보안 식별자

보안 식별자(保安識別子, Security Identifier, SID)는 마이크로소프트 윈도우 NT 계열의 운영 체제 환경에서 NT/2000 시스템의 네트워크 안의 사용자 그룹이나 사용자와 같은 주체를 식별할 목적으로, 로그온을 하는 동안 윈도 도메인 컨트롤러가 할당하는 고유 이름이다.

개요[편집]

윈도는 접근 제어 목록(ACL) 기반의 리소스로의 접근과 권한을 제공하거나 거부한다. 여기서 ACL은 SID를 이용하여 사용자와 소속 그룹 멤버십을 식별한다. 사용자가 컴퓨터에 로그인하면 사용자와 그룹 SID, 사용자 권한 수준이 포함된 접근 토큰이 만들어진다. 사용자가 리소스 접근을 요청하면 접근 토큰은 ACL이 특정 객체에 대한 특별한 동작의 허용, 거부 여부를 검사한다.

SID는 보안 감사, 윈도 서버 및 도메인 이동에 문제가 있을 때 유용하다.

SID의 형태는 다음과 같은 예로 설명할 수 있다: "S-1-5-21-3623811015-3361044348-30300820-1013"

S	1	5	21-3623811015-3361044348-30300820	1013
이 문자열은 SID를 가리킨다.	버전 번호 (SID 규격의 버전).	식별자 권한 값.	도메인 및 로컬 컴퓨터 식별자	상대 ID (RID). 기본값으로 만들지 않은 그룹이나 사용자는 1,000 이상의 상대 ID값을 가진다.

사용할 수 있는 식별자 권한 값은 다음과 같다:

0 - 권한 없음(Null Authority)
1 - 워드 권한(World Authority)
2 - 로컬 권한(Local Authority)
3 - 작성자 권한(Creator Authority)
4 - 비고유 권한(Non-unique Authority)
5 - NT 권한(NT Authority)
9 - 리소스 관리자 권한(Resource Manager Authority)^[1]^[2]

유명한 보안 식별자[편집]

잘 알려져 있는 수많은 보안 식별자가 운영 체제에 정의되어 있으므로 특정한 시스템 계정을 언제나 찾을 수 있다. 마이크로소프트는 지식 기반 문서에 다음과 같은 완전한 식별자 목록을 게시해 놓고 있다.^[3]

SID	설명
S-1-1-0	모든 사용자
S-1-5-14	원격 상호 로그온 접속 (Remote Interactive Logon)
S-1-5-18	로컬 시스템 (Local System) - 운영 체제가 사용하는 서비스 계정
S-1-5-19	NT 권한, 로컬 서비스
S-1-5-20	NT 권한, 네트워크 서비스
S-1-5-29	네트워크 서비스
S-1-5-domain-500	시스템 관리자를 위한 사용자 계정. 기본적으로 시스템 전반을 제어할 수 있는 유일한 사용자 계정이다.
S-1-5-domain-501	개인 계정이 없는 게스트 사용자 계정. 이 사용자 계정은 암호를 요구하지 않는다. 기본적으로 게스트 계정은 활성화되지 않는다.
S-1-5-domain-512	도메인 관리자(Domain Admins) - 소속된 사용자들이 도메인을 관리할 수 있는 전역 그룹. 기본적으로 도메인 관리자 그룹은 도메인 컨트롤러를 포함하여 도메인에 참가하는 모든 컴퓨터의 관리자 그룹 멤버이다. 도메인 관리자는 임의의 그룹 멤버가 만든 객체의 기본 소유자이다.
S-1-5-domain-513	도메인 사용자(Domain Users)
S-1-5-domain-514	도메인 게스트(Domain Guests) - 기본적으로 도메인 내장 게스트 계정, 곧 한 명의 멤버만을 가지는 전역 그룹이다.
S-1-6	사이트 서버 권한(Site Server Authority).
S-1-7	인터넷 사이트 권한(Internet Site Authority).
S-1-8	교환 권한(Exchange Authority).
S-1-9	리소스 관리자 권한(Resource Manager Authority).

각주[편집]

↑ "Custom Principals" 단락을 확인 - http://msdn.microsoft.com/en-us/library/aa480244.aspx
↑ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
↑ “Well-known security identifiers in Windows operating systems (MSKB 243330)”. 《Knowledge Base》. 마이크로소프트. 2007년 2월 28일. 2007년 12월 8일에 확인함.

같이 보기[편집]

접근 제어
전역 고유 식별자 (GUID)

[1] "Custom Principals" 단락을 확인 - http://msdn.microsoft.com/en-us/library/aa480244.aspx

[2] ttp://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx

[3] “Well-known security identifiers in Windows operating systems (MSKB 243330)”. 《Knowledge Base》. 마이크로소프트. 2007년 2월 28일. 2007년 12월 8일에 확인함.

[1]

[2]

[3]