NewSID 重新生成新的安全標(biāo)識(shí)符
NewSID 重新生成新的安全標(biāo)識(shí)符安裝教程
NewSID ,顧名思義,就是可以利用它來(lái)為計(jì)算機(jī)重新生成新的SID號(hào)。為什么要重新定義新SID?如果用Ghost的鏡像批量的來(lái)安裝系統(tǒng),那么它們的SID號(hào)必然相同。若內(nèi)部網(wǎng)絡(luò)上計(jì)算機(jī)SID相同就會(huì)造成許多沖突,加入域也會(huì)有很大問(wèn)題,甚至造成客戶機(jī)無(wú)法加入到域。
Windows 安裝光盤(pán)不是已經(jīng)提供了Sysprep嗎?什么還要用NewSID呢?
1、 凡用過(guò)Sysprep的朋友都應(yīng)該知道,如果用Sysprep來(lái)重新封裝系統(tǒng),在重啟之后會(huì)要求我們重新輸入產(chǎn)品序列號(hào)和重新添加用戶,對(duì)于企業(yè)來(lái)說(shuō)很多時(shí)候是不希望員工得到產(chǎn)品ID的,讓非IT職員來(lái)完成系統(tǒng)任務(wù)也很有可能造成一些不必要的麻煩。
2、 正是基于我們這些迫切需求,NewSID可謂是一個(gè)完美的解決方案。它提供三種方式來(lái)讓我們重新生成SID:a.隨機(jī)產(chǎn)生 b.從其它計(jì)算機(jī)復(fù)制 c.手工輸入,以上這三種方式可以滿足大多數(shù)用戶的需求。我們還可以選擇是否重新給計(jì)算機(jī)更名,最后也可以手工指定在SID重定義完成后是否重啟計(jì)算機(jī)。
3、 計(jì)算機(jī)重啟之后不會(huì)讓我們?cè)俅屋斎氘a(chǎn)品序列號(hào),也不會(huì)讓我們重新添加用戶,這為我們減少了很多不必要的麻煩。
總結(jié):NewSID是一個(gè)相當(dāng)Cool的小工具,大家一定要將其收到自己的工具箱中,以備不時(shí)之需。
SID和NewSID的詳細(xì)說(shuō)明
SID也就是安全標(biāo)識(shí)符(Security Identifiers),是標(biāo)識(shí)用戶、組和計(jì)算機(jī)帳戶的唯一的號(hào)碼。在第一次創(chuàng)建該帳戶時(shí),將給網(wǎng)絡(luò)上的每一個(gè)帳戶發(fā)布一個(gè)唯一的 SID。Windows 2000 中的內(nèi)部進(jìn)程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創(chuàng)建帳戶,再刪除帳戶,然后使用相同的用戶名創(chuàng)建另一個(gè)帳戶,則新帳戶將不具有授權(quán)給前一個(gè)帳戶的權(quán)力或權(quán)限,原因是該帳戶具有不同的 SID 號(hào)。安全標(biāo)識(shí)符也被稱為安全 ID 或 SID。
SID的作用
用戶通過(guò)驗(yàn)證后,登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌,該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證,當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí),將訪問(wèn)令牌提供給 Windows NT,然后 Windows NT 檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象,Windows NT將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。
訪問(wèn)令牌是用戶在通過(guò)驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的,所以改變用戶的權(quán)限需要注銷(xiāo)后重新登陸,重新獲取訪問(wèn)令牌。
SID號(hào)碼的組成
如果存在兩個(gè)同樣SID的用戶,這兩個(gè)帳戶將被鑒別為同一個(gè)帳戶,原理上如果帳戶無(wú)限制增加的時(shí)候,會(huì)產(chǎn)生同樣的SID,在通常的情況下SID是唯一的,他由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。
一個(gè)完整的SID包括:
• 用戶和組的安全描述
• 48-bit的ID authority
• 修訂版本
• 可變的驗(yàn)證值Variable sub-authority values
例:S-1-5-21-310440588-250036847-580389505-500
我們來(lái)先分析這個(gè)重要的SID。第一項(xiàng)S表示該字符串是SID;第二項(xiàng)是SID的版本號(hào),對(duì)于2000來(lái)說(shuō),這個(gè)就是
1;然后是標(biāo)志符的頒發(fā)機(jī)構(gòu)(identifier authority),對(duì)于2000內(nèi)的帳戶,頒發(fā)機(jī)構(gòu)就是NT,值是5。然后表示一系列的子頒發(fā)機(jī)構(gòu),前面幾項(xiàng)是標(biāo)志域的,最后一個(gè)標(biāo)志著域內(nèi)的帳戶和組。
SID的獲得
開(kāi)始-運(yùn)行-regedt32-HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members,找到本地
的域的代碼,展開(kāi)后,得到的就是本地帳號(hào)的所有SID列表。
其中很多值都是固定的,比如第一個(gè)000001F4(16進(jìn)制),換算成十進(jìn)制是500,說(shuō)明是系統(tǒng)建立的內(nèi)置管理員帳號(hào)administrator,000001F5換算成10進(jìn)制是501,也就是GUEST帳號(hào)了,詳細(xì)的參照后面的列表。
這一項(xiàng)默認(rèn)是system可以完全控制,這也就是為什么要獲得這個(gè)需要一個(gè)System的Cmd的Shell的原因了,當(dāng)然如果權(quán)限足夠的話你可以把你要添加的帳號(hào)添加進(jìn)去。
或者使用Support Tools的Reg工具:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
還有一種方法可以獲得SID和用戶名稱的對(duì)應(yīng)關(guān)系:
1. Regedt32:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList
2. 這個(gè)時(shí)候可以在左側(cè)的窗口看到SID的值,可以在右側(cè)的窗口中ProfileImagePath看到不同的SID關(guān)聯(lián)的用戶
名,比如%SystemDrive%\Documents and Settings\Administrator.momo這個(gè)對(duì)應(yīng)的就是本地機(jī)器的管理員SID %SystemDrive%\Documents and Settings\Administrator.domain這個(gè)就是對(duì)應(yīng)域的管理員的帳戶
另外微軟的ResourceKit里面也提供了工具getsid,sysinternals的工具包里面也有Psgetsid,其實(shí)感覺(jué)原理都是讀
取注冊(cè)表的值罷了,就是省了一些事情。
SID重復(fù)問(wèn)題的產(chǎn)生
安裝NT/2000系統(tǒng)的時(shí)候,產(chǎn)生了一個(gè)唯一的SID,但是當(dāng)你使用類(lèi)似Ghost的軟件克隆機(jī)器的時(shí)候,就會(huì)產(chǎn)生不同的機(jī)器使用一個(gè)SID的問(wèn)題。產(chǎn)生了很?chē)?yán)重的安全問(wèn)題。
同樣,如果是重復(fù)的SID對(duì)于對(duì)等網(wǎng)來(lái)說(shuō)也會(huì)產(chǎn)生很多安全方面的問(wèn)題。在對(duì)等網(wǎng)中帳號(hào)的基礎(chǔ)是SID加上一個(gè)相關(guān)的標(biāo)識(shí)符(RID),如果所有的工作站都擁有一樣的SID,每個(gè)工作站上產(chǎn)生的第一個(gè)帳號(hào)都是一樣的,這樣就對(duì)用戶本身的文件夾和文件的安全產(chǎn)生了隱患。
這個(gè)時(shí)候某個(gè)人在自己的NTFS分區(qū)建立了共享,并且設(shè)置了自己可以訪問(wèn),但是實(shí)際上另外一臺(tái)機(jī)器的SID號(hào)碼和這個(gè)一樣的用戶此時(shí)也是可以訪問(wèn)這個(gè)共享的。
SID重復(fù)問(wèn)題的解決
下面的幾個(gè)試驗(yàn)帶有高危險(xiǎn)性,慎用,我已經(jīng)付出了慘痛的代價(jià)!
微軟在ResourceKit里面提供了一個(gè)工具,叫做SYSPREP,這個(gè)可以用在克隆一臺(tái)工作站以前產(chǎn)生一個(gè)新的SID號(hào)
碼。 下圖是他的參數(shù)
這個(gè)工具在DC上是不能運(yùn)行這個(gè)命令的,否則會(huì)提示
但是這個(gè)工具并不是把所有的帳戶完全的產(chǎn)生新的SID,而是針對(duì)兩個(gè)主要的帳戶Administrator和Guest,其他的帳號(hào)仍然使用原有的SID。
下面做一個(gè)試驗(yàn),先獲得目前帳號(hào)的SID:
S-1-5-21-2000478354-688789844-839522115
然后運(yùn)行Sysprep,出現(xiàn)提示窗口:
確定以后需要重啟,然后安裝程序需要重新設(shè)置計(jì)算機(jī)名稱、管理員口令等,但是登陸的時(shí)候還是需要輸入原帳號(hào)的口令。
進(jìn)入2000以后,再次查詢SID,得到:
S-1-5-21-759461550-145307086-515799519,發(fā)現(xiàn)SID號(hào)已經(jīng)得到了改變,查詢注冊(cè)表,發(fā)現(xiàn)注冊(cè)表已經(jīng)全部修改了,當(dāng)然全部修改了 。
另外sysinternals公司也提供了類(lèi)似的工具NTSID,這個(gè)到后來(lái)才發(fā)現(xiàn)是針對(duì)NT4的產(chǎn)品,界面如下:
他可不會(huì)提示什么再DC上不能用,接受了就開(kāi)始,結(jié)果導(dǎo)致我的一臺(tái)DC崩潰,重啟后提示“安全賬號(hào)管理器初始化失敗,提供給識(shí)別代號(hào)頒發(fā)機(jī)構(gòu)的值為無(wú)效值,錯(cuò)誤狀態(tài)0XC0000084,請(qǐng)按確定,重啟到目錄服務(wù)還原模式...”,
即使切換到目錄服務(wù)還原模式也再也進(jìn)不去了!
想想自己膽子也夠大的啊,好在是一臺(tái)額外DC,但是自己用的機(jī)器,導(dǎo)致重裝系統(tǒng)半天,重裝軟件N天 ,所以再次提醒大家,做以上試驗(yàn)的時(shí)候一定要慎重,最好在一臺(tái)無(wú)關(guān)緊要的機(jī)器上試驗(yàn),否則出現(xiàn)問(wèn)題我不負(fù)責(zé)哦 。另外在Ghost的新版企業(yè)版本中的控制臺(tái)已經(jīng)加入了修改SID的功能,自己還沒(méi)有嘗試,有興趣的朋友可以自己試驗(yàn)一下,不過(guò)從原理上應(yīng)該都是一樣的。
文章發(fā)表之前,又發(fā)現(xiàn)了微軟自己提供的一個(gè)工具“Riprep”,這個(gè)工具主要用做在遠(yuǎn)程安裝的過(guò)程中,想要同時(shí)安裝上應(yīng)用程序。管理員安裝了一個(gè)標(biāo)準(zhǔn)的公司桌面操作系統(tǒng),并配置好應(yīng)用軟件和一些桌面設(shè)置之后,可以使用Riprep從這個(gè)標(biāo)準(zhǔn)的公司桌面系統(tǒng)制作一個(gè)Image文件。這個(gè)Image文件既包括了客戶化的應(yīng)用軟件,又把每個(gè)桌面系統(tǒng)必須獨(dú)占的安全I(xiàn)D、計(jì)算機(jī)賬號(hào)等刪除了。管理員可以它放到遠(yuǎn)程安裝服務(wù)器上,供客戶端遠(yuǎn)程啟動(dòng)進(jìn)行安裝時(shí)選用。但是要注意的是這個(gè)工具只能在單硬盤(pán)、單分區(qū)而且是Professional的機(jī)器上面用。
下面是SID末尾RID值的列表,括號(hào)內(nèi)為16進(jìn)制:
Built-In Users
DOMAINNAME\ADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)
DOMAINNAME\GUEST
S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)
Built-In Global Groups
DOMAINNAME\DOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)
DOMAINNAME\DOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)
DOMAINNAME\DOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)
Built-In Local Groups
BUILTIN\ADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTIN\USERS S-1-5-32-545 (=0x221)
BUILTIN\GUESTS S-1-5-32-546 (=0x222)
BUILTIN\ACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTIN\SERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTIN\PRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTIN\BACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTIN\REPLICATOR S-1-5-32-552 (=0x228)
Special Groups
\CREATOR OWNER S-1-3-0
\EVERYONE S-1-1-0
NT AUTHORITY\NETWORK S-1-5-2
NT AUTHORITY\INTERACTIVE S-1-5-4
NT AUTHORITY\SYSTEM S-1-5-18
NT AUTHORITY\authenticated users S-1-5-11 *.(over)
下載地址
-
- 通用安全下載
-
- 移動(dòng)安全下載
-
- 聯(lián)通安全下載
-
- 電信安全下載
-
- 移動(dòng)網(wǎng)絡(luò)下載
-
- 聯(lián)通網(wǎng)絡(luò)下載
-
- 電信網(wǎng)絡(luò)下載
-
- 通用網(wǎng)絡(luò)下載