É possível alterar o SID de uma conta de usuário local manualmente?

2

Digamos, por razões de argumentação, que eu deseje alterar o SID de uma conta de usuário local do Windows para uma que apareça em algum domínio hipotético do Active Directory. Isso é possível? Se sim, como?

P.S. Eu realmente não preciso saber como ... tudo o que me interessa é que é demonstravelmente possível e que, teoricamente, algum usuário malicioso na rede poderia fazer isso ... e quanta habilidade eles precisariam para fazer isso.

    
por BenAlabaster 10.04.2013 / 20:51

2 respostas

3

É tecnicamente possível fazer isso, editando o banco de dados SAM (em HKEY_LOCAL_MACHINE\Security no Registro), mas isso requer compreensão dos formatos binários usados lá. Existem ferramentas que fazem isso , como NewSid - embora geralmente faz o oposto do que você está procurando, mas mesmo assim foi capaz de alterar o SID da máquina e os SIDs do usuário, em todo o computador. A página do NewSid tem algumas informações sobre como isso é feito.

No entanto, não vai conseguir muito. O SID é usado apenas localmente. Não importa o SID que você possui; não lhe dará acesso a nenhum recurso de rede adicional. (Isso é similar a os argumentos dados pela SysInternals quando descontinuaram o utilitário NewSid - ele criaria um novo SID de máquina se você tivesse máquinas clonadas com SIDs idênticos, mas foi explicado que ter SIDs de máquina idênticos e, portanto, SIDs de usuário idênticos, tem efeito zero na rede segurança. )

Para autenticação de rede, o Active Directory usa Kerberos e às vezes o (agora obsoleto) NTLM , os quais autenticam usuários usando a senha ou credenciais semelhantes.

    
por 10.04.2013 / 22:02
1

Você não pode criar o endtifier S ecurity ID com base nas variáveis do ambiente no momento da criação. Eles são únicos e não podem ser gravados.

Se precisar de mais informações:

The SID for an account or group created in one domain of an enterprise never matches the SID for an account or group created in another domain of the same enterprise.

Eu suspeitaria que, se você conseguisse fazê-lo, o domínio veria isso como algo estranho e negaria acesso ou faria outras coisas estranhas.

    
por 10.04.2013 / 21:07