Serveur d'impression

SID connus pour Windows Server 2008 R2 Active Directory – Bien choisir son serveur d impression

Le 17 octobre 2019 - 8 minutes de lecture

introduction

J'ai appris que de nombreux administrateurs ignorent qu'Active Directory, ainsi que les serveurs Windows et les systèmes d'exploitation de bureau, produisent des utilisateurs et des groupes facilement détectables. Ils sont facilement détectables via leur SID bien connu. Dans cet article, nous discuterons de ce qu'est un SID. continuez ensuite à discuter des raisons pour lesquelles certaines sont bien connues. Le concept et la technologie des SID sont extrêmement importants pour l’ensemble du sous-système de sécurité Windows, ainsi que pour les ressources réseau.

Qu'est-ce qu'un SID?

Un SID est un identifiant de sécurité. Bien que nous connaissions les utilisateurs, les groupes et les ordinateurs sous les noms Derek, Domain Admins et Server1, le système d’exploitation les connaît sous les noms 1000, 512 et 1500 (ainsi que d’autres chiffres et quelques lettres!). C'est comme les sites Web Internet que vous visitez. Connaissez-vous l'adresse IP de google.com? Moi non plus! Cependant, Internet ne le fait pas non plus! Internet le connaît sous le numéro 74.125.91.106. C'est le DNS qui aide à la résolution, vous n'avez donc pas besoin de savoir quelle est l'adresse IP.

Un exemple de SID Windows serait S-1-5-21-549688327-91903405-2500298261-1000. Le S-1-5-21 est utilisé pour la plupart des comptes d'utilisateurs et de groupes, où 549688327-91903405-2500298261 est le SID du domaine.

Remarque:
On m'a demandé si deux domaines peuvent être installés et ont le même domaine SID? Oui, la réponse à cette question repose toutefois sur mes connaissances en statistiques. Je trouve cela TRÈS DIFFICILE d’imaginer que deux domaines dans le monde génèrent le même SID de domaine et soient ensuite associés au même réseau physique. Je pense qu’être frappé par la foudre par une journée ensoleillée présenterait un plus grand risque.

Que fait un SID?

Le système d'exploitation utilise un SID pour suivre ce compte. Cela se fait de deux manières. Tout d'abord, lorsqu'un utilisateur ouvre une session, le SID de l'utilisateur et les identificateurs de groupe du groupe auxquels l'utilisateur appartient sont écrits dans le jeton d'authentification de l'utilisateur. Vous pouvez le voir sur la figure 1, qui est un jeton de processus, copié à partir du jeton d'authentification d'utilisateur.


Figure 1: Jeton utilisateur, y compris le SID de l'utilisateur et les SID du groupe.

Les SID sont également utilisés pour contrôler l'accès aux ressources. Toute ressource dans Windows disposant d'une liste de contrôle d'accès (ACL) utilise des identificateurs de sécurité pour contrôler les autorisations d'accès. Les ressources avec des ACL dans Windows incluent: fichiers, dossiers, clés de registre, imprimantes, objets AD et services. Un exemple de fichier ACL est présenté à la figure 2.


Figure 2: Fichier ACL, qui indique les noms d’utilisateur / de groupe, mais qui est en réalité une liste de SID.

Lorsqu'un utilisateur tente d'accéder à une ressource, les identificateurs de sécurité sur le jeton sont comparés à la liste de contrôle d'accès. Si l'utilisateur ou un groupe est répertorié dans la liste de contrôle d'accès, cet accès est accordé à l'utilisateur. Si l'utilisateur ou le groupe auquel l'utilisateur appartient ne figure pas dans la liste, l'accès est refusé à l'utilisateur.

SID connus pour les comptes d'utilisateurs

Lorsque Active Directory est installé, il existe des comptes d'utilisateur par défaut, notamment Invité, Administrateur, KRBTGT, etc. Ces comptes doivent être suivis dans toutes les installations d'Active Directory et sont codés en dur dans le système d'exploitation. Comme ils sont codés en dur, ils doivent avoir la même "structure" pour leur SID. Puisque la partie de départ du SID est toujours S-1-5-21- et que la partie de domaine du SID est toujours créée de manière dynamique, la seule autre partie du SID devant être suivie dans le RID, qui est la dernière partie du SID. RID signifie identificateur relatif et est identique pour tous les comptes d'utilisateur par défaut. Les autres comptes d'utilisateur sont davantage des comptes système, qui suivent un système de numérotation SID différent (voir le tableau 1).

Compte d'utilisateur

SID bien connu

Administrateur

S-1-5-21domaine-500

Client

S-1-5-21domaine-501

KRBTGT

S-1-5-21domaine-502

Créateur Propriétaire

S-1-3-0

Interactif

S-1-5-4

Anonyme

S-1-5-7

Tableau 1: Comptes d'utilisateur par défaut et leurs identificateurs de sécurité.

SID connus pour les comptes de groupe

De la même manière que les comptes d'utilisateurs, les groupes par défaut ont également des SID bien connus. Il existe beaucoup plus de groupes par défaut dans Active Directory que d'utilisateurs et les identificateurs de sécurité (SID) de ces comptes varient. Le tableau 2 répertorie la majorité des groupes par défaut et leurs identificateurs de sécurité.

Compte groupe

SID bien connu

Toutes les personnes

S-1-1-0

Contrôleurs de domaine d'entreprise

S-1-5-9

Utilisateurs authentifiés

S-1-5-11

Admins du domaine

S-1-5-21domain-512

Utilisateurs du domaine

S-1-5-21domain-513

Domaine informatique

S-1-5-21domain-515

Contrôleurs de domaine

S-1-5-21domain-516

Cert Publishers

S-1-5-21domain-517

Administrateurs de schéma

S-1-5-21domain-518

Administrateurs d'entreprise

S-1-5-21domain-519

Propriétaires créateurs de la stratégie de groupe

S-1-5-21domaine-520

Administrateurs

S-1-5-32-544

Utilisateurs

S-1-5-32-545

Invités

S-1-5-32-546

Opérateurs de compte

S-1-5-32-548

Opérateurs de serveur

S-1-5-32-549

Opérateurs d'impression

S-1-5-32-550

Opérateurs de sauvegarde

S-1-5-32-551

Réplicateurs

S-1-5-32-552

Accès compatible pré-Windows 2000

S-1-5-32-554

Utilisateurs du bureau à distance

S-1-5-32-555

Opérateurs de configuration réseau

S-1-5-32-556

Constructeurs de confiance de forêt entrants

S-1-5-32-557

Contrôleurs de domaine d'entreprise en lecture seule

S-1-5-21domain-498

Contrôleurs de domaine en lecture seule

S-1-5-21domain-521

Groupe de réplication de mot de passe RODC autorisé

S-1-5-21domaine-571

Groupe de réplication de mot de passe RODC refusé

S-1-5-21domaine-572

Lecteurs de journaux d'événements

S-1-5-32-573

Tableau 2: Comptes de groupe par défaut et leurs SID.

Que signifient les identifiants d'identité connus pour vous?

À mon avis, les SID bien connus signifient simplement qu'un attaquant averti peut trouver n'importe quel utilisateur ou groupe, peu importe la raison. Cependant, connaître les SID de ces comptes peut également vous aider à suivre vos utilisateurs et vos groupes. Je vous suggère toujours de changer le nom du compte administrateur, afin de dissimuler la sécurité de ce compte, pour ceux qui ne le sont pas. Créer un compte administrateur "à fond" est un excellent moyen d'attraper les attaquants, en essayant de se connecter avec ce compte, ce qui n'est évidemment pas le bon "administrateur".

Bien entendu, un attaquant averti peut résoudre le SID en nommant et déterminer quel utilisateur possède le RID de 500, en indiquant l'administrateur par défaut. C’est une bonne raison de ne pas autoriser l’accès anonyme et de limiter la traduction des noms SID, l’énumération SAM, etc. Pour en savoir plus sur la façon de restreindre ce type d’accès, cliquez ici.

Vous devez vraiment empêcher tout utilisateur de pouvoir attribuer un nom à la traduction du SID ou d’énumérer les utilisateurs et leurs SID. Il existe beaucoup trop d'informations pouvant être obtenues à partir de l'une ou l'autre de ces listes, pour un attaquant potentiel. Le nom du compte d'administrateur, les noms des comptes de "première création d'Active Directory" (généralement des administrateurs) et d'autres informations permettant à un attaquant de collecter beaucoup trop d'informations sur une attaque.

Sommaire

Pour que le système d'exploitation et Active Directory puissent suivre les comptes d'utilisateur et de groupe par défaut, il doit leur attribuer des SID connus … connus en réalité. Ceci est fait pour que ces comptes soient établis lors de l'installation et que le système n'ait pas besoin de les suivre avec des SID dynamiques. La plupart des comptes ont une structure similaire à S-1-5-21domain-RID, mais d'autres ont un format SID différent. Quels que soient le format et la structure, le SID est utilisé par tous les utilisateurs qui se connectent, par le système et par l'accès aux ressources pour contrôler l'accès à tous les serveurs, ressources et ressources du domaine.


Publier des vues:
7 337




signaler cette annonce



Lire la suite


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.