[정보보안기사]윈도우 보안 식별자

(2) 윈도우 보안 식별자(SID: Security Identifier)

1) 개요

a. 윈도우의 각 사용자나 그룹에 부여되는 고유한 식별번호

b. 사용자가 로그인을 수행하면 접근 토큰(엑세스 토큰)이 생성되며, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 관한 보안 식별자(SID) 정보가 담겨있다.

c. 접근 토큰의 사본은 그 사용자에 의해 시작된 모든 프로세스에게 할당된다.

d. 사용자 계정 및 패스워드 정보를 담고 있는 SAM 파일(C:\Windows\system32\config\SAM)에 SID 정보가 저장되어있다.

2) SID 구조

a. 계정별 SID 구조(윈도우 2008 테스트 예)

[SID 구조]

 - S-1: 윈도우 시스템을 의미

 - 5-21: 시스템이 도메인 컨트롤러 이거나 단독 시스템(stand-alone)임을 의미

 - 1409082233-436374069-839522115: 해당 시스템만의 고유한 식별자, 동일한 컴퓨터에 다시 윈도우를 설치해도 동일한 값을 가지지 않는다.

 - 500: 사용자 식별자(ID)(ex. 500: 관리자(Administrator) 식별자, 501: 게스트(Guest) 식별자, 1000 이상: 일반 사용자 식별자

b. SID 실습

[WMIC 실행]

 - 윈도우 관리명령 콘솔(WMIC: Windows Management Instruction Console)을 통해 확인가능

 - 실행 > wmic > useraccount list brief 명령 실행