Security Identifiers (SID)

8 Şubat 2019

Windows’larda authentication ve authorization tekil bir SID’ye göre tanımlanır. Örneğin bir kullanıcı hesabının, grubun, bilgisayar hesabının benzersiz bir sid’si vardır. Aslında bu benzersizlik SID altındaki RID ile sağlanır. Bir account veya grup aynı RID’ye sahip olamazlar. SAM’de RID ‘ler tutulur ve izlenir.

Local kullanıcı SID’leri LSA tarafından oluşturulur, domain kullanıcı SID’leri AD tarafından oluşturulur.

SID, data yapısı aşağıdaki gibidir:

Snip20190105 7 - Security Identifiers (SID)

  • Revision: SID yapısının sürüm bilgisini gösterir.
  • Identifier Authority: En yüksek seviye Authrotiy ‘i tanımlar.  Örneğin NT Authority için bu değer 5 dir.
  • Subauthority : Alt otoritenin değerini tanımlar. Bu kısma domain identifier denir. Local ‘de Builtin identifier ‘da denir.
  • RID: En son otorite değeri ise RID’dir.

Örneğin S-1-5-32-544 inceleyelim:

  • S: SID yi temsil eder.
  • 1: Revision ID.
  • 5: Authority ID ( 5: NT olduğunu belirtiyor . 1 ise World yani everyone authority demektir.)
  • 32: Domain ID (Burada 32 Builtin yani local olduğunu da gösterir kullanıcının)
  • 544 : RID ( 544: Builtin administrator grubu olduğunu ifade eder.)

Yukarıda örnekte builtin administrator grubunu ifade eden SID’yi gördük. Gerçek bir domain ortamında domain adminler grubunun SID’si için örnek aşağıdaki gibi olsaydı, farklı olarak Domain ID biraz daha karmaşık gözükecekti. 512 değeri ise domain admin grubunu temsil eder.

  • S-1-5-21-1004336348-1177238915-682003330-512

AD’de oluşturulan her kullanıcı ve grup bir objectSID ‘de tutulur. Bu ‘da globally unique id (guid)’ye atanır. (AD’de objeler guid’leriyle kullanılır.)

İyi bilinen SID’ler aşağıdaki gibidir.

  • Everyone (S-1-1-0) : Bilgisayarı kullanan herkesi ifade eden everyone group demektir. Tek bir subauthority si vardır yani RID değeri yoktur. Everyone demek anonymous de dahil demektir.
  • Creator Owner (S-1-3-0) : Bu kullanıcı ACE (access control entry) içerisinde yer alır. Daha sonradan ACE ‘de objenin sahibinin SID ile değiştirir.
  • Network (S-1-5-2) : Network logon olan kullanıcıların grubudur.
  • Batch (S-1-5-3) : Batch işlemi yapan kullanıcıların grubudur.
  • Interactive (S-1-5-4) : Interactive logon kullanıcıların grubudur.
  • Service (S-1-5-6) : Servis olarak logon olan kullanıcıların grubudur.
  • Anonymous (S-1-5-7) : Anonim kullanıcıları ifade
  • Authenticated (S-1-5-11) : Authentication sağlamışların grubudur. Guest dahil değildir.
  • System (S-1-5-18) : System kullanıcısı işletim sistemi ve servisler tarafından kullanılır. Bu kullanıcı gizli bir Administrator üyesidir.
  • LocalService (S-1-5-19) : Authentication Network access’e ihtiyaç duymayan local kaynakları kullanan servisleri tanımlar. Network erişimi anonymous kadardır.
  • NetworkService (S-1-5-20): Local kaynakları ekstra kullanmaya ihtiyacı olmayan network erişim gerektiren servisleri tanımlar. Local kaynaklara erişim normal bir kullanıcı kadardır, yetkileri kısıtlıdır.
  • Administrator (S-1-5-domain-500) : Sistem admini hesabını belirtir. Her local ve domain’in bir administrator kullanıcısı bulunmaktadır. Bu kullanıcı ilk sistem kurulduğunda oluşur, silinemez, lock’lanmaz, pasife çekilemez. Ancak adı değiştirilebilir.
  • Guest (S-1-5-domain-Guest) : Her local ve domainin bir guest kullanıcısı bulunur. Bu kullanıcı everyone ve guests grubununda birer üyesidir. Anonymous ‘ların aksine interactive logon gerçekleştirebilirler. Bir parolaya ihtiyaçları yoktur ancak parola verilebilir.
  • krbtgt (S-1-5-domain-502) : KDC servisi tarafından kullanılır. Sadece domain kontroller’da bulunur.
  • Domain Admins (S-1-5-domain-512) : Domain admin üyelerinin grubudur. Bu grup ayrıca domaindeki her sisteminde Administrator grubunda da eklidir.
  • Domain Users (S-1-5-domain-513) : Domaindeki tüm kullanıcıları ifade eden gruptur.
  • Domain Guests (S-1-5-domain-514) : Domain’in built’in guest hesabını barındıran bir gruptur.
  • Domain Computers (S-1-5-domain-515) : Domaindeki tüm bilgisayarları ifade eden gruptur.
  • Domain Controllers (S-1-5-domain-516): Domaindeki tüm dc’leri ifade eden gruptur.
  • Cert Publishers (S-1-5-domain-517): Domaindeki kurumsal sertifika otoritesi olan makinelerin grubudur.
  • Schema Admins (S-1-5-domain-518) : AD üzerinde şema değişikliği yetkisi olanları ifade eden gruptur. Sadece forest root domain ‘de bulunur.
  • Enterprise Admins (S-1-5-domain-519) : Forest yapısında değişiklik yetkisi olanları ifade eden gruptur.  Sadece forest root domain’de bulunur.
  • Group Policy Creator Owners (S-1-5-domain-520) : AD üzerinde group policy oluşturma yetkisi olanların grubudur. Varsayılanda sadece adminler bu grubun üyelerdir.

Benzer Gönderiler:

  1. Windows Security Events
  2. Windows logon tipleri
  3. Local Security Authority (LSA)
  4. Netlogon
Gökhan Kesici
Adanalı. Evli ve bir çocuk sahibi. İstanbul Üniversitesi Bilgisayar Mühendisliği lisans ve İstanbul Şehir Üniversitesi Bilgi Güvenliği Mühendisliği yüksek lisans mezunu.

Kategoriler