Sysinternals

NewSid – SysInternals

Categoría: Utilerías de Seguridad
Versión: v4.10
Última actualización: 01/11/2006
Resumen: NewSid
OS:

Nota: NewSID se ha retirado y ya no está disponible para su descarga. Consulta la publicación de blog de Mark Russinovich: NewSID Retirement and the Machine SID Duplication Myth

IMPORTANTE
Con respecto a los SID, Microsoft no admite imágenes preparadas con NewSID, solo admitimos imágenes preparadas con SysPrep. Microsoft no ha probado NewSID para todas las opciones de clonación de implementación.

Para obtener más información sobre la política oficial de Microsoft, consulta el siguiente artículo de la base de conocimientos:

The Microsoft policy concerning disk duplication of Windows XP installations

Introducción

Muchas organizaciones utilizan la clonación de imágenes de disco para realizar implementaciones masivas de Windows. Esta técnica consiste en copiar los discos de una computadora con Windows completamente instalada y configurada en las unidades de disco de otras computadoras. Estas otras computadoras parecen haber pasado por el mismo proceso de instalación y están disponibles de inmediato para su uso.

Si bien este método ahorra horas de trabajo y molestias en comparación con otros enfoques de implementación, tiene el problema principal de que cada sistema clonado tiene un identificador de seguridad informática (SID) idéntico. Este hecho compromete la seguridad en entornos de grupos de trabajo, y la seguridad de los medios extraíbles también puede verse comprometida en redes con varios SID de computadora idénticos.

La demanda de la comunidad de Windows ha llevado a varias empresas a desarrollar programas que pueden cambiar el SID de una computadora después de clonar un sistema. Sin embargo, SID Changer de Symantec y Ghost Walker de Symantec solo se venden como parte del producto de gama alta de cada empresa. Además, ambos se ejecutan desde un símbolo del sistema de DOS (el cambiador de Altiris es similar a NewSID).

NewSID es un programa que desarrollamos que cambia el SID de una computadora. Es gratuito y es un programa Win32, lo que significa que puede ejecutarse fácilmente en sistemas que hayan sido previamente clonados.

Lea este artículo completo antes de usar este programa.

Información de versión:

  • La versión 4.0 introduce soporte para Windows XP y .NET Server, una interfaz estilo asistente, te permite especificar el SID que deseas aplicar, la compactación del Registro y también la opción de cambiar el nombre de una computadora (lo que resulta en un cambio de los nombres NetBIOS y DNS).
  • La versión 3.02 corrige un error en el que NewSid no copiaba correctamente los valores predeterminados con tipos de valores no válidos al cambiar el nombre de una clave con un SID antiguo a un SID nuevo. NT realmente hace uso de tales valores inválidos en ciertos momentos en el SAM. El síntoma de este error fueron los mensajes de error que informaban sobre el acceso denegado cuando un usuario autorizado actualizó la información de la cuenta.
  • La versión 3.01 agrega una solución para una clave de registro inaccesible creada por Microsoft Transaction Server. Sin la solución temporal, NewSID se cerraría prematuramente.
  • La versión 3.0 presenta una función de sincronización de SID que indica a NewSID que obtenga un SID para aplicar desde otra computadora.
  • La versión 2.0 tiene una opción de modo automático y también te permite cambiar el nombre de la computadora.
  • La versión 1.2 corrige un error que se introdujo en 1.1 donde algunos descriptores de seguridad del sistema de archivos no se actualizaron.
  • La versión 1.1 corrige un error relativamente menor que afectaba solo a ciertas instalaciones. También se actualizó para cambiar los SID asociados con la configuración de permisos de recursos compartidos de archivos e impresoras.
NewSid – Cambio del SID de un sistema

Clonación y métodos alternativos de implementación

Una de las formas más populares de realizar despliegues masivos de Windows (normalmente cientos de equipos) en entornos corporativos se basa en la técnica de clonación de discos. Un administrador del sistema instala el sistema operativo base y el software adicional que se usa en la empresa en una computadora modelo. Después de configurar la máquina para que funcione en la red de la empresa, se utilizan herramientas automatizadas de duplicación de discos o sistemas (como Symantec’sGhost, PowerQuest’sImage Drive y Altiris’RapiDeploy) para copiar las unidades de la computadora modelo en decenas o cientos de computadoras. Luego, estos clones reciben ajustes finales, como la asignación de nombres únicos, y luego los empleados de la empresa los utilizan.

Otra forma popular de implementación es usar la utilidad sysdiff de Microsoft (parte del Kit de recursos de Windows). Esta herramienta requiere que el administrador del sistema realice una instalación completa (por lo general, una instalación desatendida con script) en cada computadora, y luego sysdiff automatiza la aplicación de imágenes de instalación de software adicional.

Dado que se omite la instalación y que la copia de sectores del disco es más eficiente que la copia de archivos, una implementación basada en clones puede ahorrar decenas de horas en comparación con una instalación comparable de sysdiff. Además, el administrador del sistema no tiene que aprender a usar la instalación desatendida o sysdiff, o crear y depurar scripts de instalación. Esto solo ahorra horas de trabajo.

El problema de la duplicación de SID

El problema con la clonación es que Microsoft solo la admite en un sentido muy limitado. Microsoft ha declarado que la clonación de sistemas solo es compatible si se realiza antes de que se alcance la parte de la GUI de la instalación de Windows. Cuando la instalación llega a este punto, a la computadora se le asigna un nombre y un SID de computadora único. Si se clona un sistema después de este paso, todas las máquinas clonadas tendrán SID de computadora idénticos. Ten en cuenta que simplemente cambiar el nombre de la computadora o agregar la computadora a un dominio diferente no cambia el SID de la computadora. Cambiar el nombre o el dominio solo cambia el SID del dominio si la computadora se asoció previamente con un dominio.

Para comprender el problema que puede causar la clonación, primero es necesario comprender cómo se asignan los SID a las cuentas locales individuales en una computadora. Los SID de las cuentas locales consisten en el SID de la computadora y un RID (identificador relativo) adjunto. El RID comienza en un valor fijo y se incrementa en uno por cada cuenta creada. Esto significa que la segunda cuenta en una computadora, por ejemplo, recibirá el mismo RID que la segunda cuenta en un clon. El resultado es que ambas cuentas tienen el mismo SID.

Los SID duplicados no son un problema en un entorno basado en dominios, ya que las cuentas de dominio tienen SID basados ​​en el SID del dominio. Pero, de acuerdo con el artículo Q162001 de Microsoft Knowledge Base, “Do Not Disk Duplicate Installed Versions of Windows NT”, en un entorno de grupo de trabajo, la seguridad se basa en los SID de cuentas locales. Por lo tanto, si dos equipos tienen usuarios con el mismo SID, el grupo de trabajo no podrá distinguir entre los usuarios. Todos los recursos, incluidos los archivos y las claves del Registro, a los que un usuario tiene acceso, el otro también lo tendrá.

Otro caso en el que los SID duplicados pueden causar problemas es cuando hay medios extraíbles formateados con NTFS y los atributos de seguridad de la cuenta local se aplican a los archivos y directorios. Si dicho medio se mueve a una computadora diferente que tiene el mismo SID, entonces las cuentas locales que de otro modo no podrían acceder a los archivos podrían hacerlo si sus ID de cuenta coincidieran con los de los atributos de seguridad. Esto no es posible si las computadoras tienen diferentes SID.

Un artículo que ha escrito Mark, titulado “Opciones de implementación de NT”, se publicó en la edición de junio de Windows NT Magazine. Trata el problema del SID duplicado con más detalle y presenta la postura oficial de Microsoft sobre la clonación. Para ver si tiene un problema de SID duplicado en su red, use PsGetSid para mostrar los SID de la máquina.

NewSID

NewSID es un programa que se desarrolló para cambiar el SID de una computadora. Primero genera un SID aleatorio para la computadora y procede a actualizar las instancias del SID de la computadora existente que encuentra en el Registro y en los descriptores de seguridad de archivos, reemplazando las ocurrencias con el nuevo SID. NewSID requiere privilegios administrativos para ejecutarse. Tiene dos funciones: cambiar el SID y cambiar el nombre de la computadora.

Para usar la opción de ejecución automática de NewSID, especifica “/a” en la línea de comando. También puedes indicarle que cambie automáticamente el nombre de la computadora al incluir el nuevo nombre después del interruptor “/a”. Por ejemplo:

newsid /a [nuevo nombre]

Ejecutaría NewSID sin preguntar, cambiaría el nombre de la computadora a “nuevo nombre” y reiniciaría la computadora si todo va bien.

NewSid – Estableciendo el SID

Nota: Si el sistema en el que deseas ejecutar NewSID ejecuta IISAdmin, debes detener el servicio IISAdmin antes de ejecutar NewSID. Utiliza este comando para detener el servicio IISAdmin: net stop iisadmin /y

La función de sincronización de SID de NewSID que te permite especificar que, en lugar de generar uno aleatoriamente, el nuevo SID debe obtenerse de una computadora diferente

Esta funcionalidad hace posible mover un controlador de dominio de respaldo (BDC) a un nuevo dominio, ya que la relación de un BDC con un dominio se identifica porque tiene el mismo SID de computadora que los otros controladores de dominio (DC). Simplemente elija el botón “Sincronizar SID” e ingresa el nombre de la computadora de destino. Debes tener permisos para cambiar la configuración de seguridad de las claves de registro de la computadora de destino, lo que generalmente significa que debes iniciar sesión como administrador de dominio para usar esta función.

Ten en cuenta que cuando ejecutas NewSID, el tamaño del Registro aumentará, así que asegúrate de que el tamaño máximo del Registro se adapte al crecimiento. Hemos encontrado que este crecimiento no tiene un impacto perceptible en el rendimiento del sistema. La razón por la que el Registro crece es que se fragmenta a medida que NewSID aplica configuraciones de seguridad temporales. Cuando se eliminan las configuraciones, el Registro no se compacta.

Importante: ten en cuenta que, si bien hemos probado NewSID exhaustivamente, debes usarlo bajo tu propio riesgo. Al igual que con cualquier software que cambie la configuración de archivos y registros, se recomienda enfáticamente que realice una copia de seguridad completa de tu computadora antes de ejecutar NewSID.

Mover un BDC

Estos son los pasos que debes seguir cuando desees mover un BDC de un dominio a otro:

  1. Inicia el BDC que deseas mover e inicia sesión. Usa NewSID para sincronizar el SID del BDC con el PDC del dominio al que deseas mover el BDC.
  2. Reinicia el sistema para el que cambió el SID (el BDC). Dado que el dominio con el que ahora está asociado el BDC ya tiene un PDC activo, se iniciará como un BDC en su nuevo dominio.
  3. El BDC aparecerá como una estación de trabajo en el Administrador del servidor, así que usa el botón “Agregar al dominio” para agregar el BDC a su nuevo dominio. Asegúrate de especificar el botón de opción BDC al agregar.

Cómo funciona

NewSID comienza leyendo el SID de la computadora existente. El SID de una computadora se almacena en la sección SEGURIDAD del Registro en SECURITY\SAM\Domains\Account. Esta clave tiene un valor llamado F y un valor llamado V. El valor V es un valor binario que tiene el SID de la computadora incorporado al final de sus datos. NewSID asegura que este SID esté en un formato estándar (3 subautoridades de 32 bits precedidas por tres campos de autoridad de 32 bits).

A continuación, NewSID genera un nuevo SID aleatorio para la computadora. La generación de NewSID se esfuerza mucho para crear un valor de 96 bits verdaderamente aleatorio, que reemplaza los 96 bits de los 3 valores de subautoridad que componen un SID de computadora.

Siguen tres fases para el reemplazo del SID de la computadora. En la primera fase, las colmenas de SECURITY y SAM Registry se analizan en busca de apariciones del SID del equipo antiguo en valores clave, así como los nombres de las claves. Cuando el SID se encuentra en un valor, se reemplaza con el nuevo SID de computadora, y cuando el SID se encuentra en un nombre, la clave y sus subclaves se copian en una nueva subclave que tiene el mismo nombre, excepto con el nuevo SID reemplazando al antiguo.

Las dos fases finales involucran la actualización de los descriptores de seguridad. Las claves de registro y los archivos NTFS tienen seguridad asociada con ellos. Los descriptores de seguridad constan de una entrada que identifica qué cuenta posee el recurso, qué grupo es el propietario principal del grupo, una lista opcional de entradas que especifican las acciones permitidas por usuarios o grupos (conocida como Lista de control de acceso discrecional – DACL) y una lista opcional lista de entradas que especifican qué acciones realizadas por ciertos usuarios o grupos generarán entradas en el Registro de eventos del sistema (Lista de control de acceso al sistema – SACL). Un usuario o un grupo se identifica en estos descriptores de seguridad con sus SID y, como se mencionó anteriormente, las cuentas de usuario locales (aparte de las cuentas integradas como Administrador, Invitado, etc.) tienen sus SID compuestos por la computadora SID más un RID.

La primera parte de las actualizaciones del descriptor de seguridad ocurre en todos los archivos del sistema de archivos NTFS en la computadora. Cada descriptor de seguridad se escanea en busca de ocurrencias del SID de la computadora. Cuando NewSID encuentra uno, lo reemplaza con el nuevo SID de la computadora.

La segunda parte de las actualizaciones del descriptor de seguridad se realiza en el Registro. Primero, NewSID debe asegurarse de escanear todas las colmenas, no solo las que están cargadas. Cada cuenta de usuario tiene una sección de Registro que se carga como HKEY_CURRENT_USER cuando el usuario inicia sesión, pero permanece en el disco en el directorio de perfil del usuario cuando no lo está. NewSID identifica las ubicaciones de todos los subárboles de usuarios enumerando la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList, que apunta a los directorios en los que están almacenados. Luego los carga en el Registro usando RegLoadKey bajo HKEY_LOCAL_MACHINE y escanea todo el Registro, examinando cada descriptor de seguridad en busca del SID de la computadora anterior. Las actualizaciones se realizan de la misma manera que para los archivos, y cuando se realiza, NewSID descarga las secciones del usuario que cargó. Como paso final, NewSID escanea la clave HKEY_USERS, que contiene el subárbol del usuario conectado actualmente, así como el subárbol .Default. Esto es necesario porque una colmena no se puede cargar dos veces, por lo que la colmena del usuario que inició sesión no se cargará en HKEY_LOCAL_MACHINE cuando NewSID está cargando otras colmenas de usuarios.

Finalmente, NewSID debe actualizar las subclaves de ProfileList para hacer referencia a los SID de la nueva cuenta. Este paso es necesario para que Windows NT asocie correctamente los perfiles con las cuentas de usuario después de que se cambien los SID de la cuenta para reflejar el nuevo SID del equipo.

NewSID asegura que puede acceder y modificar cada archivo y clave de Registro en el sistema al otorgarse los siguientes privilegios: Sistema, Copia de seguridad, Restaurar y Tomar posesión.

Otras consideraciones

Puedes leer más información de esta utilería en el sitio de Una al día

Obtener el programa:

  • Ya no se encuentra disponible de forma oficial
  • Si lo obtienes de terceros, valida que no tenga virus o spyware en Virustotal y valida el Hash del programa descargado
    • Tamaño de archivo: 228152 bytes
    • Versión del archivo 4.10.0.0
    • Firma:
      • MD5: 73e708d1126e7af86a4ef820c24d80e4
      • SHA1: 4c64df34ef8f8faa757e1d4482486453d7425752
      • SHA256: c2f4591f7e9598ceb47cbce280180b3e104f70509dce7d1e90ca758f69d79ddd

Algunos usuarios reportan que trabaja sin problema en Windows 98 y Xp, a partir de Windows Vista se describen problemas de diversa índole. Incluso algunos usuarios reportan que no hay problema con la herramienta en Windws 7.

La alternativa que Microsoft sugiere para cambiar el SID de un sistema es SysPrep.

Referencias

Fuente Imágenes

NewSid: Imágenes cortesía by Nala Systems

NewSid by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft
©2022, Ethical Hack, Todos los derechos reservados sobre la traducción.
©2022, Ethical Hack, Todos los derechos reservados sobre el contenido propio.

Powered by – Ethical Hack

eHack Blog

Deja un comentario
Compartir
Publicado por
eHack Blog
Etiquetas: hardeninginformaciónMicrosoftNewSidseguridadsistemaSysInfoSysinternalsutileriasWindowsWinternals
2 años hace

Entradas recientes

dnsenum

El comando dnsenum es una herramienta de línea de comandos para realizar enumeración de DNS…

10 meses hace

Las 24 listas negras de IPv4 más comunes.

En esta entrada te presento 24 de las listas negras más comunes que los servidores…

1 año hace

ZoomIt – SysInternals

ZoomIt es una herramienta de anotación y zoom de pantalla para presentaciones técnicas que incluyen…

1 año hace

WinObj – SysInternals

WinObj es el visor de espacios de nombres de Object Manager definitivo. Es la primera…

1 año hace

WhoIs – SysInternals

Whois realiza el registro de registro para el nombre de dominio o la dirección IP…

1 año hace

VolumeID – SysInternals

VolumeID – Esta utilidad, le permite cambiar los identificadores de los discos FAT y NTFS…

1 año hace