Jak zlokalizować nazwę obiektu, wykorzystując jego identyfikator SID (Security Identifier)? Sprawdź, jak radzić sobie w przypadkach, kiedy na liście uprawnień DACL pojawia się nieprzypisany SID po usunięciu obiektu i potrzebujesz ustalić, do jakiego obiektu przedtem przynależał.
W środowiskach IT, zwłaszcza wśród specjalistów ds. bezpieczeństwa i administratorów systemów, często pojawia się potrzeba ustalenia nazwy obiektu, mając do dyspozycji jedynie jego SID (np. z dzienników SIEM czy innych systemów monitorujących). To szczególnie ważne, gdy obiekt, taki jak użytkownik lub grupa, miał przydzielone uprawnienia w DACL, ale został usunięty z systemu lub z usług katalogowych Active Directory. Wtedy widzimy tylko numer SID, który sam w sobie niewiele mówi. Jak go odszyfrować i ustalić, do jakiego obiektu należał?
Czym dokładnie jest SID?
SID, czyli Security Identifier, to unikatowy identyfikator używany przez komputery lub kontrolery domeny Active Directory do jednoznacznej identyfikacji obiektów, takich jak użytkownicy. Jest to ciąg znaków alfanumerycznych, który jest przypisywany każdemu użytkownikowi, grupie lub komputerowi w sieci zarządzanej przez Active Directory. Pozwala on na jednoznaczne rozpoznanie obiektu w systemie.
Windows używa SID zamiast imion użytkowników na podstawowym poziomie. Kiedy logujemy się, wprowadzając nazwę użytkownika i hasło, system sprawdza zgodność wprowadzonych danych z informacjami w Active Directory lub lokalnej bazie SAM, a następnie weryfikuje w rejestrze Windows, jaki SID jest skojarzony z daną nazwą użytkownika.
Od tego momentu, dla każdej akcji wymagającej weryfikacji uprawnień, system korzysta z SID zamiast imienia użytkownika.
SID-y są kluczowe, ponieważ umożliwiają jednoznaczną identyfikację kont na poziomie systemu operacyjnego. Po usunięciu konta w Windows czy AD, stworzenie nowego konta z tą samą nazwą użytkownika nie da dostępu do tych samych zasobów sieciowych — nowe konto będzie miało inny SID. Jedynym rozwiązaniem może być odtworzenie go z Kosza AD lub z kopii zapasowej.
Jak odczytać informacje z identyfikatora SID?
Windows pozwala lub zabrania dostępu do zasobów na podstawie listy ACL, która identyfikuje użytkowników i ich grupy przy użyciu SID.
Jeśli chcesz sprawdzić SID swojego konta, wystarczy użyć komendy w wierszu poleceń:
whoami /user
Otrzymasz wówczas SID swojego konta, np. Vault-Tech.pl mógłby mieć SID S-1-5-24-3477761238-1561725046-6683327351-1303.
Jak znaleźć nazwę obiektu
Jeśli miałeś włączony Kosz w Active Directory przed usunięciem obiektu, możesz nadal znaleźć odpowiadające mu konto, dopóki nie zostanie ono całkowicie usunięte z Active Directory. Ważne jest, aby pamiętać, że domyślnie obiekty w koszu AD są zachowywane przez 180 dni.
Zazwyczaj, aby przetłumaczyć SID na nazwę użytkownika, wystarczy użyć polecenia cmdlet w PowerShell Get-ADUser (dla użytkowników) lub Get-ADGroup (dla grup):
Get-ADUser —Identity S-1-5-21-3497261938-2581715043-3983387359-1103
Po parametrze Identity podajesz SID, dla którego chcesz rozwiązać nazwę użytkownika.
Co robić, jeśli obiekt został usunięty, a mamy jego SID?
Jeśli konto zostało już usunięte, wcześniej wymienione polecenia cmdlet i narzędzia mogą być nieskuteczne. W takiej sytuacji, jeśli obiekt (użytkownik, komputer, grupa) został usunięty z Active Directory, istnieją trzy główne sposoby, aby odszukać jego nazwę:
- Przeszukiwanie kosza Active Directory za pomocą polecenia cmdlet: Get-ADObject, używając parametru IncludeDeletedObjects
- Przeszukiwanie logów zdarzeń Security w Microsoft, aby znaleźć wpisy związane z danym SID
- Przeszukiwanie profili na komputerach w infrastrukturze, aby znaleźć nazwę użytkownika, której przypisano dany SID
Kiedy masz SID, możesz dowiedzieć się, w której domenie AD został utworzony, czy jest to obiekt wbudowany w system Windows, oraz znaleźć nazwę obiektu, którego reprezentuje.
Pamiętaj, że SID to wrażliwa informacja. Może być wykorzystana przez osoby atakujące, na przykład w procesie ataku wykorzystującego atrybut SID History.
Czytaj też: