
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
FSMO角色之RID主机详解
weixin_33968104的博客
09-22 471
作者:夏明亮 MSN:Arthur.xia@hotmail.com Technorati Tags: 夏明亮,AD,FSMO,RID,全解 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain nami...
主域、备域、邮件服务器安装调试手册_N.docx
02-06
主域、备域、邮件服务器安装调试手册_N.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值