Turvatunnus

Security Identifier (SID) on muuttuvapituinen  tietorakenne, joka tunnistaa käyttäjätilin , ryhmän, palvelun, toimialueen tai tietokoneen ( Windowsissa perustuu NT-tekniikkaan ( NT4 , 2000 , XP , 2003 , Vista , 7 , 8 , 10 )). SID määritetään jokaiselle tilille sen luomishetkellä. Järjestelmä toimii tilien SID-tunnuksilla, ei tilien nimillä. Hallitsemalla käyttäjien pääsyä suojattuihin objekteihin (tiedostot, rekisteriavaimetjne.) osallistuvat myös vain SID:t.

SID:ssä on useita osia. Esimerkki tällaisesta tunnisteesta on S-1-5-21-1507001333-1204550764-1011284298-1003.

Suojaustunnisteen muoto on: SR-IA-SA-SA-RID [1] .

SID:n kunkin osan kuvaus:

• S on SID. Tämä tunniste osoittaa, että seuraava numero on turvatunniste eikä vain suuri mysteerinumero.
• R - Ensimmäinen numero on versionumero. Kaikki Windows-käyttöjärjestelmän luomat SID:t käyttävät versionumeroa 1.
• IA - myöntävä viranomainen. Käytännössä kaikki Windows-käyttöjärjestelmän SID-tunnukset osoittavat NT Authority -numeroa 5. Poikkeuksia ovat hyvin tunnetut ryhmä- ja käyttäjätilit.
• SA - valtuutettu keskus (aliviranomainen). Tämä tunniste määrittää erityisryhmät ja toiminnot. Esimerkiksi numero 21 osoittaa, että SID:n on myöntänyt toimialueen ohjain tai erillinen tietokone.
• Kolme pitkää numerosarjaa 1507001333-1204550764-1011284298 tunnistavat tietyn toimialueen tai tietokoneen, joka on antanut tunnisteen. Nämä luvut luodaan satunnaisesti, kun käyttöjärjestelmä asennetaan tietokoneeseen. Tämä varmistaa suojaustunnisteiden ainutlaatuisuuden.
• RID - suhteellinen tunniste (Relative Identifier) . Tämä on yksilöllinen sarjanumero, jonka valtuutettu SA-viranomainen on määrittänyt tilille (käyttäjälle, tietokoneelle tai ryhmälle) (esimerkissämme sen arvo on 1003).

On huomattava, että sisäänrakennettujen käyttäjätilien (esimerkiksi järjestelmänvalvojan tai vieras) suhteelliset RID-tunnukset ovat samat kaikille tietokoneille ja toimialueille. Sisäänrakennetun järjestelmänvalvojan tilin RID on aina 500 ja vierastilin RID on aina 501.

Järjestelmänvalvojan luomien tilien RID alkaa 1 000:sta ja kasvaa yhdellä jokaisen uuden tilin kohdalla.

Lisäksi jokaisessa Windowsissa on useita sisäänrakennettuja tunnettuja ryhmä- ja käyttäjätilejä. Näitä ovat Kaikki, INTERAKTIIVISET, Authenticated ja niin edelleen ryhmät. Windows määrittää joukon paikallisia ja toimialueen SID:itä edustamaan tunnettuja tilejä [2] . Toisin kuin tavalliset käyttäjien SID:t, nämä SID:t ovat ennalta määritettyjä ja niillä on sama arvo kaikissa Windows-järjestelmissä, ja ne ovat riippumattomia sen versiosta (on Windows 2000, Windows Vista tai Windows 10). Tämän avulla verkonvalvojat voivat soveltaa suojausmalleja ja -käytäntöjä ja hallita etäkäyttäjien pääsyä muihin kuin toimialueverkkoihin.

Esimerkiksi tiedosto, joka on Kaikki-ryhmän jäsenten käytettävissä siinä järjestelmässä, jossa se luotiin, on myös Kaikki-ryhmän käytettävissä missä tahansa muussa järjestelmässä tai toimialueella. Tietenkin käyttäjien on tunnistettava tässä järjestelmässä ennen kuin he voivat liittyä Kaikki-ryhmään.

Katso myös

• Tietoturvatilin johtaja

Muistiinpanot

1. ↑ SID-komponentit (Windows  ) . msdn.microsoft.com. Haettu: 16. tammikuuta 2018.
2. ↑ http://support.microsoft.com/kb/243330 . support.microsoft.com. Haettu: 16. tammikuuta 2018. (määrätön)

Linkit

• Kulunvalvonnan yleiskatsaus
• Turvallisuustunnisteet
• Tunnetut SID:t
• Tilitunnukset Windows 2000 / XP / 2003 / VISTA
• Mark Russinovich . Koneen SID-kopiointimyytti