NewSID 重新生成新的安全標(biāo)識符

NewSID ，顧名思義，就是可以利用它來為計算機重新生成新的SID號。為什么要重新定義新SID?如果用Ghost的鏡像批量的來安裝系統(tǒng)，那么它們的SID號必然相同。若內(nèi)部網(wǎng)絡(luò)上計算機SID相同就會造成許多沖突，加入域也會有很大問題，甚至造成客戶機無法加入到域。

Windows 安裝光盤不是已經(jīng)提供了Sysprep嗎?什么還要用NewSID呢?

1、 凡用過Sysprep的朋友都應(yīng)該知道，如果用Sysprep來重新封裝系統(tǒng)，在重啟之后會要求我們重新輸入產(chǎn)品序列號和重新添加用戶，對于企業(yè)來說很多時候是不希望員工得到產(chǎn)品ID的，讓非IT職員來完成系統(tǒng)任務(wù)也很有可能造成一些不必要的麻煩。

2、 正是基于我們這些迫切需求，NewSID可謂是一個完美的解決方案。它提供三種方式來讓我們重新生成SID：a.隨機產(chǎn)生 b.從其它計算機復(fù)制 c.手工輸入，以上這三種方式可以滿足大多數(shù)用戶的需求。我們還可以選擇是否重新給計算機更名，最后也可以手工指定在SID重定義完成后是否重啟計算機。

3、 計算機重啟之后不會讓我們再次輸入產(chǎn)品序列號，也不會讓我們重新添加用戶，這為我們減少了很多不必要的麻煩。

總結(jié)：NewSID是一個相當(dāng)Cool的小工具，大家一定要將其收到自己的工具箱中，以備不時之需。

SID和NewSID的詳細(xì)說明

SID也就是安全標(biāo)識符(Security Identifiers)，是標(biāo)識用戶、組和計算機帳戶的唯一的號碼。在第一次創(chuàng)建該帳戶時，將給網(wǎng)絡(luò)上的每一個帳戶發(fā)布一個唯一的 SID。Windows 2000 中的內(nèi)部進(jìn)程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創(chuàng)建帳戶，再刪除帳戶，然后使用相同的用戶名創(chuàng)建另一個帳戶，則新帳戶將不具有授權(quán)給前一個帳戶的權(quán)力或權(quán)限，原因是該帳戶具有不同的 SID 號。安全標(biāo)識符也被稱為安全 ID 或 SID。

SID的作用

用戶通過驗證后，登陸進(jìn)程會給用戶一個訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證，當(dāng)用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給 Windows NT，然后 Windows NT 檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，Windows NT將會分配給用戶適當(dāng)?shù)脑L問權(quán)限。

訪問令牌是用戶在通過驗證的時候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。

SID號碼的組成

如果存在兩個同樣SID的用戶，這兩個帳戶將被鑒別為同一個帳戶，原理上如果帳戶無限制增加的時候，會產(chǎn)生同樣的SID，在通常的情況下SID是唯一的，他由計算機名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。

一個完整的SID包括：

• 用戶和組的安全描述

• 48-bit的ID authority

• 修訂版本

• 可變的驗證值Variable sub-authority values

例：S-1-5-21-310440588-250036847-580389505-500

我們來先分析這個重要的SID。第一項S表示該字符串是SID;第二項是SID的版本號，對于2000來說，這個就是

1;然后是標(biāo)志符的頒發(fā)機構(gòu)(identifier authority)，對于2000內(nèi)的帳戶，頒發(fā)機構(gòu)就是NT，值是5。然后表示一系列的子頒發(fā)機構(gòu)，前面幾項是標(biāo)志域的，最后一個標(biāo)志著域內(nèi)的帳戶和組。

SID的獲得

開始-運行-regedt32-HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members，找到本地

的域的代碼，展開后，得到的就是本地帳號的所有SID列表。

其中很多值都是固定的，比如第一個000001F4(16進(jìn)制)，換算成十進(jìn)制是500，說明是系統(tǒng)建立的內(nèi)置管理員帳號administrator，000001F5換算成10進(jìn)制是501，也就是GUEST帳號了，詳細(xì)的參照后面的列表。

這一項默認(rèn)是system可以完全控制，這也就是為什么要獲得這個需要一個System的Cmd的Shell的原因了，當(dāng)然如果權(quán)限足夠的話你可以把你要添加的帳號添加進(jìn)去。

或者使用Support Tools的Reg工具：

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

還有一種方法可以獲得SID和用戶名稱的對應(yīng)關(guān)系：

1. Regedt32:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList

2. 這個時候可以在左側(cè)的窗口看到SID的值，可以在右側(cè)的窗口中ProfileImagePath看到不同的SID關(guān)聯(lián)的用戶

名，比如%SystemDrive%\Documents and Settings\Administrator.momo這個對應(yīng)的就是本地機器的管理員SID %SystemDrive%\Documents and Settings\Administrator.domain這個就是對應(yīng)域的管理員的帳戶

另外微軟的ResourceKit里面也提供了工具getsid，sysinternals的工具包里面也有Psgetsid，其實感覺原理都是讀

取注冊表的值罷了，就是省了一些事情。

SID重復(fù)問題的產(chǎn)生

安裝NT/2000系統(tǒng)的時候，產(chǎn)生了一個唯一的SID，但是當(dāng)你使用類似Ghost的軟件克隆機器的時候，就會產(chǎn)生不同的機器使用一個SID的問題。產(chǎn)生了很嚴(yán)重的安全問題。

同樣，如果是重復(fù)的SID對于對等網(wǎng)來說也會產(chǎn)生很多安全方面的問題。在對等網(wǎng)中帳號的基礎(chǔ)是SID加上一個相關(guān)的標(biāo)識符(RID)，如果所有的工作站都擁有一樣的SID，每個工作站上產(chǎn)生的第一個帳號都是一樣的，這樣就對用戶本身的文件夾和文件的安全產(chǎn)生了隱患。

這個時候某個人在自己的NTFS分區(qū)建立了共享，并且設(shè)置了自己可以訪問，但是實際上另外一臺機器的SID號碼和這個一樣的用戶此時也是可以訪問這個共享的。

SID重復(fù)問題的解決

下面的幾個試驗帶有高危險性，慎用，我已經(jīng)付出了慘痛的代價!

微軟在ResourceKit里面提供了一個工具，叫做SYSPREP,這個可以用在克隆一臺工作站以前產(chǎn)生一個新的SID號

碼。 下圖是他的參數(shù)

這個工具在DC上是不能運行這個命令的，否則會提示

但是這個工具并不是把所有的帳戶完全的產(chǎn)生新的SID，而是針對兩個主要的帳戶Administrator和Guest，其他的帳號仍然使用原有的SID。

下面做一個試驗，先獲得目前帳號的SID：

S-1-5-21-2000478354-688789844-839522115

然后運行Sysprep，出現(xiàn)提示窗口：

確定以后需要重啟，然后安裝程序需要重新設(shè)置計算機名稱、管理員口令等，但是登陸的時候還是需要輸入原帳號的口令。

進(jìn)入2000以后，再次查詢SID，得到：

S-1-5-21-759461550-145307086-515799519，發(fā)現(xiàn)SID號已經(jīng)得到了改變，查詢注冊表，發(fā)現(xiàn)注冊表已經(jīng)全部修改了，當(dāng)然全部修改了　。

另外sysinternals公司也提供了類似的工具NTSID，這個到后來才發(fā)現(xiàn)是針對NT4的產(chǎn)品，界面如下：

他可不會提示什么再DC上不能用，接受了就開始，結(jié)果導(dǎo)致我的一臺DC崩潰，重啟后提示“安全賬號管理器初始化失敗，提供給識別代號頒發(fā)機構(gòu)的值為無效值，錯誤狀態(tài)0XC0000084，請按確定，重啟到目錄服務(wù)還原模式...”，

即使切換到目錄服務(wù)還原模式也再也進(jìn)不去了!

想想自己膽子也夠大的啊，好在是一臺額外DC，但是自己用的機器，導(dǎo)致重裝系統(tǒng)半天，重裝軟件N天　，所以再次提醒大家，做以上試驗的時候一定要慎重，最好在一臺無關(guān)緊要的機器上試驗，否則出現(xiàn)問題我不負(fù)責(zé)哦　。另外在Ghost的新版企業(yè)版本中的控制臺已經(jīng)加入了修改SID的功能，自己還沒有嘗試，有興趣的朋友可以自己試驗一下，不過從原理上應(yīng)該都是一樣的。

文章發(fā)表之前，又發(fā)現(xiàn)了微軟自己提供的一個工具“Riprep”，這個工具主要用做在遠(yuǎn)程安裝的過程中，想要同時安裝上應(yīng)用程序。管理員安裝了一個標(biāo)準(zhǔn)的公司桌面操作系統(tǒng)，并配置好應(yīng)用軟件和一些桌面設(shè)置之后，可以使用Riprep從這個標(biāo)準(zhǔn)的公司桌面系統(tǒng)制作一個Image文件。這個Image文件既包括了客戶化的應(yīng)用軟件，又把每個桌面系統(tǒng)必須獨占的安全I(xiàn)D、計算機賬號等刪除了。管理員可以它放到遠(yuǎn)程安裝服務(wù)器上，供客戶端遠(yuǎn)程啟動進(jìn)行安裝時選用。但是要注意的是這個工具只能在單硬盤、單分區(qū)而且是Professional的機器上面用。

下面是SID末尾RID值的列表，括號內(nèi)為16進(jìn)制：

Built-In Users

DOMAINNAME\ADMINISTRATOR

S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)

DOMAINNAME\GUEST

S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)

Built-In Global Groups

DOMAINNAME\DOMAIN ADMINS

S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)

DOMAINNAME\DOMAIN USERS

S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)

DOMAINNAME\DOMAIN GUESTS

S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)

Built-In Local Groups

BUILTIN\ADMINISTRATORS S-1-5-32-544 (=0x220)

BUILTIN\USERS S-1-5-32-545 (=0x221)

BUILTIN\GUESTS S-1-5-32-546 (=0x222)

BUILTIN\ACCOUNT OPERATORS S-1-5-32-548 (=0x224)

BUILTIN\SERVER OPERATORS S-1-5-32-549 (=0x225)

BUILTIN\PRINT OPERATORS S-1-5-32-550 (=0x226)

BUILTIN\BACKUP OPERATORS S-1-5-32-551 (=0x227)

BUILTIN\REPLICATOR S-1-5-32-552 (=0x228)

Special Groups

\CREATOR OWNER S-1-3-0

\EVERYONE S-1-1-0

NT AUTHORITY\NETWORK S-1-5-2

NT AUTHORITY\INTERACTIVE S-1-5-4

NT AUTHORITY\SYSTEM S-1-5-18

NT AUTHORITY\authenticated users S-1-5-11 *.(over)