NewSID v4.10
Készítette: Mark Russinovich
Közzétéve: 2006. november 1.
Megjegyzés: A NewSID ki lett állítva, és már nem tölthető le. Lásd Mark Russinovich blogbejegyzését: NewSID Retirement and the Machine SID Duplication Myth
Az SID-ket illetően a Microsoft nem támogatja a NewSID-vel előkészített képeket, csak a SysPrep használatával előkészített lemezképeket támogatjuk. A Microsoft nem tesztelte a NewSID-t az összes üzembehelyezési klónozási beállításhoz.
A Microsoft hivatalos szabályzatával kapcsolatos további információkért tekintse meg a tudásbázis következő cikkét:
Számos szervezet lemezkép-klónozást használ a Windows tömeges bevezetéséhez. Ez a technika magában foglalja egy teljesen telepített és konfigurált Windows-számítógép lemezeinek másolását más számítógépek lemezmeghajtóira. Úgy tűnik, hogy ezek a számítógépek gyakorlatilag ugyanazon a telepítési folyamaton tették át őket, és azonnal használatba vehetők.
Bár ez a módszer több órányi munkát takarít meg, és a többi bevezetési megközelítéssel szemben gondot okoz, az a fő probléma, hogy minden klónozott rendszer azonos számítógépbiztonsági azonosítóval (SID) rendelkezik. Ez a tény veszélyezteti a munkacsoport-környezetek biztonságát, és a cserélhető médiabiztonság a több azonos számítógép-SID-vel rendelkező hálózatokban is sérülhet.
A Windows-közösségtől érkező igények miatt számos vállalat olyan programokat fejleszt, amelyek a rendszer klónozása után módosíthatják a számítógép SID-azonosítóját. A Symantec SID Changer és AYmantec Ghost Walkerje azonban csak az egyes vállalatok csúcskategóriás termékének részeként kerül értékesítésre. Ezenkívül mindkettő dos parancssorból fut (Az Altiris váltója hasonló a NewSID-hez).
A NewSID egy olyan program, amelyet kifejlesztettünk, amely megváltoztatja a számítógép SID-jét. Ez ingyenes, és egy Win32 program, ami azt jelenti, hogy könnyen futtatható rendszereken, amelyek korábban klónozott.
A program használata előtt olvassa el ezt a teljes cikket.
Verzióinformációk:
- A 4.0-s verzió támogatja a Windows XP-t és a .NET Servert, amely varázslóstílusú felület, lehetővé teszi az alkalmazni kívánt SID megadását, a beállításjegyzék tömörítését, valamint a számítógép átnevezését (ami a NetBIOS és a DNS-nevek módosítását eredményezi).
- A 3.02-es verzió kijavít egy hibát, amely miatt a NewSid nem másolja megfelelően az alapértelmezett értékeket érvénytelen értéktípusokkal, amikor egy régi SID-et tartalmazó kulcsot átnevez egy új SID-re. Az NT ténylegesen használja az ilyen érvénytelen értékeket a SAM bizonyos időszakaiban. Ennek a hibának a tünete a hozzáférés megtagadását jelző hibaüzenet volt, amikor egy jogosult felhasználó frissítette a fiókadatokat.
- A 3.01-es verzió megkerüli a Microsoft Transaction Server által létrehozott elérhetetlen beállításkulcsot. A megkerülő NewSID nélkül idő előtt leállna.
- A 3.0-s verzió egy SID-szinkronizálási funkciót vezet be, amely a NewSID-t arra utasítja, hogy szerezze be a sid-et egy másik számítógépről való alkalmazáshoz.
- A 2.0-s verzió egy automatikus módú beállítással rendelkezik, és a számítógép nevét is módosíthatja.
- Az 1.2-es verzió kijavít egy hibát, amely az 1.1-es verzióban jelent meg, és egyes fájlrendszerbiztonsági leírók nem lettek frissítve.
- Az 1.1-es verzió egy viszonylag kisebb hibát javít ki, amely csak bizonyos telepítéseket érintett. A fájl- és nyomtatómegosztások engedélybeállításaihoz társított SID-k módosítására is frissült.
A tömeges Windows-bevezetések (általában több száz számítógép) vállalati környezetben történő végrehajtásának egyik legnépszerűbb módja a lemez klónozásának technikája. A rendszergazda telepíti a vállalatnál használt alap operációs rendszert és bővítményszoftvert egy sablonszámítógépen. Miután konfigurálta a gépet a vállalati hálózaton való működésre, a rendszer automatikus lemez- vagy rendszer-duplikálási eszközeit (például SymantecGhost, PowerQuest'sImage Drive és Altiris'RapiDeploy) használja a sablonszámítógép meghajtóinak másolására több tíz vagy több száz számítógépre. Ezek a klónok ezután megkapják az utolsó finomhangolásokat, például az egyedi nevek hozzárendelését, majd a vállalati alkalmazottak használják.
A bevezetés másik népszerű módja a Microsoft sysdiff segédprogram (a Windows Resource Kit része) használata. Ez az eszköz megköveteli, hogy a rendszergazda minden számítógépen teljes telepítést (általában szkriptelt felügyelet nélküli telepítést) végezzen, majd a sysdiff automatizálja a bővítményszoftver-telepítési rendszerképek alkalmazását.
Mivel a telepítés kihagyva, és mivel a lemezterület másolása hatékonyabb a fájlmásolásnál, a klónozott alapú bevezetés több tucat órát takaríthat meg egy hasonló sysdiff-telepítéssel. Emellett a rendszergazdának nem kell megtanulnia a felügyelet nélküli telepítés vagy a sysdiff használatát, illetve a telepítési szkriptek létrehozását és hibakeresését. Ez önmagában több órányi munkát takarít meg.
A klónozással az a probléma, hogy a Microsoft csak nagyon korlátozott értelemben támogatja. A Microsoft kijelentette, hogy a klónozási rendszerek csak akkor támogatottak, ha azt a Windows telepítő grafikus felhasználói felületének elérése előtt végzik el. Amikor a telepítés eléri ezt a pontot, a számítógép egy névvel és egy egyedi számítógép SID-ével lesz hozzárendelve. Ha a rendszer klónozása a lépés után történik, a klónozott gépek mindegyike azonos számítógép-SID-kkel fog rendelkezni. Vegye figyelembe, hogy a számítógép nevének módosítása vagy a számítógép másik tartományba való hozzáadása nem változtatja meg a számítógép SID-címét. A név vagy tartomány módosítása csak akkor módosítja a tartomány SID-címét, ha a számítógép korábban tartományhoz volt társítva.
A klónozás által okozott probléma megértéséhez először tisztában kell lenni azzal, hogy a számítógép egyes helyi fiókjai hogyan vannak hozzárendelve SID-khez. A helyi fiókok SID-jei a számítógép SID-éből és egy hozzáfűzött RID-ből (relatív azonosítóból) állnak. A RID egy rögzített értéken kezdődik, és minden létrehozott fiókhoz egy-egy értékkel növekszik. Ez azt jelenti, hogy az egyik számítógépen lévő második fiók például ugyanazt a RID-t kapja, mint a klón második fiókját. Az eredmény az, hogy mindkét fiók ugyanazzal a SID-zel rendelkezik.
A duplikált SID-k nem probléma a tartományalapú környezetben, mivel a tartományi fiókok biztonsági azonosítói a tartományi SID-en alapulnak. A Microsoft Tudásbázis Q162001 cikke szerint azonban a "Windows NT nem lemezküldő telepített verziói" című cikk szerint a munkacsoport-környezetek biztonsági beállításai helyi fiókazonosítókon alapulnak. Így ha két számítógép azonos SID-sel rendelkező felhasználóval rendelkezik, a munkacsoport nem tud különbséget tenni a felhasználók között. Minden olyan erőforrás, beleértve a fájlokat és a beállításkulcsokat is, amelyekhez az egyik felhasználó hozzáfér, a másik is.
Egy másik olyan példány, ahol az ismétlődő SID-k problémákat okozhatnak, az a hely, ahol ntfs formátumú cserélhető adathordozó található, és a helyi fiók biztonsági attribútumai a fájlokra és könyvtárakra lesznek alkalmazva. Ha egy ilyen adathordozót egy másik, ugyanazzal a SID-sel rendelkező számítógépre helyeznek át, akkor előfordulhat, hogy a helyi fiókok, amelyek egyébként nem férnek hozzá a fájlokhoz, akkor előfordulhat, hogy a fiókazonosítójuk megegyezik a biztonsági attribútumokban szereplő azonosítókkal. Ez nem lehetséges, ha a számítógépek különböző SID-kkel rendelkeznek.
A Windows NT Magazine júniusi számában megjelent egy cikk, amelyet Mark írt "NT bevezetési lehetőségek" címmel. Részletesebben ismerteti a duplikált SID-problémát, és bemutatja a Microsoft klónozással kapcsolatos hivatalos álláspontját. Ha meg szeretné tudni, hogy duplikált SID-probléma van-e a hálózaton, a PsGetSid használatával jelenítsen meg gépi SID-ket.
A NewSID egy olyan program, amelyet a számítógép SID-jének módosítására fejlesztettünk ki. Először létrehoz egy véletlenszerű SID-t a számítógéphez, és frissíti a meglévő számítógép biztonsági azonosítójának példányait, amit a beállításjegyzékben és a fájlbiztonsági leírókban talál, és az előfordulásokat az új SID-vel cseréli le. A NewSID használatához rendszergazdai jogosultságok szükségesek. Két funkciója van: a SID módosítása és a számítógép nevének módosítása.
A NewSID automatikus futtatási beállításának használatához adja meg a "/a" értéket a parancssorban. Azt is beállíthatja, hogy automatikusan módosítsa a számítógép nevét a "/a" kapcsoló utáni új névvel. Például:
newsid /a [newname]
A NewSID kérés nélkül futna, módosítsa a számítógép nevét "newname" névre, és indítsa újra a számítógépet, ha minden rendben van.
Megjegyzés: Ha a NewSID-t futtatni kívánt rendszer IIS-t futtat Rendszergazda a NewSID futtatása előtt le kell állítania az IIS Rendszergazda szolgáltatást. Ezzel a paranccsal állítsa le az IIS Rendszergazda szolgáltatást: net stop iisadmin /y
A NewSID SID-szinkronizálási funkciója lehetővé teszi annak megadását, hogy véletlenszerű generálás helyett az új SID-t egy másik számítógépről kell beszerezni. Ez a funkció lehetővé teszi a biztonsági mentési tartományvezérlő (BDC) áthelyezését egy új tartományba, mivel a BDC tartományhoz való viszonyát a rendszer a többi tartományvezérlővel (tartományvezérlőkkel) azonos számítógép-BIZTONSÁGI azonosítóval azonosítja. Egyszerűen válassza a "Sid szinkronizálása" gombot, és adja meg a célszámítógép nevét. Engedélyekkel kell rendelkeznie a célszámítógép beállításkulcsainak biztonsági beállításainak módosításához, ami általában azt jelenti, hogy tartományi rendszergazdaként kell bejelentkeznie a funkció használatához.
Vegye figyelembe, hogy a NewSID futtatásakor a beállításjegyzék mérete nőni fog, ezért győződjön meg arról, hogy a beállításjegyzék maximális mérete alkalmazkodik a növekedéshez. Megállapítottuk, hogy ennek a növekedésnek nincs érzékelhető hatása a rendszer teljesítményére. A beállításjegyzék azért nő, mert töredezetté válik, mivel a NewSID ideiglenes biztonsági beállításokat alkalmaz. A beállítások eltávolításakor a beállításjegyzék nem lesz tömörítve.
Fontos: Vegye figyelembe, hogy bár alaposan teszteltük a NewSID-t, saját felelősségére kell használnia. A fájl- és beállításjegyzék-beállításokat módosító szoftverekhez hasonlóan a NewSID futtatása előtt ajánlott teljesen biztonsági másolatot készíteni a számítógépről.
Az alábbi lépéseket kell követnie, amikor egy BDC-t szeretne áthelyezni egyik tartományból a másikba:
- Indítsa el az áthelyezni és bejelentkezni kívánt BDC-t. A NewSID használatával szinkronizálhatja a BDC sid-azonosítóját annak a tartománynak a PDC-jével, amelybe a BDC-t át szeretné helyezni.
- Indítsa újra azt a rendszert, amelyhez módosította a SID-t (a BDC-t). Mivel a BDC már rendelkezik aktív PDC-vel, BDC-ként fog elindulni az új tartományban.
- A BDC munkaállomásként jelenik meg a Kiszolgálókezelő, ezért a "Hozzáadás a tartományhoz" gombbal adja hozzá a BDC-t az új tartományhoz. A hozzáadáskor mindenképpen adja meg a BDC választógombot.
A NewSID a meglévő számítógép SID-jének olvasásával kezdődik. A számítógép biztonsági azonosítója a beállításjegyzék Standard kiadás CURITY-struktúrájában, a Standard kiadás CURITY\SAM\Domains\Account területen található. Ez a kulcs egy F nevű és egy V nevű értékkel rendelkezik. A V érték egy bináris érték, amelyben a számítógép biztonsági azonosítója az adatok végén van beágyazva. A NewSID biztosítja, hogy ez a SID szabványos formátumú legyen (3 32 bites alauthoritások, amelyeket három 32 bites szolgáltatói mező előz meg).
Ezután a NewSID létrehoz egy új véletlenszerű SID-t a számítógéphez. A NewSID generációja nagy fájdalmakat okoz egy valóban véletlenszerű 96 bites érték létrehozásához, amely a számítógép SID-jét alkotó 3 alauthoritási érték 96 bites értékeit helyettesíti.
A számítógép biztonsági azonosítójának cseréjének három fázisa következik. Az első fázisban a rendszer a Standard kiadás CURITY és a SAM Registry hives-t ellenőrzi a régi számítógép SID-jének előfordulásainál a kulcsértékekben, valamint a kulcsok neveiben. Ha a SID egy értékben található, az új számítógép biztonsági azonosítójára cserélődik, és ha a sid egy névben található, a kulcs és az alkulcsok egy új alkulcsra lesznek másolva, amely ugyanazzal a névvel rendelkezik, kivéve, ha az új SID lecseréli a régit.
Az utolsó két fázis a biztonsági leírók frissítését foglalja magában. A beállításkulcsokhoz és az NTFS-fájlokhoz biztonsági társítás tartozik. A biztonsági leírók egy olyan bejegyzésből állnak, amely azonosítja, hogy melyik fiók az erőforrás tulajdonosa, melyik csoport az elsődleges csoport tulajdonosa, a felhasználók vagy csoportok által engedélyezett műveleteket meghatározó bejegyzések opcionális listája (más néven a diszkréciós hozzáférés-vezérlési lista – DACL), valamint azoknak a bejegyzéseknek a választható listája, amelyek meghatározzák, hogy egyes felhasználók vagy csoportok mely műveletek fognak bejegyzéseket létrehozni a rendszer eseménynaplójában (Rendszerhozzáférés-vezérlési lista – SACL). Ezekben a biztonsági leírókban egy felhasználó vagy csoport azonosítható az SID-kkel, és ahogy azt korábban említettem, a helyi felhasználói fiókok (a beépített fiókokon kívül, mint például a Rendszergazda istrator, a vendég stb.) a számítógép SID-éből és egy RID-ből alkotják az SID-ket.
A biztonsági leíró frissítéseinek első része a számítógépen található összes NTFS fájlrendszerfájlon történik. A rendszer minden biztonsági leírót beolvas a számítógép BIZTONSÁGI azonosítójának előfordulásaihoz. Amikor a NewSID talál egyet, az lecseréli azt az új számítógép SID-ére.
A biztonsági leíró frissítéseinek második része a beállításjegyzékben lesz végrehajtva. Először is, a NewSID-nek meg kell győződnie arról, hogy az összes kaptárat megvizsgálja, nem csak a betöltötteket. Minden felhasználói fiókhoz tartozik egy beállításjegyzék-hive, amely HKEY_CURRENT_UStandard kiadás R-ként van betöltve, amikor a felhasználó be van jelentkezve, de a felhasználó profilkönyvtárában marad, ha nem. A NewSID az összes felhasználói hive-hely helyét azonosítja a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList kulcs számbavételével, amely a tárolási könyvtárakra mutat. Ezután betölti őket a beállításjegyzékbe a RegLoadKey használatával a HKEY_LOCAL_MACHINE alatt, és megvizsgálja a teljes beállításjegyzéket, megvizsgálva az egyes biztonsági leírókat a régi számítógép SID-jének keresésekor. Frissítések ugyanúgy hajtják végre, mint a fájlok esetében, és amikor elkészült A NewSID eltávolítja a felhasználó által betöltött hives-eket. Utolsó lépésként a NewSID megvizsgálja a HKEY_UStandard kiadás RS kulcsot, amely az aktuálisan bejelentkezett felhasználó kaptárát és a . Alapértelmezett hive. Erre azért van szükség, mert a hive nem tölthető be kétszer, ezért a bejelentkezett felhasználói hive nem töltődik be a HKEY_LOCAL_MACHINE , amikor a NewSID más felhasználói hiveseket tölt be.
Végül a NewSID-nek frissítenie kell a ProfileList alkulcsait, hogy az új fiókazonosítókra hivatkozzon. Erre a lépésre azért van szükség, hogy a Windows NT megfelelően társítsa a profilokat a felhasználói fiókokkal a fiókazonosítók módosítása után, hogy az tükrözze az új számítógép biztonsági azonosítóját.
A NewSID a következő jogosultságokkal biztosítja, hogy hozzáférhessen és módosíthassa a rendszer összes fájlját és beállításkulcsát: rendszer, biztonsági mentés, visszaállítás és tulajdonjog átvétele.