NewSID v4.10
Oleh Mark Russinovich
Diterbitkan: 1 November 2006
Catatan: NewSID telah dihentikan dan tidak lagi tersedia untuk diunduh. Silakan lihat posting blog Mark Russinovich: Penghentian NewSID dan Mitos Duplikasi SID Mesin
Mengenai SID, Microsoft tidak mendukung gambar yang disiapkan menggunakan NewSID, kami hanya mendukung gambar yang disiapkan menggunakan SysPrep. Microsoft belum menguji NewSID untuk semua opsi kloning penyebaran.
Untuk informasi selengkapnya tentang kebijakan resmi Microsoft, silakan lihat artikel Pangkalan Pengetahuan berikut ini:
Banyak organisasi menggunakan kloning gambar disk untuk melakukan peluncuran massal Windows. Teknik ini melibatkan penyalinan disk komputer Windows yang terpasang sepenuhnya dan dikonfigurasi ke drive disk komputer lain. Komputer lain ini secara efektif tampaknya telah melalui proses penginstalan yang sama, dan segera tersedia untuk digunakan.
Meskipun metode ini menghemat jam kerja dan merepotkan pendekatan peluncuran lainnya, metode ini memiliki masalah utama bahwa setiap sistem kloning memiliki Pengidentifikasi Keamanan Komputer (SID) yang identik. Fakta ini mengorbankan keamanan di lingkungan Grup Kerja, dan keamanan media yang dapat dilepas juga dapat disusupi dalam jaringan dengan beberapa SID komputer yang identik.
Permintaan dari komunitas Windows telah memimpin beberapa perusahaan untuk mengembangkan program yang dapat mengubah SID komputer setelah sistem dikloning. Namun, SYmantec's SID Changer andSymantec's Ghost Walker hanya dijual sebagai bagian dari produk kelas atas setiap perusahaan. Selanjutnya, keduanya berjalan dari prompt perintah DOS (pengubah Altiris mirip dengan NewSID).
NewSID adalah program yang kami kembangkan yang mengubah SID komputer. Ini gratis dan merupakan program Win32, yang berarti dapat dengan mudah dijalankan pada sistem yang sebelumnya telah dikloning.
Silakan baca seluruh artikel ini sebelum Anda menggunakan program ini.
Informasi Versi:
- Versi 4.0 memperkenalkan dukungan untuk Windows XP dan .NET Server, antarmuka gaya wizard, memungkinkan Anda menentukan SID yang ingin Anda terapkan, Pemadatan Registri, dan juga opsi untuk mengganti nama komputer (yang menghasilkan perubahan nama NetBIOS dan DNS).
- Versi 3.02 mengoreksi bug di mana NewSid tidak akan menyalin nilai default dengan benar dengan jenis nilai yang tidak valid saat mengganti nama kunci dengan SID lama ke SID baru. NT sebenarnya menggunakan nilai yang tidak valid tersebut pada waktu-waktu tertentu di SAM. Gejala bug ini adalah pesan kesalahan yang melaporkan akses ditolak ketika informasi akun diperbarui oleh pengguna yang berwenang.
- Versi 3.01 menambahkan work-around untuk kunci Registri yang tidak dapat diakses yang dibuat oleh Microsoft Transaction Server. Tanpa work-around NewSID akan berhenti sebelum waktunya.
- Versi 3.0 memperkenalkan fitur sinkronisasi SID yang mengarahkan NewSID untuk mendapatkan SID yang akan diterapkan dari komputer lain.
- Versi 2.0 memiliki opsi mode otomatis, dan mari kita ubah nama komputer juga.
- Versi 1.2 memperbaiki bug di yang diperkenalkan di 1.1 di mana beberapa deskriptor keamanan sistem file tidak diperbarui.
- Versi 1.1 mengoreksi bug yang relatif kecil yang hanya memengaruhi penginstalan tertentu. Ini juga telah diperbarui untuk mengubah SID yang terkait dengan pengaturan izin berbagi file dan printer.
Salah satu cara paling populer untuk melakukan peluncuran Windows massal (biasanya ratusan komputer) di lingkungan perusahaan didasarkan pada teknik kloning disk. Administrator sistem menginstal sistem operasi dasar dan perangkat lunak add-on yang digunakan di perusahaan pada komputer templat. Setelah mengonfigurasi komputer untuk operasi di jaringan perusahaan, disk otomatis atau alat duplikasi sistem (seperti Symantec'sGhost, PowerQuest'sImage Drive, dan Altiris'RapiDeploy) digunakan untuk menyalin drive komputer templat ke puluhan atau ratusan komputer. Klon ini kemudian diberikan penyesuaian akhir, seperti penugasan nama unik, dan kemudian digunakan oleh karyawan perusahaan.
Cara lain yang populer untuk diluncurkan adalah dengan menggunakan utilitas sysdiff Microsoft (bagian dari Windows Resource Kit). Alat ini mengharuskan administrator sistem melakukan penginstalan penuh (biasanya penginstalan tanpa pengawasan berskrip) di setiap komputer, dan kemudian sysdiff mengotomatiskan aplikasi citra penginstalan perangkat lunak add-on.
Karena penginstalan dilewati, dan karena penyalinan sektor disk lebih efisien daripada penyalinan file, peluncuran berbasis kloning dapat menghemat puluhan jam selama penginstalan sysdiff yang sebanding. Selain itu, administrator sistem tidak perlu mempelajari cara menggunakan instalasi tanpa pengawasan atau sysdiff, atau membuat dan men-debug skrip penginstalan. Ini saja menghemat jam kerja.
Masalah dengan kloning adalah bahwa itu hanya didukung oleh Microsoft dalam arti yang sangat terbatas. Microsoft telah menyatakan bahwa sistem kloning hanya didukung jika dilakukan sebelum bagian GUI Dari Penyiapan Windows telah tercapai. Ketika instalasi mencapai titik ini, komputer diberi nama dan SID komputer yang unik. Jika sistem dikloning setelah langkah ini, komputer kloning semuanya akan memiliki SID komputer yang identik. Perhatikan bahwa mengubah nama komputer atau menambahkan komputer ke domain lain tidak mengubah SID komputer. Mengubah nama atau domain hanya mengubah SID domain jika komputer sebelumnya dikaitkan dengan domain.
Untuk memahami masalah yang dapat disebabkan kloning, pertama-tama perlu untuk memahami bagaimana akun lokal individu di komputer diberi SID. SID akun lokal terdiri dari SID komputer dan RID tambahan (Pengidentifikasi Relatif). RID dimulai pada nilai tetap, dan ditingkatkan satu untuk setiap akun yang dibuat. Ini berarti bahwa akun kedua di satu komputer, misalnya, akan diberikan RID yang sama dengan akun kedua pada kloning. Hasilnya adalah bahwa kedua akun memiliki SID yang sama.
SID duplikat bukan masalah di lingkungan berbasis Domain karena akun domain memiliki SID berdasarkan Domain SID. Tetapi, menurut artikel Pangkalan Pengetahuan Microsoft Q162001, "Jangan Duplikat Disk Versi Windows NT yang Diinstal", dalam keamanan lingkungan Grup Kerja didasarkan pada SID akun lokal. Dengan demikian, jika dua komputer memiliki pengguna dengan SID yang sama, Grup Kerja tidak akan dapat membedakan antara pengguna. Semua sumber daya, termasuk file dan kunci Registri, yang dapat diakses oleh satu pengguna, yang lain juga akan.
Instans lain di mana SID duplikat dapat menyebabkan masalah adalah di mana ada media yang dapat dilepas yang diformat dengan NTFS, dan atribut keamanan akun lokal diterapkan ke file dan direktori. Jika media seperti itu dipindahkan ke komputer lain yang memiliki SID yang sama, maka akun lokal yang sebaliknya tidak akan dapat mengakses file mungkin dapat jika ID akun mereka kebetulan cocok dengan yang ada di atribut keamanan. Ini tidak dimungkinkan jika komputer memiliki SID yang berbeda.
Artikel Mark telah menulis, berjudul "Opsi Peluncuran NT," diterbitkan dalam edisi Juni Windows NT Magazine. Ini membahas masalah SID duplikat secara lebih rinci, dan menyajikan sikap resmi Microsoft tentang kloning. Untuk melihat apakah Anda memiliki masalah SID duplikat di jaringan Anda, gunakan PsGetSid untuk menampilkan SID mesin.
NewSID adalah program yang kami kembangkan untuk mengubah SID komputer. Ini pertama-tama menghasilkan SID acak untuk komputer, dan melanjutkan untuk memperbarui instans SID komputer yang ada yang ditemukannya di Registri dan dalam deskriptor keamanan file, mengganti kemunculan dengan SID baru. NewSID memerlukan hak administratif untuk dijalankan. Ini memiliki dua fungsi: mengubah SID, dan mengubah nama komputer.
Untuk menggunakan opsi eksekusi otomatis NewSID , tentukan "/a" pada baris perintah. Anda juga dapat mengarahkannya untuk mengubah nama komputer secara otomatis dengan menyertakan nama baru setelah sakelar "/a". Contohnya:
newsid /a [nama baru]
Akan menjalankan NewSID tanpa meminta, mengubah nama komputer menjadi "nama baru" dan membuatnya me-reboot komputer jika semuanya baik-baik saja.
Catatan: Jika sistem tempat Anda ingin menjalankan NewSID menjalankan IISAdmin, Anda harus menghentikan layanan IISAdmin sebelum menjalankan NewSID. Gunakan perintah ini untuk menghentikan layanan IISAdmin: net stop iisadmin /y
Fitur sinkronisasi SID NewSID yang memungkinkan Anda menentukannya, alih-alih menghasilkannya secara acak, SID baru harus diperoleh dari komputer yang berbeda. Fungsionalitas ini memungkinkan untuk memindahkan Pengontrol Domain Cadangan (BDC) ke Domain baru, karena hubungan BDC dengan Domain diidentifikasi olehnya memiliki SID komputer yang sama dengan Pengendali Domain (DC) lainnya. Cukup pilih tombol "Sinkronkan SID" dan masukkan nama komputer target. Anda harus memiliki izin untuk mengubah pengaturan keamanan kunci Registri komputer target, yang biasanya berarti Anda harus masuk sebagai administrator domain untuk menggunakan fitur ini.
Perhatikan bahwa ketika Anda menjalankan NewSID bahwa ukuran Registri akan tumbuh, jadi pastikan ukuran Registri maksimum akan mengakomodasi pertumbuhan. Kami telah menemukan bahwa pertumbuhan ini tidak memiliki dampak yang terlihat pada performa sistem. Alasan Registri tumbuh adalah bahwa registri menjadi terfragmentasi karena pengaturan keamanan sementara diterapkan oleh NewSID. Ketika pengaturan dihapus, Registri tidak dikompresi.
Penting: Perhatikan bahwa meskipun kami telah menguji NewSID secara menyeluruh, Anda harus menggunakannya dengan risiko Anda sendiri. Seperti halnya perangkat lunak apa pun yang mengubah pengaturan file dan Registri, sangat disarankan agar Anda sepenuhnya mencadangkan komputer Anda sebelum menjalankan NewSID.
Berikut adalah langkah-langkah yang harus Anda ikuti saat ingin memindahkan BDC dari satu domain ke domain lainnya:
- Boot up BDC yang ingin Anda pindahkan dan masuk. Gunakan NewSID untuk menyinkronkan SID BDC dengan PDC domain tempat Anda ingin memindahkan BDC.
- Reboot sistem tempat Anda mengubah SID (BDC). Karena domain yang sekarang dikaitkan dengan BDC sudah memiliki PDC aktif, ia akan melakukan booting sebagai BDC di domain barunya.
- BDC akan muncul sebagai stasiun kerja di Manajer Server, jadi gunakan tombol "Tambahkan ke Domain" untuk menambahkan BDC ke domain barunya. Pastikan untuk menentukan tombol radio BDC saat menambahkan.
NewSID dimulai dengan membaca SID komputer yang ada. SID komputer disimpan di sarang KEAMANAN Registri di bawah SECURITY\SAM\Domains\Account. Kunci ini memiliki nilai bernama F dan nilai bernama V. Nilai V adalah nilai biner yang memiliki SID komputer yang disematkan di dalamnya di akhir datanya. NewSID memastikan bahwa SID ini dalam format standar (subautori 32-bit yang didahului oleh tiga bidang otoritas 32-bit).
Selanjutnya, NewSID menghasilkan SID acak baru untuk komputer. Generasi NewSID sangat menyakitkan untuk menciptakan nilai 96-bit yang benar-benar acak, yang menggantikan 96-bit dari 3 nilai subautoritas yang membentuk SID komputer.
Tiga fase untuk penggantian SID komputer mengikuti. Pada fase pertama, sarang SECURITY dan SAM Registry dipindai untuk terjadinya SID komputer lama dalam nilai kunci, serta nama kunci. Ketika SID ditemukan dalam nilai, SID tersebut diganti dengan SID komputer baru, dan ketika SID ditemukan dalam nama, kunci dan subkunianya disalin ke subkuncing baru yang memiliki nama yang sama kecuali dengan SID baru yang menggantikan yang lama.
Dua fase terakhir melibatkan pembaruan deskriptor keamanan. Kunci registri dan file NTFS memiliki keamanan yang terkait dengannya. Deskriptor keamanan terdiri dari entri yang mengidentifikasi akun mana yang memiliki sumber daya, grup mana yang merupakan pemilik grup utama, daftar entri opsional yang menentukan tindakan yang diizinkan oleh pengguna atau grup (dikenal sebagai Daftar Kontrol Akses Diskresi - DACL), dan daftar entri opsional yang menentukan tindakan mana yang dilakukan oleh pengguna atau grup tertentu yang akan menghasilkan entri dalam Log Peristiwa sistem (Daftar Kontrol Akses Sistem - SACL). Pengguna atau grup diidentifikasi dalam deskriptor keamanan ini dengan SID mereka, dan seperti yang saya selaku dinyatakan sebelumnya, akun pengguna lokal (selain akun bawaan seperti Administrator, Tamu, dan sebagainya) memiliki SID komputer yang terdiri dari SID komputer ditambah RID.
Bagian pertama dari pembaruan pendeskripsi keamanan terjadi pada semua file sistem file NTFS di komputer. Setiap deskriptor keamanan dipindai untuk kemunculan SID komputer. Ketika NewSID menemukannya, maka akan menggantinya dengan SID komputer baru.
Bagian kedua dari pembaruan pendeskripsi keamanan dilakukan pada Registri. Pertama, NewSID harus memastikan bahwa itu memindai semua sarang, bukan hanya yang dimuat. Setiap akun pengguna memiliki sarang Registri yang dimuat sebagai HKEY_CURRENT_USER saat pengguna masuk, tetapi tetap berada di disk di direktori profil pengguna saat tidak. NewSID mengidentifikasi lokasi semua lokasi sarang pengguna dengan menghitung kunci HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList , yang menunjuk ke direktori tempat mereka disimpan. Kemudian memuatnya ke Registri menggunakan RegLoadKey di bawah HKEY_LOCAL_MACHINE dan memindai seluruh Registri, memeriksa setiap deskriptor keamanan untuk mencari SID komputer lama. Pembaruan dilakukan sama seperti untuk file, dan ketika NewSID yang dilakukan membongkar sarang pengguna yang dimuatnya. Sebagai langkah terakhir NewSID memindai kunci HKEY_USERS , yang berisi sarang pengguna yang saat ini masuk serta . Sarang default. Ini diperlukan karena sarang tidak dapat dimuat dua kali, sehingga sarang pengguna yang masuk tidak akan dimuat ke dalam HKEY_LOCAL_MACHINE saat NewSID memuat sarang pengguna lain.
Terakhir, NewSID harus memperbarui subkunci ProfileList untuk merujuk ke SID akun baru. Langkah ini diperlukan agar Windows NT mengaitkan profil dengan benar dengan akun pengguna setelah SID akun diubah untuk mencerminkan SID komputer baru.
NewSID memastikan bahwa ia dapat mengakses dan memodifikasi setiap file dan kunci Registri dalam sistem dengan memberikan hak istimewa berikut: Sistem, Pencadangan, Pemulihan, dan Ambil Kepemilikan.