O mito da duplicação de SIDs

O excelente blog do Mark Russinovich (é verdade, sou fã do cara, é um dos maiores conhecedores do Windows no mundo, não é à toa que a Microsoft contratou) traz um artigo que desfaz aquela idéia de que clonar máquinas com Windows instalado causa problemas graves. Não é que não haja nenhum problema, mas os problemas que podem advir da duplicação de SIDs são muito menos graves do que imaginávamos. Transcrevo abaixo trecho do artigo, mas recomendo fortemente a leitura, que apesar de longa, é muito instrutiva, como todos os textos do Mark.

So is having multiple computers with the same machine SID a problem?
The only way it would be is if Windows ever references the machine SIDs
of other computers. For example, if when you connected to a remote
system, the local machine SID was transmitted to the remote one and
used in permissions checks, duplicate SIDs would pose a security
problem because the remote system wouldn’t be able to distinguish the
SID of the inbound remote account from a local account with the same
SID (where the SIDs of both accounts have the same machine SID as their
base and the same RID). However as we reviewed, Windows doesn’t allow
you to authenticate to another computer using an account known only to
the local computer. Instead, you have to specify credentials for either
an account local to the remote system or to a Domain account for a
Domain the remote computer trusts. The remote computer retrieves the
SIDs for a local account from its own Security Accounts Database (SAM)
and for a Domain account from the Active Directory database on a Domain
Controller (DC). The remote computer never references the machine SID
of the connecting computer.

In other words, it’s not the SID
that ultimately gates access to a computer, but an account’s user name
and password: simply knowing the SID of an account on a remote system
doesn’t allow you access to the computer or any resources on it.  As
further evidence that a SID isn’t sufficient, remember that built-in
accounts like the Local System account have the same SID on every
computer, something that would be a major security hole if it was.

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!