Windows SID理解

Windows安全性要依赖于几个基本元素。：访问令牌、SID、安全描述符、访问控制列表、密码、

访问令牌：访问令牌在本质上定义了两
上“P”：Permissions（权限）和Privilege（特权）。两者区别并不明显。访问令牌的内容和功能由用户的SID、组的SID、登录
SID、用户特权、默认所有者、SID、默认组SID、默认DACL、起源进程、令牌类型、模拟级别、受限SID。
  
权限：一个用户进程在接触一个对象时，“安全性参考监视器”将访问令牌中的SID与“对象访问控制列表（ACL）”中的SID匹配。可能出现的两种情
况：1.如果没有匹配，就拒绝用户访问，这称为“隐式拒绝（implici
deny）”;2.如果有一个区配，就将与ACK中的条目关联的权限授予给用户。这可能是Allow,也可能是一个Deny权限。在两个权限都直接指派给
对象的前提下，Deny权限将优先于Allow权限（在对待继承的权限时，采取的方式稍有不同）
   SID：一个典型的SID：S－1-5-21-1683771068-12213551888-624655398-1001.它遵循的模式是：S－R－IA－SA－SA－RID。下面是具体解释：
   1、字母S指明这是一个SID标识符，它将数字标记为一个SID。
   2、R代表Revision（修订），Windows生成的所有SID都使用修订级别 1.
   3、IA代表颁发机构。在Widnwos中，几乎所有SID都指定NT机构作为颁发机构，它的ID编号为5.但是，代表已知组和账户的SID例外。
   4、SA代表一个子机构。SA指定特殊的组或职能。例如、21表明SID由一个域控制器或者一台单机颁发。随后的一长串数字（1683771068-12213551888-624655398）就是颁发SID的那个域或机器的SA。
   5、RID是指相对ID（RID）、是SA所指派的一个惟一的、顺序的编号、代表一个安全主体（比如一个用户、计算机或组）

新
的已知SID：在经典NT和windows2000中，Local System账户SID
S－1-5-18为几乎所有服务提供了安全上下文，该账户具有很大的特权。Windows2003则引入了另外两个“已知SID”来为服务提供一个安全上
下文、即LocalService和NetworkService。

部分已知SID及功能见Microsoft KB243330
 已
知RID：指派给用户、计算机和组的RID从1000开始。500-999的RID被专门保留起来、表示在每个Windows计算机和域中通用的账户和
组，它们称为“已知RID”有些已知RID会附加到一个域SID上，从而构成一个惟一的标识符。另一些则附加到Builtin
SID(S-1-5-32)上，指出它们是可能具有特权的Builtin账户－－特权要么是硬编码到操作系统中的，要么是在安全数据库中指派的。

文件:	Token.Master.rar
大小:	77KB
下载:	下载

Tokenmaster可查看服务器上运行的任何进程的访问令牌的内容。