Identificadores de segurança
Este artigo descreve como os SIDs (identificadores de segurança) funcionam com as contas e os grupos no sistema operacional Windows Server.
O que são identificadores de segurança?
Um identificador de segurança é usado para identificar exclusivamente uma entidade de segurança ou um grupo de segurança. As entidades de segurança podem representar qualquer entidade que possa ser autenticada pelo sistema operacional, como uma conta de usuário, uma conta de computador ou um thread ou um processo executado no contexto de segurança de uma conta de usuário ou de computador.
Cada conta ou grupo, ou cada processo executado no contexto de segurança da conta, tem um SID exclusivo emitido por uma autoridade, como um controlador de domínio do Windows. O SID é armazenado em um banco de dados de segurança. O sistema gera o SID que identifica uma conta ou um grupo específico no momento em que a conta ou o grupo é criado. Quando um SID tiver sido usado como o identificador exclusivo para um usuário ou um grupo, ele nunca mais poderá ser usado para identificar outro usuário ou grupo.
Sempre que um usuário entra, o sistema cria um token de acesso para esse usuário. O token de acesso contém o SID do usuário, os direitos de usuário e os SIDs de todos os grupos aos quais o usuário pertence. Esse token fornece o contexto de segurança para todas as ações executadas pelo usuário nesse computador.
Além dos SIDs específicos do domínio criados exclusivamente, atribuídos a usuários e grupos específicos, há SIDs conhecidos que identificam grupos e usuários genéricos. Por exemplo, os SIDs Todos e Mundo identificam um grupo que inclui todos os usuários. Os SIDs conhecidos têm valores que permanecem constantes em todos os sistemas operacionais.
Os SIDs são um bloco de construção fundamental do modelo de segurança do Windows. Eles trabalham com componentes específicos das tecnologias de autorização e controle de acesso na infraestrutura de segurança dos sistemas operacionais do Windows Server. Isso ajuda a proteger o acesso aos recursos de rede e fornece um ambiente de computação mais seguro.
Observação
Esse conteúdo pertence somente às versões do Windows na lista "Aplica-se a" no início do artigo.
Como funcionam os identificadores de segurança
Os usuários se referem às contas pelo nome da conta, mas o sistema operacional se refere internamente às contas e aos processos executados no contexto de segurança da conta usando os respectivos SIDs. Para as contas de domínio, o SID de uma entidade de segurança é criado pela concatenação do SID do domínio com um RID (identificador relativo) da conta. Os SIDs são exclusivos no respectivo escopo (domínio ou local) e nunca são reutilizados.
O sistema operacional gera um SID que identifica uma conta ou um grupo específico no momento em que a conta ou o grupo é criado. O SID de uma conta ou de um grupo local é gerado pela LSA (autoridade de segurança local) no computador e é armazenado com outras informações da conta em uma área segura do Registro. O SID de uma conta de domínio ou de um grupo é gerado pela autoridade de segurança do domínio e é armazenado como um atributo do objeto Usuário ou Grupo no Active Directory Domain Services.
Para cada conta e grupo local, o SID é exclusivo para o computador em que foi criado. Duas contas ou dois grupos no computador nunca compartilham o SID. Da mesma forma, para cada conta de domínio e grupo, o SID é exclusivo em uma empresa. Isso significa que o SID de uma conta ou de um grupo criado em um domínio nunca corresponderá ao SID de uma conta ou um grupo criado em qualquer outro domínio na empresa.
Os SIDs sempre permanecem exclusivos. As autoridades de segurança nunca emitem o mesmo SID duas vezes e nunca reutilizam os SIDs das contas excluídas. Por exemplo, se um usuário com uma conta de usuário em um domínio do Windows deixar o trabalho, um administrador excluirá a conta do Active Directory dele, incluindo o SID que identifica a conta. Se, posteriormente, ele retornar a um trabalho diferente na mesma empresa, um administrador criará outra conta e o sistema operacional Windows Server vai gerar um novo SID. O novo SID não corresponde ao antigo, ou seja, nenhum acesso do usuário da conta antiga é transferido para a nova conta. Ambas as contas representam dois princípios de segurança diferentes.
Arquitetura do identificador de segurança
Um identificador de segurança é uma estrutura de dados no formato binário que contém um número variável de valores. Os primeiros valores na estrutura contêm informações sobre a estrutura do SID. Os valores restantes são organizados em uma hierarquia (semelhante a um número de telefone) e identificam a autoridade emissora do SID (por exemplo, “Autoridade NT”), o domínio emissor do SID e uma entidade de segurança ou um grupo específico. A imagem a seguir ilustra a estrutura de um SID.
Os valores individuais de um SID são descritos na seguinte tabela:
Comentário | Descrição |
---|---|
Revisão | Indica a versão da estrutura do SID usada em um SID específico. |
Autoridade de identificador | Identifica o nível mais alto de autoridade que pode emitir SIDs para um tipo específico de entidade de segurança. Por exemplo, o valor da autoridade de identificador no SID do grupo Todos é 1 (Autoridade Mundial). O valor da autoridade de identificador no SID para uma conta ou um grupo específico do Windows Server é 5 (Autoridade NT). |
Subautoridades | Contém as informações mais importantes em um SID, que está contido em uma série de um ou mais valores de subautoridade. Todos os valores até, mas não incluindo, o último valor da série identificam coletivamente um domínio em uma empresa. Essa parte da série é chamada de identificador de domínio. O último valor da série, que é chamado de RID (identificador relativo), identifica uma conta ou um grupo específico em relação a um domínio. |
Os componentes de um SID são mais fáceis de serem visualizados quando os SIDs são convertidos de um binário para um formato de cadeia de caracteres usando a notação padrão:
S-R-X-Y1-Y2-Yn-1-Yn
Nessa notação, os componentes de um SID são descritos na seguinte tabela:
Comentário | Descrição |
---|---|
S | Indica que a cadeia de caracteres é um SID |
R | Indica o nível de revisão |
X | Indica o valor da autoridade do identificador |
S | Representa uma série de valores de subautoridade, em que n é o número de valores |
As informações mais importantes do SID estão contidas na série de valores de subautoridade. A primeira parte da série (-Y1-Y2-Yn-1) é o identificador de domínio. Esse elemento do SID torna-se significativo em uma empresa com vários domínios, pois o identificador de domínio diferencia os SIDs emitidos por um domínio dos SIDs emitidos por todos os outros domínios na empresa. Dois domínios em uma empresa não compartilham o identificador de domínio.
O último item na série de valores de subautoridade (-Yn) é o identificador relativo. Ele distingue uma conta ou um grupo de todas as outras contas e grupos do domínio. Duas contas ou dois grupos em nenhum domínio compartilham o identificador relativo.
Por exemplo, o SID do grupo Administradores interno é representado na notação de SID padronizada como a seguinte cadeia de caracteres:
S-1-5-32-544
Esse SID tem quatro componentes:
- Um nível de revisão (1)
- Um valor de autoridade de identificador (5, Autoridade NT)
- Um identificador de domínio (32, Interno)
- Um identificador relativo (544, Administradores)
Os SIDs de contas e de grupos internos sempre têm o mesmo valor de identificador de domínio, 32. Esse valor identifica o domínio, Interno, que existe em todos os computadores que executam uma versão do sistema operacional Windows Server. Nunca é necessário distinguir as contas e os grupos internos de um computador das contas e dos grupos internos de outro computador, pois eles têm escopo local. Eles são locais em um só computador ou, no caso dos controladores de domínio de um domínio de rede, locais em vários computadores que atuam como um.
As contas e os grupos internos precisam ser diferenciados entre si no escopo do domínio Interno. Portanto, o SID de cada conta e grupo tem um identificador relativo exclusivo. Um valor de identificador relativo igual a 544 é exclusivo do grupo Administradores interno. Nenhuma outra conta ou grupo no domínio Interno tem um SID com um valor final de 544.
Em outro exemplo, considere o SID para o grupo global, Administradores de Domínio. Cada domínio em uma empresa tem um grupo Administradores de Domínio, e o SID de cada grupo é diferente. O seguinte exemplo representa o SID do grupo Administradores de Domínio no domínio Contoso, Ltd. (Contoso\Administradores de Domínio):
S-1-5-21-1004336348-1177238915-682003330-512
O SID de Contoso\Administradores de Domínio tem:
- Um nível de revisão (1)
- Uma autoridade de identificador (5, Autoridade NT)
- Um identificador de domínio (21-1004336348-1177238915-682003330, Contoso)
- Um identificador relativo (512, Administradores de Domínio)
O SID de Contoso\Administradores de Domínio é diferenciado dos SIDs de outros grupos Administradores de Domínio na mesma empresa pelo identificador de domínio: 21-1004336348-1177238915-682003330. Nenhum outro domínio na empresa usa esse valor como o identificador de domínio. O SID de Contoso\Administradores de Domínio é diferenciado dos SIDs de outras contas e outros grupos criados no domínio Contoso pelo identificador relativo, 512. Nenhuma outra conta ou grupo no domínio tem um SID com um valor final de 512.
Alocação de identificador relativo
Quando as contas e os grupos são armazenados em um banco de dados da conta gerenciado por um SAM (Gerenciador de Contas de Segurança) local, é bastante fácil para o sistema gerar um identificador relativo exclusivo para cada conta e em um grupo que ele cria em um computador autônomo. O SAM em um computador autônomo pode rastrear os valores relativos do identificador que ele usou antes e garantir que ele nunca mais os use novamente.
No entanto, em um domínio de rede, gerar identificadores relativos exclusivos é um processo mais complexo. Os domínios de rede do Windows Server podem ter vários controladores de domínio. Cada controlador de domínio armazena informações da conta do Active Directory. Isso significa que, em um domínio de rede, há tantas cópias do banco de dados da conta quanto controladores de domínio. Além disso, cada cópia do banco de dados da conta é uma cópia mestra.
Contas e grupos podem ser criados em qualquer controlador de domínio. As alterações feitas no Active Directory em um controlador de domínio são replicadas em todos os outros controladores de domínio do domínio. O processo de replicação de alterações em uma cópia mestra do banco de dados da conta para todas as outras cópias mestras é chamado de operação multimestre.
O processo de geração de identificadores relativos exclusivos é uma operação de mestre único. Um controlador de domínio recebe a função de mestre de RID e aloca uma sequência de identificadores relativos para cada controlador de domínio no domínio. Quando uma conta de domínio ou um grupo é criado na réplica de um controlador de domínio do Active Directory, ele recebe um SID. O identificador relativo do novo SID é obtido da alocação do controlador de domínio de identificadores relativos. Quando o fornecimento de identificadores relativos começa a diminuir, o controlador de domínio solicita outro bloco do mestre de RID.
Cada controlador de domínio usa cada valor em um bloco de identificadores relativos apenas uma vez. O mestre de RID aloca cada bloco de valores relativos do identificador apenas uma vez. Esse processo garante que cada conta e grupo criado no domínio tenha um identificador relativo exclusivo.
Identificadores de segurança e identificadores globais exclusivos
Quando uma conta de usuário ou um grupo de domínio é criado, o Active Directory armazena o SID da conta na propriedade ObjectSID
de um objeto Usuário ou Grupo. Ele também atribui ao novo objeto um GUID (identificador global exclusivo), que é um valor de 128 bits exclusivo na empresa e em todo o mundo. Os GUIDs são atribuídos a todos os objetos criados pelo Active Directory e não apenas aos objetos de Usuário e Grupo. O GUID de cada objeto é armazenado na propriedade ObjectGUID
.
O Active Directory usa GUIDs internamente para identificar objetos. Por exemplo, o GUID é uma das propriedades de um objeto que é publicada no catálogo global. A pesquisa de um GUID de objeto Usuário no catálogo global produzirá resultados se o usuário tiver uma conta em algum lugar da empresa. Na verdade, a pesquisa de qualquer objeto por ObjectGUID
pode ser a maneira mais confiável de localizar o objeto que você deseja encontrar. Os valores de outras propriedades de objeto podem ser alterados, mas a propriedade ObjectGUID
nunca é alterada. Quando um objeto recebe um GUID, ele mantém esse valor durante toda a vida útil.
Se um usuário passar de um domínio para outro, ele obterá um novo SID. O SID de um objeto de grupo não é alterado, pois os grupos permanecem no domínio em que foram criados. No entanto, se as pessoas mudarem, as respectivas contas poderão mudar com elas. Se um funcionário mudar da América do Norte para a Europa, mas permanecer na mesma empresa, um administrador da empresa poderá mover o objeto Usuário do funcionário de, por exemplo, Contoso\AmNor para Contoso\Europa. Se o administrador fizer isso, o objeto Usuário da conta precisará de um novo SID. A parte do identificador de domínio de um SID emitida na AmNor é exclusiva dela, ou seja, o SID da conta do usuário na Europa tem outro identificador de domínio. A parte do identificador relativo de um SID é exclusiva em relação ao domínio, ou seja, se o domínio for alterado, o identificador relativo também será alterado.
Quando um objeto Usuário é movido de um domínio para outro, um novo SID precisa ser gerado para a conta de usuário e armazenado na propriedade ObjectSID
. Antes que o novo valor seja gravado na propriedade, o valor anterior é copiado para outra propriedade de um objeto Usuário, SIDHistory
. Essa propriedade pode conter vários valores. Sempre que um objeto Usuário é movido para outro domínio, um novo SID é gerado e armazenado na propriedade ObjectSID
e outro valor é adicionado à lista de SIDs antigos em SIDHistory
. Quando um usuário se conecta e é autenticado com sucesso, o serviço de autenticação de domínio consulta o Active Directory em busca de todos os SIDs associados ao usuário, incluindo o SID atual, os SIDs antigos e os SIDs dos grupos do usuário. Todos esses SIDs são retornados ao cliente de autenticação e incluídos no token de acesso do usuário. Quando o usuário tenta obter acesso a um recurso, qualquer um dos SIDs no token de acesso (incluindo um dos SIDs em SIDHistory
), pode permitir ou negar o acesso do usuário.
Se você permitir ou negar o acesso dos usuários a um recurso com base nos respectivos trabalhos, deverá permitir ou negar o acesso a um grupo, não a um indivíduo. Dessa forma, quando os usuários mudam de trabalho ou se mudam para outros departamentos, você pode ajustar com facilidade o acesso deles removendo-os de determinados grupos e adicionando-os a outros.
No entanto, se você permitir ou negar o acesso de um usuário individual aos recursos, provavelmente, o ideal será que o acesso desse usuário permaneça o mesmo, independentemente de quantas vezes o domínio da conta do usuário mude. A propriedade SIDHistory
torna isso possível. Quando um usuário muda de domínio, não é necessário alterar a ACL (lista de controle de acesso) em nenhum recurso. Se uma ACL tiver o SID antigo do usuário, mas não o novo, o SID antigo ainda estará no token de acesso do usuário. Ele está listado entre os SIDs dos grupos do usuário, e o usuário recebe ou nega o acesso com base no SID antigo.
SIDs conhecidos
Os valores de alguns SIDs são constantes em todos os sistemas. Eles são criados quando o sistema operacional ou o domínio é instalado. São chamados de SIDs conhecidos, porque identificam usuários genéricos ou grupos genéricos.
Há SIDs universais conhecidos que são significativos em todos os sistemas seguros que usam esse modelo de segurança, incluindo sistemas operacionais diferentes do Windows. Além disso, há SIDs conhecidos que são significativos apenas em sistemas operacionais Windows.
Os SIDs universais conhecidos são listados na seguinte tabela:
Valor | SID universal conhecido | Identifica |
---|---|---|
S-1-0-0 | SID nulo | Um grupo sem membros. Em geral, usado quando um valor do SID não é conhecido. |
S-1-1-0 | World (Mundo) | Um grupo que inclui todos os usuários. |
S-1-2-0 | Local | Usuários que se conectam aos terminais que estão conectados localmente (fisicamente) ao sistema. |
S-1-2-1 | Logon no console | Um grupo que inclui usuários que estão conectados ao console físico. |
S-1-3-0 | ID do Proprietário Criador | Um identificador de segurança a ser substituído pelo identificador de segurança do usuário que criou um objeto. Esse SID é usado em ACEs (entradas de controle de acesso) herdadas. |
S-1-3-1 | ID do Grupo de Criadores | Um identificador de segurança a ser substituído pelo SID do grupo primário do usuário que criou um objeto. Use esse SID em ACEs herdáveis. |
S-1-3-2 | Servidor proprietário | Um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do servidor proprietário do objeto e armazena informações sobre quem criou um determinado objeto ou arquivo. |
S-1-3-3 | Servidor de grupo | Um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do servidor de grupo do objeto e armazena informações sobre os grupos que têm permissão para trabalhar com o objeto. |
S-1-3-4 | Direitos de Proprietário | Um grupo que representa o proprietário atual do objeto. Quando uma ACE que carrega esse SID é aplicada a um objeto, o sistema ignora as permissões implícitas do READ_CONTROL e WRITE_DAC para o proprietário do objeto. |
S-1-4 | Autoridade não exclusiva | Um SID que representa uma autoridade de identificador. |
S-1-5 | NT Authority (AUTORIDADE NT) | Um SID que representa uma autoridade de identificador. |
S-1-5-80-0 | Todos os serviços | Um grupo que inclui todos os processos de serviço configurados no sistema. A associação é controlada pelo sistema operacional. |
A tabela a seguir lista as constantes de autoridade de identificador predefinidas. Os quatro primeiros valores são usados com SIDs universais conhecidos, e o restante dos valores é usado com SIDs conhecidos nos sistemas operacionais Windows na lista "Aplica-se a" no início do artigo.
Autoridade de identificador | Valor | Prefixo de cadeia de caracteres do SID |
---|---|---|
SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
SECURITY_NT_AUTHORITY | 5 | S-1-5 |
SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Os valores do RID a seguir são usados com os SIDs universais conhecidos. A coluna Autoridade de identificador mostra o prefixo da autoridade de identificador com a qual você pode combinar o RID para criar um SID universal conhecido.
Autoridade de identificador relativo | Valor | Autoridade de identificador |
---|---|---|
SECURITY_NULL_RID | 0 | S-1-0 |
SECURITY_WORLD_RID | 0 | S-1-1 |
SECURITY_LOCAL_RID | 0 | S-1-2 |
SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
A autoridade de identificador predefinida SECURITY_NT_AUTHORITY (S-1-5) produz SIDs que não são universais e são significativos apenas em instalações dos sistemas operacionais Windows na lista "Aplica-se a" no início deste artigo.
Os SIDs conhecidos são listados na seguinte tabela:
SID | Nome de exibição | Descrição |
---|---|---|
S-1-5-1 | Dialup (DIAL-UP) | Um grupo que inclui todos os usuários que estão conectados ao sistema por meio da conexão discada. |
S-1-5-113 | Conta local | Use esse SID quando estiver restringindo a entrada de rede às contas locais em vez de "administrador" ou equivalente. Esse SID pode ser eficaz no bloqueio da entrada de rede para usuários e grupos locais por tipo de conta, independentemente do nome deles. |
S-1-5-114 | Conta local e membro do grupo Administradores | Use esse SID quando estiver restringindo a entrada de rede às contas locais em vez de "administrador" ou equivalente. Esse SID pode ser eficaz no bloqueio da entrada de rede para usuários e grupos locais por tipo de conta, independentemente do nome deles. |
S-1-5-2 | Rede | Um grupo que inclui todos os usuários que estão conectados por meio de uma conexão de rede. Os tokens de acesso para usuários interativos não contêm o SID de Rede. |
S-1-5-3 | Lote | Um grupo que inclui todos os usuários que se conectaram por meio de recursos de fila em lotes, como trabalhos do agendador de tarefas. |
S-1-5-4 | Interativo | Um grupo que inclui todos os usuários que se conectarem de maneira interativa. Um usuário pode iniciar uma sessão de entrada interativa abrindo uma conexão dos Serviços de Área de Trabalho Remota de um computador remoto ou usando um shell remoto, como o Telnet. Em cada caso, o token de acesso do usuário contém o SID Interativo. Se o usuário se conectar usando uma conexão dos Serviços de Área de Trabalho Remota, o token de acesso do usuário também conterá o SID de Logon Interativo Remoto. |
S-1-5-5- X-Y | Sessão de Logon | Os valores X e Y nesses SIDs identificam exclusivamente uma sessão de entrada específica. |
S-1-5-6 | Serviço | Um grupo que inclui todas as entidades de segurança que entraram como um serviço. |
S-1-5-7 | Logon Anônimo | Um usuário que se conectou ao computador sem fornecer um nome de usuário e uma senha. A identidade de Logon Anônimo é diferente da identidade usada pelo IIS (Serviços de Informações da Internet) para o acesso anônimo à Web. O IIS usa uma conta real, por padrão, IUSR_ComputerName, para o acesso anônimo aos recursos de um site. Estritamente falando, esse acesso não é anônimo, porque a entidade de segurança é conhecida mesmo que pessoas não identificadas estejam usando a conta. IUSR_ComputerName (ou qualquer nome que você dê à conta) tem uma senha, e o IIS entra na conta quando o serviço é iniciado. Como resultado, o usuário "anônimo" do IIS é membro de Usuários Autenticados, mas o Logon Anônimo não é. |
S-1-5-8 | Proxy | Não se aplica no momento: este SID não é usado. |
S-1-5-9 | Controladores de Domínio Corporativo | Um grupo que inclui todos os controladores de domínio de uma floresta de domínios. |
S-1-5-10 | Auto | Um espaço reservado em um ACE para um usuário, um grupo ou um objeto de computador no Active Directory. Ao conceder permissões a Próprio, você as conceda à entidade de segurança representada pelo objeto. Durante uma verificação de acesso, o sistema operacional substitui o SID de Próprio pelo SID da entidade de segurança representada pelo objeto. |
S-1-5-11 | Usuários Autenticados | Um grupo que inclui todos os usuários e computadores com identidades que foram autenticadas. O grupo Usuários Autenticados não inclui o grupo Convidado, mesmo que a conta Convidado tenha uma senha. Esse grupo inclui entidades de segurança autenticadas de qualquer domínio confiável, não apenas do domínio atual. |
S-1-5-12 | Código Restrito | Uma identidade usada por um processo em execução em um contexto de segurança restrito. Nos sistemas operacionais Windows e Windows Server, uma política de restrição de software pode atribuir um destes três níveis de segurança ao código: Unrestricted Restricted Disallowed Quando o código é executado no nível de segurança restrito, o SID Restrito é adicionado ao token de acesso do usuário. |
S-1-5-13 | Usuário do Servidor de Terminal | Um grupo que inclui todos os usuários que entram em um servidor com os Serviços de Área de Trabalho Remota habilitados. |
S-1-5-14 | Logon Interativo Remoto | Um grupo que inclui todos os usuários que entram no computador usando uma conexão de área de trabalho remota. Esse grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo. |
S-1-5-15 | This Organization (Esta organização) | Um grupo que inclui todos os usuários da mesma organização. Incluído somente nas contas do Active Directory e adicionado somente por um controlador de domínio. |
S-1-5-17 | IUSR | Uma conta usada pelo usuário padrão do IIS (Serviços de Informações da Internet). |
S-1-5-18 | Sistema (ou LocalSystem) | Uma identidade usada localmente pelo sistema operacional e pelos serviços configurados para entrar como LocalSystem. O sistema é um membro oculto de Administradores. Ou seja, qualquer processo em execução como Sistema tem o SID do grupo Administradores interno no token de acesso. Quando um processo que executado localmente à medida que o Sistema acessa os recursos de rede, ele faz isso usando a identidade de domínio do computador. O token de acesso dele no computador remoto inclui o SID da conta de domínio do computador local, além dos SIDs dos grupos de segurança dos quais o computador é membro, como Computadores de Domínio e Usuários Autenticados. |
S-1-5-19 | Autoridade NT (LocalService) | Uma identidade usada pelos serviços que são locais no computador, que não têm necessidade de acesso local extensivo e que não precisam de acesso de rede autenticado. Os serviços executados como LocalService acessam os recursos locais como usuários comuns e acessam os recursos de rede como usuários anônimos. Como resultado, um serviço executado como LocalService tem significativamente menos autoridade do que um serviço executado como LocalSystem localmente e na rede. |
S-1-5-20 | Serviço de Rede | Uma identidade usada pelos serviços que não precisam ter acesso local extensivo, mas que precisam ter acesso autenticado à rede. Os serviços executados como NetworkService acessam os recursos locais como usuários comuns e os recursos de rede usando a identidade do computador. Como resultado, um serviço executado como NetworkService tem o mesmo acesso à rede que um serviço executado como LocalSystem, mas acesso local significativamente reduzido. |
S-1-5-domínio-500 | Administrador | Uma conta de usuário do administrador do sistema. Cada computador tem uma conta Administrador local, e cada domínio tem uma conta Administrador de domínio. A conta Administrador é a primeira conta criada durante a instalação do sistema operacional. A conta não pode ser excluída, desabilitada nem bloqueada, mas pode ser renomeada. Por padrão, a conta Administrador é membro do grupo Administradores e não pode ser removida desse grupo. |
S-1-5-domínio-501 | Convidado | Uma conta de usuário para pessoas que não têm contas individuais. Cada computador tem uma conta Convidado local, e cada domínio tem uma conta Convidado do domínio. Por padrão, Convidado é um membro dos grupos Todos e Convidados. A conta Convidado do domínio também é membro dos grupos Convidados do Domínio e Usuários do Domínio. Ao contrário do Logon Anônimo, Convidado é uma conta real e pode ser usada para a entrada interativa. A conta Convidado não exige uma senha, mas pode ter uma. |
S-1-5-domínio-502 | KRBTGT | Uma conta de usuário usada pelo serviço KDC (centro de distribuição de chaves). A conta só existe nos controladores de domínio. |
S-1-5-domínio-512 | Administradores do domínio | Um grupo global com membros autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores que ingressaram no domínio, incluindo os controladores de domínio. Administradores de Domínio é o proprietário padrão de qualquer objeto criado no Active Directory do domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores. |
S-1-5-domínio-513 | Usuários do Domínio | Um grupo global que inclui todos os usuários de um domínio. Quando você cria um objeto Usuário no Active Directory, o usuário é adicionado automaticamente a esse grupo. |
S-1-5-domínio-514 | Convidados do Domínio | Um grupo global que, por padrão, tem apenas um membro: a conta Convidado interna do domínio. |
S-1-5-domínio-515 | Computadores de Domínio | Um grupo global que inclui todos os computadores que ingressaram no domínio, excluindo os controladores de domínio. |
S-1-5-domínio-516 | Controladores de Domínio | Um grupo global que inclui todos os controladores de domínio do domínio. Os novos controladores de domínio são adicionados a esse grupo automaticamente. |
S-1-5-domínio-517 | Editores de Certificados | Um grupo global que inclui todos os computadores que hospedam uma autoridade de certificação corporativa. Os Editores de Certificados estão autorizados a publicar certificados para objetos Usuário no Active Directory. |
S-1-5-domínio raiz-518 | Administradores de esquemas | Um grupo que só existe no domínio raiz da floresta. Ele será um grupo universal se o domínio estiver no modo nativo e será um grupo global se o domínio estiver no modo misto. O grupo Administradores de Esquema está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. |
S-1-5-domínio raiz-519 | Administrador corporativo | Um grupo que só existe no domínio raiz da floresta. Ele será um grupo universal se o domínio estiver no modo nativo e será um grupo global se o domínio estiver no modo misto. O grupo Administradores Corporativos está autorizado a fazer alterações na infraestrutura da floresta, como adicionar domínios filho, configurar sites, autorizar servidores DHCP e instalar autoridades de certificação corporativas. Por padrão, o único membro de Administradores Corporativos é a conta Administrador do domínio raiz da floresta. O grupo é membro padrão de todos os grupos Administradores de Domínio da floresta. |
S-1-5-domínio-520 | Proprietários criadores de política de grupo | Um grupo global autorizado a criar Objetos de Política de Grupo no Active Directory. Por padrão, o único membro do grupo é Administrador. Os objetos criados pelos membros de Proprietários Criadores da Política de Grupo pertencem ao usuário individual que os cria. Dessa forma, o grupo Proprietários Criadores da Política de Grupo é diferente de outros grupos administrativos (como Administradores e Administradores de Domínio). Os objetos criados pelos membros desses grupos pertencem ao grupo e não ao indivíduo. |
S-1-5-domain-521 | Controladores de Domínio somente leitura | Um grupo global que inclui todos os controladores de domínio somente leitura. |
S-1-5-domain-522 | Controladores clonáveis | Um grupo global que inclui todos os controladores de domínio que estão no domínio e podem ser clonados. |
S-1-5-domain-525 | Usuários protegidos | Um grupo global que recebe proteções adicionais contra ameaças de segurança de autenticação. |
S-1-5-root domain-526 | Administradores chave | Esse grupo destina-se ao uso em cenários em que autoridades externas confiáveis são responsáveis por modificar esse atributo. Somente administradores confiáveis devem ser membros deste grupo. |
S-1-5-domain-527 | Administradores de chave corporativa | Esse grupo destina-se ao uso em cenários em que autoridades externas confiáveis são responsáveis por modificar esse atributo. Somente administradores corporativos confiáveis devem ser membros desse grupo. |
S-1-5-32-544 | Administradores | Um grupo interno. Após a instalação inicial do sistema operacional, o único membro do grupo é a conta Administrador. Quando um computador ingressa em um domínio, o grupo Administradores de Domínio é adicionado ao grupo Administradores. Quando um servidor se torna um controlador de domínio, o grupo Administradores Corporativos também é adicionado ao grupo Administradores. |
S-1-5-32-545 | Usuários | Um grupo interno. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. |
S-1-5-32-546 | Convidados | Um grupo interno. Por padrão, o único membro é a conta Convidado. O grupo Convidados permite que usuários ocasionais ou únicos entrem com privilégios limitados na conta Convidado interna de um computador. |
S-1-5-32-547 | Usuários Avançados | Um grupo interno. Por padrão, o grupo não tem membros. Os usuários avançados podem criar usuários e grupos locais; modificar e excluir contas criadas por eles; e remover usuários dos grupos Usuários Avançados, Usuários e Convidados. Os usuários avançados também podem instalar programas; criar, gerenciar e excluir impressoras locais; e criar e excluir compartilhamentos de arquivos. |
S-1-5-32-548 | Opers. de contas | Um grupo interno que só existe nos controladores de domínio. Por padrão, o grupo não tem membros. Por padrão, os Operadores de Conta têm permissão para criar, modificar e excluir contas de usuários, grupos e computadores em todos os contêineres e nas unidades organizacionais do Active Directory, exceto o contêiner Interno e a UO Controladores de Domínio. Os Operadores de Conta não têm permissão para modificar os grupos Administradores ou Administradores de Domínio nem as contas dos membros desses grupos. |
S-1-5-32-549 | Operadores de Servidores | Descrição: um grupo interno que só existe nos controladores de domínio. Por padrão, o grupo não tem membros. Os Operadores de Servidor podem entrar em um servidor de maneira interativa; criar e excluir compartilhamentos de rede; iniciar e parar serviços; fazer backup de arquivos e restaurá-los; formatar o disco rígido do computador; e desligar o computador. |
S-1-5-32-550 | Operadores de Impressão | Um grupo interno que só existe nos controladores de domínio. Por padrão, o único membro é o grupo Usuários do Domínio. Os Operadores de Impressão podem gerenciar impressoras e filas de documentos. |
S-1-5-32-551 | Operadores de cópia | Um grupo interno. Por padrão, o grupo não tem membros. Os Operadores de Backup podem fazer backup de arquivos e restaurá-los em um computador, independentemente das permissões que protegem esses arquivos. Os Operadores de Backup também podem entrar no computador e desligá-lo. |
S-1-5-32-552 | Replicadores | Um grupo interno que é usado pelo serviço de replicação de arquivos nos controladores de domínio. Por padrão, o grupo não tem membros. Não adicione usuários a este grupo. |
S-1-5-domínio-553 | Servidores RAS e IAS | Um grupo de domínio local. Por padrão, esse grupo não tem membros. Os computadores que executam o serviço de Roteamento e Acesso Remoto são adicionados ao grupo automaticamente. Os membros desse grupo têm acesso a determinadas propriedades de objetos Usuário, como Ler Restrições da Conta, Ler Informações de Logon e Ler Informações de Acesso Remoto. |
S-1-5-32-554 | Interno\Acesso Compatível com Versões Anteriores ao Windows 2000 | Um alias adicionado pelo Windows 2000. Um grupo de compatibilidade com versões anteriores que permite o acesso de leitura em todos os usuários e grupos do domínio. |
S-1-5-32-555 | Interno\Usuários da Área de Trabalho Remota | Um alias. Os membros desse grupo recebem o direito de se conectar remotamente. |
S-1-5-32-556 | Interno\Operadores de Configuração de Rede | Um alias. Os membros desse grupo podem ter alguns privilégios administrativos para gerenciar a configuração de recursos de rede. |
S-1-5-32-557 | Interno\Criadores de Relação de Confiança de Floresta de Entrada | Um alias. Os membros desse grupo podem criar relações de confiança unidirecionais de entrada para esta floresta. |
S-1-5-32-558 | Interno\Usuários do Monitor de Desempenho | Um alias. Os membros desse grupo têm acesso remoto para monitorar este computador. |
S-1-5-32-559 | Interno\Usuários do Log de Desempenho | Um alias. Os membros desse grupo têm acesso remoto para agendar o log de contadores de desempenho neste computador. |
S-1-5-32-560 | Interno\Grupo de Acesso de Autorização do Windows | Um alias. Os membros desse grupo têm acesso ao atributo tokenGroupsGlobalAndUniversal computado em objetos Usuário. |
S-1-5-32-561 | Interno\Servidores de Licença do Terminal Server | Um alias. Um grupo para os Servidores de Licença do Terminal Server. Quando o Windows Server 2003 Service Pack 1 é instalado, um grupo local é criado. |
S-1-5-32-562 | Interno\Usuários do Distributed COM | Um alias. Um grupo do COM para fornecer controles de acesso em todo o computador que controlam o acesso a todas as solicitações de chamada, ativação ou inicialização no computador. |
S-1-5-32-568 | Interno\IIS_IUSRS | Um alias. Uma conta de grupo interna para os usuários do IIS. |
S-1-5-32-569 | Interno\Operadores de Criptografia | Um grupo local interno. Os membros estão autorizados a executar operações de criptografia. |
S-1-5-domain-571 | Grupo de replicação de senha RDOC permitido | Os membros desse grupo podem ter suas senhas replicadas para todos os controladores de domínio somente leitura no domínio. |
S-1-5-domain-572 | Grupo de replicação de senha RDOC negado | Os membros desse grupo não podem ter suas senhas replicadas para todos os controladores de domínio somente leitura no domínio. |
S-1-5-32-573 | Interno\Leitores do Log de Eventos | Um grupo local interno. Os membros desse grupo podem ler os logs de eventos em um computador local. |
S-1-5-32-574 | Interno\Acesso ao DCOM do Serviço de Certificado | Um grupo local interno. Os membros desse grupo têm permissão para se conectar às Autoridades de Certificação na empresa. |
S-1-5-32-575 | Interno\Servidores de Acesso Remoto do RDS | Um grupo local interno. Os servidores desse grupo permitem que os usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acessem esses recursos. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso via Web de Área de Trabalho Remota usados na implantação precisam estar nesse grupo. |
S-1-5-32-576 | Interno\Servidores de Ponto de Extremidade do RDS | Um grupo local interno. Os servidores desse grupo executam máquinas virtuais e sessões de host em que os programas RemoteApp e as áreas de trabalho virtuais pessoais são executados. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores Host da Sessão da Área de Trabalho Remota e os servidores Host de Virtualização de Área de Trabalho Remota usados na implantação precisam estar nesse grupo. |
S-1-5-32-577 | Interno\Servidores de Gerenciamento do RDS | Um grupo local interno. Os servidores desse grupo podem executar ações administrativas rotineiras nos servidores que executam os Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação dos Serviços de Área de Trabalho Remota. Os servidores que executam o serviço de Gerenciamento Central do RDS precisam ser incluídos nesse grupo. |
S-1-5-32-578 | Interno\Administradores do Hyper-V | Um grupo local interno. Os membros desse grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V. |
S-1-5-32-579 | Interno\Operadores de Assistência do Controle de Acesso | Um grupo local interno. Os membros desse grupo podem consultar remotamente os atributos de autorização e as permissões para recursos neste computador. |
S-1-5-32-580 | Interno\Usuários de Gerenciamento Remoto | Um grupo local interno. Os membros desse grupo podem acessar os recursos do WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento (como o WS-Management no serviço Gerenciamento Remoto do Windows). Isso só se aplica aos namespaces do WMI que permitem acesso ao usuário. |
S-1-5-64-10 | Autenticação NTLM | Um SID usado quando o pacote de autenticação NTLM autentica o cliente. |
S-1-5-64-14 | Autenticação SChannel | Um SID usado quando o pacote de autenticação SChannel autentica o cliente. |
S-1-5-64-21 | Autenticação Digest | Um SID usado quando o pacote de autenticação Digest autentica o cliente. |
S-1-5-80 | Serviço do NT | Um SID que é usado como um prefixo de conta de serviço NT. |
S-1-5-80-0 | Todos os serviços | Um grupo que inclui todos os processos de serviço configurados no sistema. A associação é controlada pelo sistema operacional. O SID S-1-5-80-0 é igual a NT SERVICES\ALL SERVICES. Esse SID foi introduzido no Windows Server 2008 R2. |
S-1-5-83-0 | MÁQUINA VIRTUAL NT\Máquinas Virtuais | Um grupo interno. O grupo é criado quando a função Hyper-V é instalada. A associação ao grupo é mantida pelo Serviço de Gerenciamento do Hyper-V (VMMS). Esse grupo exige os direitos Criar Links Simbólicos (SeCreateSymbolicLinkPrivilege) e Fazer logon como um serviço (SeServiceLogonRight). |
Os seguintes RIDs são relativos a cada domínio:
RID | Valor decimal | Identifica |
---|---|---|
DOMAIN_USER_RID_ADMIN | 500 | A conta de usuário administrativa em um domínio. |
DOMAIN_USER_RID_GUEST | 501 | A conta de usuário convidado em um domínio. Os usuários que não têm uma conta podem entrar automaticamente nessa conta. |
DOMAIN_GROUP_RID_USERS | 513 | Um grupo que contém todas as contas de usuário de um domínio. Todos os usuários são automaticamente adicionados a esse grupo. |
DOMAIN_GROUP_RID_GUESTS | 514 | A conta Convidado do grupo em um domínio. |
DOMAIN_GROUP_RID_COMPUTERS | 515 | O grupo Computador de Domínio. Todos os computadores do domínio são membros desse grupo. |
DOMAIN_GROUP_RID_CONTROLLERS | 516 | O grupo Controlador de Domínio. Todos os controladores de domínio do domínio são membros desse grupo. |
DOMAIN_GROUP_RID_CERT_ADMINS | 517 | O grupo de editores de certificados. Os computadores que executam os Serviços de Certificados do Active Directory são membros desse grupo. |
DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | O grupo de administradores de esquema. Os membros desse grupo podem modificar o esquema do Active Directory. |
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | O grupo de administradores corporativos. Os membros desse grupo têm acesso completo a todos os domínios da floresta do Active Directory. Os administradores corporativos são responsáveis por operações de nível de floresta, como adicionar ou remover novos domínios. |
DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | O grupo de administradores de política. |
Alguns exemplos de RIDs relativos ao domínio que são usados para formar SIDs conhecidos para grupos locais são listados na seguinte tabela:
RID | Valor decimal | Identifica |
---|---|---|
DOMAIN_ALIAS_RID_ADMINS | 544 | Administradores do domínio. |
DOMAIN_ALIAS_RID_USERS | 545 | Todos os usuários do domínio. |
DOMAIN_ALIAS_RID_GUESTS | 546 | Convidados do domínio. |
DOMAIN_ALIAS_RID_POWER_USERS | 547 | Um usuário ou um conjunto de usuários que espera tratar um sistema como se fosse o computador pessoal e não como uma estação de trabalho para vários usuários. |
DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Um grupo local que é usado para controlar a atribuição de direitos de usuário de backup e restauração de arquivo. |
DOMAIN_ALIAS_RID_REPLICATOR | 552 | Um grupo local responsável por copiar bancos de dados de segurança do controlador de domínio primário para os controladores de domínio de backup. Essas contas são usadas apenas pelo sistema. |
DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Um grupo local que representa o acesso remoto e os servidores que executam o IAS (Serviço de Autenticação da Internet). Esse grupo permite o acesso a vários atributos de objetos Usuário. |
Alterações na funcionalidade do identificador de segurança
As alterações na implementação de SID nos sistemas operacionais Windows são descritas na seguinte tabela:
Alterar | Versão do sistema operacional | Descrição e recursos |
---|---|---|
A maioria dos arquivos do sistema operacional pertence ao SID (identificador de segurança) TrustedInstaller | Windows Server 2008, Windows Vista | A finalidade dessa alteração é impedir que um processo em execução como administrador ou na conta LocalSystem substitua automaticamente os arquivos do sistema operacional. |
As verificações de SID restrito são implementadas | Windows Server 2008, Windows Vista | Ao restringir os SIDs, o Windows executa duas verificações de acesso. A primeira é a verificação de acesso normal e a segunda é a mesma verificação de acesso em relação aos SIDs que restringem o token. Ambas as verificações de acesso precisam ser aprovadas para permitir que o processo acesse o objeto. |
SIDs de capacidade
Os identificadores de segurança de funcionalidade são usados para identificar de maneira única e imutável funcionalidades que representam um token de autoridade inesquecível, que concede a recursos (por exemplo, documentos, câmera e localização) acesso aos Aplicativos Universais do Windows. Um aplicativo que tem uma funcionalidade recebe acesso ao recurso ao qual ela está associada e um aplicativo que não tem uma funcionalidade tem o acesso negado ao recurso.
Todos os SIDs de capacidade reconhecidos pelo sistema operacional são armazenados no Registro do Windows no caminho "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". Qualquer SID de funcionalidade adicionado ao Windows por aplicativos próprios ou de terceiros é adicionado a esse local.
Exemplos de chaves do Registro obtidas do Windows 10, versão 1909, edição Enterprise de 64 bits
Talvez você veja as seguintes chaves do Registro em AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Todos os SIDs de capacidade recebem o prefixo S-1-15-3.
Exemplos de chaves do Registro obtidas do Windows 11, versão 21H2, edição Enterprise de 64 bits
Talvez você veja as seguintes chaves do Registro em AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Todos os SIDs de capacidade recebem o prefixo S-1-15-3.