SID Nedir? “Security Identifiers” (Güvenlik Tanımlayıcıları)
Windows sistemlerde, bir güvenlik sorumlusu veya güvenlik grubunu benzersiz şekilde tanımlamak için bir
güvenlik tanımlayıcısı (SID) kullanılır. Güvenlik sorumluları, bir kullanıcı hesabı, bir bilgisayar hesabı veya bir
kullanıcının bilgisayar hesabının güvenlik bağlamında çalışan bir işlem gibi işletim sistemi tarafından
doğrulanabilen herhangi bir varlığı temsil edebilir.
Bilgisayarda yeni bir işletim sistemi kurulduğunda ve bilgisayardaki her bir kullanıcıya verilen bağımsız bir kimlik numarasında Windows SID denir. SID (Security Identifier) kelimesinin kısa yazılımıdır.
Bir kullanıcı her oturum açtığında, sistem o kullanıcı için bir erişim damgası oluşturur. Erişim damgası,
kullanıcının SID’sini, kullanıcı haklarını ve kullanıcının ait olduğu herhangi bir grup için SID’leri içermektedir. Bu damga,
kullanıcının o bilgisayarda gerçekleştirdiği eylemler için güvenlik bağlamı sağlar. Belirli kullanıcılara ve gruplara atanan benzersiz şekilde oluşturulmuş, domaine özgü SID’lere ek olarak, genel grupları ve genel kullanıcıları tanımlayan iyi bilinen SID’ler vardır.
Örneğin; Public ve Global SID’leri, tüm kullanıcıları içeren bir grubu tanımlar. İyi bilinen SID‘lerin tüm işletim sistemlerinde sabit kalan değerleri vardır. SID’ler, Windows güvenlik modelinin temel yapı taşlarıdır. Windows Server işletim sistemlerinin güvenlik
altyapısındaki yetkilendirme ve erişim kontrol teknolojilerinin belirli bileşenleri ile çalışırlar. Bu, ağ kaynaklarına
erişimi korumaya yardımcı olur ve daha güvenli bir bilgi işlem ortamı sağlar.
Security Identifiers (SID) Mantığı Nasıl Oluşuyor?
Kullanıcılar hesap adını kullanarak hesaplara sinyal gönderir, ancak işletim sistemi dahili olarak, güvenlik
tanımlayıcılarını (SID’leri) kullanarak hesabın güvenlik bağlamında çalışan hesaplara ve işlemlere atıfta bulunur.
Domain hesapları için, bir güvenlik sorumlusunun SID’si, Domain’in SID’sini hesap için bir göreli tanımlayıcı (RID)
ile birleştirerek oluşturulur. SID’ler kapsamları içinde benzersizdir (domain veya local) ve asla yeniden
kullanılmazlar.
İşletim sistemi, hesap veya grup oluşturulduğu sırada belirli bir hesabı veya grubu tanımlayan bir SID oluşturur.
Yerel bir hesabın veya grubun SID’si bilgisayardaki Yerel Güvenlik Yetkilisi (LSA) tarafından oluşturulur ve diğer
hesap bilgileriyle birlikte kayıt defterinin güvenli bir alanında depolanır. Bir domain hesabı veya grubu için SID,
domain güvenlik yetkilisi tarafından oluşturulur ve Active Directory Domain Hizmetlerinde Kullanıcı veya Grup
nesnesinin bir özniteliği olarak depolanır.
Her yerel hesap ve grup için SID, oluşturulduğu bilgisayar için benzersizdir. Bilgisayardaki hiçbir hesap veya grup
aynı SID’yi paylaşmaz. Aynı şekilde, her domain hesabı ve grubu için, SID bir kuruluş içinde benzersizdir. Bu, bir
domain’de oluşturulan bir hesabın veya grubun SID’sinin, kuruluştaki başka herhangi bir domain’de oluşturulan
bir hesap veya grup için SID ile hiçbir zaman eşleşmeyeceği anlamına gelir.
SID’ler her zaman benzersiz kalır. Güvenlik yetkilileri asla aynı SID’yi iki kez vermez ve silinen hesaplar için
SID’leri asla yeniden kullanmazlar.
Örneğin; bir Windows domain’de kullanıcı hesabına sahip bir kullanıcı işinden
ayrılırsa, yönetici, hesabı tanımlayan SID dahil olmak üzere Active Directory hesabını siler. Daha sonra aynı
şirkette farklı bir işe dönerse, bir yönetici yeni bir hesap oluşturur ve Windows Server işletim sistemi yeni bir
SID oluşturur. Yeni SID eskisiyle eşleşmiyor; bu nedenle, kullanıcının eski hesabından hiçbir erişimi yeni hesaba
aktarılmaz.
Active Directory Nesnelerinin SID-Security Identifier Numaraları Nasıl Bulunur?
Active Directory içinde bulunan nesnelerin SID değerlerini bulmak için CMD üzerinden aşağıda belirtmiş olduğum komutları çalıştırmanız yeterlidir.
dsquery * -attr objectsid -filter objectcategory=user
SID değerininin hangi nesneye ait olduğunu öğrenmek için CMD üzerinden şu komutu çalıştırmanız yeterli.
wmic useraccount where sid="SID DEĞERİ GELECEK" get name
Active Directory üzerinden, kullanıcısının özelliklerinden Attribute Editor tab’ı üzerinde objectSid bilgisini görüntülediğiniz zaman’da SID Değerini bulabilirsiniz.
Security Identifiers Mimarisi (SID Mimarisi)
Security Identifiers (Güvenlik tanımlayıcıları), değişken sayıda değer içeren ikili formatta bir veri yapısıdır.
Yapıdaki ilk değerler SID yapısı hakkında bilgi içerir. Kalan değerler bir hiyerarşi içinde düzenlenir (bir telefon
numarasına benzer) ve SID veren yetkiliyi (örneğin, “NT Authority”), SID veren domaini ve belirli bir güvenlik
sorumlusu veya grubunu tanımlar. Aşağıdaki görüntü bir SID’nin yapısını göstermektedir.
- Bu gösterimde, bir SID’nin bileşenleri aşağıdaki tabloda gösterildiği gibi temsil edilir.
- S Dizenin bir SID olduğunu gösterir.
- R Revizyon seviyesini gösterir.
- X Tanımlayıcı otorite değerini gösterir.
- Y Bir dizi alt yetki değerini temsil eder; burada n, değerlerin
- sayısıdır
SID’nin dört bileşeni vardır:
1- Bir revisyon seviyesi (1)
2- Bir Identifier Authority (Tanımlayıcı Yetkili) değeri (5, NT Authority)
3- Bir Domain Identifier (Domain Tanımlayıcısı) ( 32, Builtin [Domain] )
4- Bir Relative Identifier (Göreli Tanımlayıcı) (544, Administrators)
• Yerleşik hesaplar ve gruplar için SID’ler her zaman aynı domain tanımlayıcı değerine sahiptir: “32”. Bu
değer , Windows Server işletim sisteminin bir sürümünü çalıştıran her bilgisayarda bulunan Builtin
domain’i tanımlar . Bir bilgisayarın yerleşik hesaplarını ve gruplarını başka bir bilgisayarın yerleşik
hesaplarından ve gruplarından ayırt etmek hiçbir zaman gerekli olan bir şey değildir, çünkü bunlar
kapsam olarak yereldir. Tek bir bilgisayar için yereldirler.
• Yerleşik hesapların ve grupların Builtin domain’i kapsamında birbirinden ayırt edilmesi gerekir. Bu
nedenle, her hesap ve grup için SID’nin benzersiz bir göreli tanımlayıcısı vardır. 544’ün göreli
tanımlayıcı değeri, yerleşik Administrators grubuna özgüdür. Yerleşik domain’deki başka hiçbir hesap
veya grubun son değeri 544 olan bir SID’si yoktur
