Security Identifier

Ein Security Identifier, kurz SID, ist ein eindeutiger Sicherheits-Identifikator, den Microsoft Windows NT automatisch vergibt, um jedes System, jeden Benutzer und jede Gruppe dauerhaft zu identifizieren.

Zweck

An die SID sind die in Access Control Lists festgelegten Zugriffsrechte gebunden. Wenn die Namen von Systemen, Benutzern oder Gruppen geändert werden, bleiben deren SID unverändert. Deshalb bleiben ihnen alle Zugriffsrechte erhalten. SID ermöglichen also, die Namensgebung problemlos zu ändern.

Vergabe

Während der Installation des Betriebssystems erhält das System selbst seinen SID durch einen Zufallszahlengenerator. Dies ist erforderlich, damit eine eindeutige Kennzeichnung im Netzwerk gewährleistet ist. Anschließend werden sogenannte well-known SID vergeben, die auf jedem System gleich sind. Zum Beispiel für die Gruppe Administratoren.

Der SID eines Benutzers wird automatisch erstellt, wenn dieser angelegt wird. Der SID eines lokal angelegten Benutzers basiert auf dem SID des Systems. Der SID eines in einer Domäne angelegten Benutzers ändert sich, wenn er von einer Domäne in eine andere verschoben wird, da im SID auch die Domäne des Benutzers hinterlegt wird.

Aufbau

Beispiel:

S-1-5-21-7623811015-3361044348-030300820-1013

Erläuterung:

S – Kurzzeichen für SID

1 – Revisionsnummer

5 – Identifier Authority

21-7623811015-3361044348-030300820 – Domäne oder lokales System

1013 – Benutzernummer (Relative ID, RID, die bei normalen Accounts mit 1000 beginnend hochgezählt wird)

Erlaubte Werte von 'Identifier Authority':^[1]

0 Null-account Authority

1 World Authority

2 Local Authority

3 Creator Authority

4 Non-unique Authority

5 NT Authority

9 Resource Manager Authority

16 Mandatory Level

Probleme

Wenn man von einem fertig installierten System ein Speicherabbild der Festplatte erstellt, werden darin die SID mit abgespeichert. Wenn man andere Computer mit diesem Abbild bestückt, haben mehrere Systeme identische SID. Hiervon wurde in der Vergangenheit dringend abgeraten, da andernfalls Probleme auftreten könnten. Microsoft warnt insbesondere davor, dass andernfalls ein Zugriff auf ein Wechselmedium möglich sein kann, der ausdrücklich verwehrt sein soll. Mittlerweile wurde diese Ansicht jedoch von einem Microsoft-Mitarbeiter relativiert.^[2]

Microsoft unterstützt solche Verwendungen von Speicherabbildern nur, wenn das Programm Sysprep angewendet wird. Es bewirkt, dass beim nächsten Systemstart das Setup ohne erneute Installation nochmals durchlaufen wird und u. a. neue SID vergeben werden.

Das von Winternals entwickelte Programm PsGetSid ermöglicht es, die SID lokal oder übers Netzwerk auszulesen. Bis November 2009 wurde mit NewSID auch ein Programm angeboten, mit dem die SID eines Systems auf eine zufällige SID geändert werden konnte. Der Rückzug des Programms wurde damit begründet, doppelt vergebene SIDs für unterschiedliche Computer seien gar nicht so problematisch wie zuvor angenommen und ein Programm wie NewSID somit überflüssig.^[3]

Durch Löschen von Benutzern oder Deinstallieren von Systemen verloren gegangene SID können nur mit hohem administrativem Aufwand wiederhergestellt werden, da das Erstellen eines neuen Objekts mit gleichem Namen zu einer anderen SID führt. Jedoch ist das Ändern einer SID per ADSIEdit möglich. Auch unterstützen Domain Controller unter Windows 2008 und höher das Wiederherstellen von AD-Objekten aus einer Shadow Copy, wenn sich das Domain Functional Level auf Windows Server 2008 oder höher befindet.

Weblinks

• Bekannte Sicherheits-IDs in Windows-Betriebssystemen
• SID auslesen mit Presentel SID Reader
• SID anzeigen mit PsGetSid
• Microsoft Security Descriptor (SID) Attribute: Tutorial Artikel für SID Handling in Scripts

Einzelnachweise

1. Die sechs Identifier-Authorities von NT (NT defines 6 IdentifierAuthorities) [1]
2. Blog-Eintrag von Mark Russinovich [2]
3. Im zuvor aufgeführten Blog-Eintrag wird nurmehr davor gewarnt, ein bereits in einer Domäne angemeldetes System ohne Sysprep zu klonen