맨위로가기

보안 식별자

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

보안 식별자(SID)는 윈도우 운영 체제에서 보안 주체를 고유하게 식별하는 데 사용되는 값이다. SID는 SID를 발급한 기관을 나타내는 식별자 권한 값, 주요 SID, 머신 SID, 서비스 SID 등으로 구성된다. 중복 SID 문제는 디스크 복제를 통해 윈도우 시스템 이미지를 배포할 때 발생할 수 있으며, 파일 접근 권한에 영향을 미칠 수 있다. 윈도우 운영체제에서는 중복 SID가 일반적으로 문제가 되지 않지만, SID를 감지하는 다른 프로그램에서는 보안 문제가 발생할 수 있다.

광고

더 읽어볼만한 페이지

  • 윈도우 NT 아키텍처 - WoW64
    WoW64는 64비트 윈도우에서 32비트 응용 프로그램을 실행하기 위한 호환성 계층으로, 32비트 코드를 변환하고 시스템 자원을 관리하며 파일 시스템 리디렉션을 제공하지만, 완벽한 호환성을 보장하지 않고 성능 오버헤드 및 API 관련 문제점을 가질 수 있다.
  • 윈도우 NT 아키텍처 - 로컬 보안 인증 하위 시스템 서비스
  • 고유 식별자 - MAC 주소
    MAC 주소는 네트워크 장치를 식별하는 고유한 48비트 식별자로, IEEE 802 MAC 주소로 알려져 있으며, 최근 스푸핑 악용 및 개인 정보 보호를 위한 랜덤화 기술이 논의되고 있다.
  • 고유 식별자 - 범용 상품 부호
    범용 상품 부호(UPC)는 소매점에서 상품을 식별하기 위해 상품 포장에 인쇄되는 널리 사용되는 바코드의 일종으로, 12자리 숫자로 구성된 UPC-A를 포함한 다양한 변형이 존재한다.
  • 식별자 - 아카이벌 리소스 키
    아카이벌 리소스 키(ARK)는 디지털, 물리적, 추상적 자원의 영구적인 식별을 위한 체계로, 분산된 웹 환경에서 관리 주체의 약속을 통해 객체의 보존과 접근성을 제공하며, ARK Alliance가 국제적인 사용을 장려하고 한국에서도 활용된다.
  • 식별자 - 바코드
    바코드는 다양한 폭의 막대와 공백 조합으로 정보를 나타내는 기호로, 상품 식별, 재고 관리 등에 사용되며 1차원과 2차원 바코드가 존재하고 바코드 스캐너로 판독되어 산업 효율성을 높인다.

2. SID 구조

SID는 "S-1-5-21-3623811015-3361044348-30300820-1013"와 같은 형태로 표현된다.[15][16] 각 부분에 대한 자세한 설명은 #구성 요소 문단을 참고하라.

S1521-3623811015-3361044348-303008201013
SID 문자열을 나타낸다.SID 버전 번호이다.식별자 권한 값이다.도메인 및 로컬 컴퓨터 식별자이다.상대 ID (RID)이다. 기본값으로 생성되지 않은 그룹이나 사용자는 1,000 이상의 상대 ID 값을 가진다.



사용할 수 있는 식별자 권한 값은 #식별자 권한 값 문단을 참고하라.

2. 1. 구성 요소

SID는 "S-1-5-21-3623811015-3361044348-30300820-1013"와 같은 형태로 구성된다. 각 구성 요소는 다음과 같은 의미를 갖는다.

구성 요소의미
SSID 문자열임을 나타낸다.
1SID 버전 (현재는 1만 사용됨).
5식별자 권한 값 (Identifier Authority Value).
21-3623811015-3361044348-30300820도메인 또는 로컬 컴퓨터 식별자.
1013상대 ID (RID, Relative ID). 기본값으로 만들지 않은 그룹이나 사용자는 1,000 이상의 상대 ID값을 가진다.


2. 2. 식별자 권한 값

SID를 발급한 기관을 나타내는 식별자 권한 값은 다음과 같다.[15][16]

식별자 권한 값
설명
0권한 없음(Null Authority)
1워드 권한(World Authority)
2로컬 권한(Local Authority)
3작성자 권한(Creator Authority)
4비고유 권한(Non-unique Authority)
5NT 권한(NT Authority)
9리소스 관리자 권한(Resource Manager Authority)



알려진 식별자 권한 값은 다음과 같다.[1][2]

알려진 식별자 권한 값
10진수이름표시 이름최초 도입참고비고
0Null Authority예: "Nobody" (S-1-0-0)
1World Authority(표시되지 않음)예: "Everyone"과 같은 잘 알려진 그룹 (S-1-1-0)
2Local Authority(표시되지 않음)예: "CONSOLE LOGON"과 같은 플래그 SID
3Creator Authority
4Non-unique Authority
5NT AuthorityNT AUTHORITY\NT 보안 하위 시스템에서 관리. "BUILTIN" 및 모든 액티브 디렉터리 도메인과 같은 많은 하위 권한이 있다.
7Internet$Internet$\Windows 7
9Resource Manager AuthorityWindows Server 2003[3][4]
11Microsoft Account AuthorityMicrosoftAccount\Windows 8[5]
12Azure Active DirectoryAzureAD\Windows 10
15Capability SIDsWindows 8, Windows Server 2012[6][7][8]모든 기능 SID는 S-1-15-3으로 시작. 설계상, 기능 SID는 친숙한 이름으로 확인되지 않음. 가장 일반적으로 사용되는 기능 SID는 다음과 같음. S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681
16Mandatory Label\Windows Vista강제 무결성 제어의 일부로 사용
18Asserted Identity



기능 SID는 레지스트리 데이터에서 찾을 수 있으며, 설계상 친숙한 이름으로 확인되지 않는다. 레지스트리 데이터에서 SID를 찾지 못하면 알려진 기능 SID가 아니며, 일반적인 확인되지 않은 SID로 문제 해결을 할 수 있다. 타사 기능 SID일 가능성이 적으며, 이 경우 친숙한 이름으로 확인되지 않는다.[7]

3. 주요 SID

SID는 "S-1-5-21-3623811015-3361044348-30300820-1013"와 같은 형태로 나타나며, 각 부분은 다음과 같은 의미를 가진다.[15][16]

S1521-3623811015-3361044348-303008201013
이 문자열은 SID를 가리킨다.SID 규격의 버전 번호.식별자 권한 값.도메인 및 로컬 컴퓨터 식별자상대 ID (RID). 기본값으로 만들지 않은 그룹이나 사용자는 1,000 이상의 상대 ID값을 가진다.



식별자 권한 값은 다음과 같다.[1][2]

10진수이름표시 이름참고
0Null Authority예: "Nobody" (S-1-0-0)
1World Authority(표시되지 않음)예: "Everyone"과 같은 잘 알려진 그룹 (S-1-1-0)
2Local Authority(표시되지 않음)예: "CONSOLE LOGON"과 같은 플래그 SID
3Creator Authority
4Non-unique Authority
5NT AuthorityNT AUTHORITY\NT 보안 하위 시스템에서 관리. "BUILTIN" 및 모든 액티브 디렉터리 도메인과 같은 많은 하위 권한이 있다.
7Internet$Internet$\
9Resource Manager Authority
11Microsoft Account AuthorityMicrosoftAccount\
12Azure Active DirectoryAzureAD\
15Capability SIDs모든 기능 SID는 S-1-15-3으로 시작. 설계상, 기능 SID는 친숙한 이름으로 확인되지 않음.
16Mandatory Label\강제 무결성 제어의 일부로 사용
18Asserted Identity


3. 1. Well-known SID

SID설명
S-1-1-0모든 사용자
S-1-5-14원격 상호 로그온 접속 (Remote Interactive Logon)
S-1-5-18로컬 시스템 (Local System) - 운영 체제가 사용하는 서비스 계정
S-1-5-19NT 권한, 로컬 서비스
S-1-5-20NT 권한, 네트워크 서비스
S-1-5-29네트워크 서비스
S-1-5-domain-500시스템 관리자를 위한 사용자 계정. 기본적으로 시스템 전반을 제어할 수 있는 유일한 사용자 계정이다.
S-1-5-domain-501개인 계정이 없는 게스트 사용자 계정. 이 사용자 계정은 암호를 요구하지 않는다. 기본적으로 게스트 계정은 활성화되지 않는다.
S-1-5-domain-512도메인 관리자(Domain Admins) - 소속된 사용자들이 도메인을 관리할 수 있는 전역 그룹. 기본적으로 도메인 관리자 그룹은 도메인 컨트롤러를 포함하여 도메인에 참가하는 모든 컴퓨터의 관리자 그룹 멤버이다. 도메인 관리자는 임의의 그룹 멤버가 만든 객체의 기본 소유자이다.
S-1-5-domain-513도메인 사용자(Domain Users)
S-1-5-domain-514도메인 게스트(Domain Guests) - 기본적으로 도메인 내장 게스트 계정, 곧 한 명의 멤버만을 가지는 전역 그룹이다.
S-1-6사이트 서버 권한(Site Server Authority).
S-1-7인터넷 사이트 권한(Internet Site Authority).
S-1-8교환 권한(Exchange Authority).
S-1-9리소스 관리자 권한(Resource Manager Authority).


4. 머신 SID

머신 SID(S-1-5-21)는 컴퓨터를 고유하게 식별하는 데 사용된다. 이 SID는 `SECURITY` 레지스트리 하이브의 `SECURITY\SAM\Domains\Account`에 저장되며, `F`와 `V`라는 두 개의 값을 갖는다. `V` 값은 데이터 끝에 컴퓨터 SID가 포함된 바이너리 값(마지막 96비트)이다.[11] 백업은 `SECURITY\Policy\PolAcDmS\@`에 있다.

NewSID는 컴퓨터에 대한 새로운 무작위 SID를 생성한다. 컴퓨터 SID를 구성하는 3개의 하위 권한 값 96비트를 대체하는 진정한 무작위 96비트 값을 생성한다. 머신 SID 하위 권한 형식은 도메인 SID에도 사용되는데, 이 경우 머신은 자체 로컬 도메인으로 간주된다.

머신 SID는 Start8과 같은 일부 무료 평가판 프로그램에서 평가판 재시작을 막기 위해 컴퓨터를 식별하는 데 사용되기도 한다.

4. 1. 머신 SID 디코딩

머신 SID는 레지스트리에 원시 바이트 형태로 저장된다. 이를 더 일반적인 숫자 형태로 변환하려면 세 개의 리틀 엔디안 32비트 정수로 해석하고 십진수로 변환한 다음 하이픈으로 구분한다.

예시2E,43,AC,40,C0,85,38,5D,07,E5,3B,2B
1) 바이트를 3개의 섹션으로 나눈다:2E,43,AC,40 - C0,85,38,5D - 07,E5,3B,2B
2) 각 섹션의 바이트 순서를 반대로 한다:40,AC,43,2E - 5D,38,85,C0 - 2B,3B,E5,07
3) 각 섹션을 십진수로 변환한다:1085031214 - 1563985344 - 725345543
4) 기계 SID 접두사를 추가한다:S-1-5-21-1085031214-1563985344-725345543


5. 서비스 SID

서비스 SID는 서비스 격리 기능으로, 윈도우 비스타윈도우 서버 2008에 도입된 보안 기능이다.[12] "제한 없음" SID 유형 속성을 가진 모든 서비스는 서비스 호스트 프로세스의 액세스 토큰에 서비스별 SID가 추가된다. 서비스 SID는 서비스 계정을 생성해야 하는 관리 부담 없이 단일 서비스에 대한 권한을 관리할 수 있도록 해준다.

"dnscache" 서비스는 `NT SERVICE\dnscache` 또는 `S-1-5-80-859482183-879914841-863379149-1145462774-2388618682`로 참조할 수 있으며, 이 둘은 같은 의미를 가진다.

5. 1. 서비스 SID 생성

각 서비스 SID는 서비스 이름을 기반으로 생성되며, `S-1-5-80-{SHA-1(서비스 이름)}` 형태를 가진다.[12] 서비스 SID는 서비스 격리를 위해 윈도우 비스타윈도우 서버 2008에 도입되었다.

`sc.exe` 명령어를 사용하여 이 특수 SID 값을 생성할 수 있다. 예를 들어 "dnscache" 서비스의 경우 다음과 같다.

```text

C:> sc showsid "dnscache"

NAME: dnscache

SERVICE SID: S-1-5-80-859482183-879914841-863379149-1145462774-2388618682

```

"dnscache" 서비스는 `NT SERVICE\dnscache` 또는 `S-1-5-80-859482183-879914841-863379149-1145462774-2388618682`로 참조할 수 있으며, 이는 같은 의미를 가진다. 서비스 SID는 서비스 이름에 의해서만 결정되므로, 주어진 서비스의 SID 값은 해당 서비스가 실행되는 모든 머신에서 항상 동일하다.

6. 중복 SID 문제

윈도우 NT/2000/XP 기반 시스템에서 디스크 복제를 통해 이미지를 배포하는 경우, 머신 SID가 중복될 수 있다. 이러한 중복 SID 문제는 마이크로소프트 윈도우 시스템에서는 일반적으로 문제가 되지 않지만, SID를 감지하는 다른 프로그램에서는 보안 문제가 발생할 수 있다.[13][14]

6. 1. 중복 SID의 영향

윈도우 NT/2000/XP를 실행하는 컴퓨터의 작업 그룹에서, 사용자가 공유 파일이나 이동식 저장 장치에 저장된 파일에 예기치 않게 접근할 수 있다. 이는 해당 파일에 접근 제어 목록을 설정하여 방지할 수 있으며, 유효한 권한은 사용자 SID에 의해 결정된다. 이 사용자 SID가 다른 컴퓨터에서 중복되는 경우, 동일한 SID를 가진 두 번째 컴퓨터의 사용자는 첫 번째 컴퓨터의 사용자가 보호한 파일에 접근할 수 있다. 이는 디스크 복제로 인해 컴퓨터 SID가 중복될 때 자주 발생하며, 불법 복제본에서 흔히 나타난다.[13] 사용자 SID는 컴퓨터 SID와 순차적인 상대 ID를 기반으로 구축된다.

컴퓨터가 액티브 디렉터리 또는 NT 도메인과 같은 도메인에 가입하면 각 컴퓨터는 고유한 도메인 SID를 받는다. 이 SID는 컴퓨터 SID와 유사하며, 컴퓨터가 도메인에 진입할 때마다 다시 계산된다. 결과적으로, 로컬 사용자 계정을 사용하지 않는 경우, 컴퓨터가 도메인의 구성원일 때 중복 SID로 인한 심각한 문제는 일반적으로 발생하지 않는다. 로컬 사용자 계정을 사용하는 경우에는 위에서 설명한 것과 유사한 잠재적인 보안 문제가 있지만, 이 문제는 도메인 사용자가 아닌 로컬 사용자에 의해 보호되는 파일 및 리소스에 국한된다.

중복 SID는 일반적으로 마이크로소프트 윈도우 시스템에서는 문제가 되지 않지만, SID를 감지하는 다른 프로그램은 보안에 문제가 있을 수 있다.[14]

6. 2. 해결 방법

마이크로소프트는 이전에 Sysinternals의 일부로 마크 루시노비치의 "NewSID" 유틸리티를 제공하여 기계 SID를 변경할 수 있도록 했었다.[13] 그러나 이 유틸리티는 2009년 11월 2일에 사용 중단되어 다운로드할 수 없게 되었다. 마크 루시노비치와 윈도우 보안 팀은 기계 SID가 네트워크 접근 제한에 사용되지 않기 때문에 중복 SID가 문제를 일으킬 수 있는 상황을 전혀 생각할 수 없었다고 설명했다.[14]

현재 윈도우 운영 체제에서 디스크 복제를 지원하는 유일한 방법은 SysPrep을 사용하여 새로운 SID를 생성하는 것이다.

참조

[1] 웹사이트 Well-known security identifiers in Windows operating systems https://support.micr[...] 2019-12-12
[2] 웹사이트 "[MS-DTYP]: Well-Known SID Structures" https://docs.microso[...] 2020-09-03
[3] 웹사이트 Custom Principals https://msdn.microso[...]
[4] 웹사이트 Larry Osterman's WebLog http://blogs.msdn.co[...] 2020-07-17
[5] 웹사이트 Example impact of Microsoft Accounts on Windows APIs in Windows 8/8.1 – Windows SDK Support Team Blog https://blogs.msdn.m[...] 2014-12-12
[6] 웹사이트 Security identifiers https://support.micr[...] 2021-08-28
[7] 웹사이트 Some SIDs do not resolve into friendly names https://support.micr[...] 2021-09-24
[8] 웹사이트 Capability SID Constants (Winnt.h) - Win32 apps https://docs.microso[...] 2020-09-02
[9] 웹사이트 Accounts Everywhere: part 1, Virtual Accounts https://www.1e.com/n[...] 2017-11-24
[10] 웹사이트 IIS AppPool Identity SIDs https://winterdom.co[...] 2020-09-02
[11] 웹사이트 MS TechNet NewSID Utility - How It Works https://technet.micr[...] Microsoft 2006-11-01
[12] 웹사이트 Windows Service Isolation Feature http://www.windowsit[...] Windows IT Pro 2012-06-06
[13] 웹사이트 NewSID v4.10 https://technet.micr[...] Microsoft 2006-11-01
[14] 웹사이트 The Machine SID Duplication Myth http://blogs.technet[...] Microsoft 2009-11-03
[15] 웹사이트 Custom Principals http://msdn.microsof[...]
[16] URL http://blogs.msdn.co[...]
[17] 웹인용 Well-known security identifiers in Windows operating systems (MSKB 243330) http://support.micro[...] 마이크로소프트 2007-02-28


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com