Autentificarea utilizatorului la autentificare.
Când vă conectați, trebuie să specificați un nume și o parolă, acestea sunt comparate cu baza SUA:
A) calculatoarele de intrare atunci când utilizatorul utilizează KM local
B) controlerul de domeniu la intrarea în domeniul KM
După o autentificare de o singură dată, toate resursele care sunt permise pentru această intrare sunt disponibile.
Procesul de autentificare constă în mai mulți pași:
utilizatorul Ctrl + Alt + Delete, care este necesar, chiar dacă caseta de introducere a parolei este pe ecran; protejează împotriva programelor de tip troian care încearcă să intre pe serverul de operare și să-i intercepteze acreditările ilegale.
Procesul de conectare din Winlogon invocă administratorul local de securitate LSA
LSA se referă la pachetul de autentificare
Pachetul de autentificare este împărțit în două părți:
Primele sunt unitățile de intrare
- Al doilea pe un computer cu baza SUA
După numele domeniului, se face o definiție a locului în care se află baza SUA. Dacă se află pe un anumit computer, atunci prima parte a pachetului de autentificare cu serviciul Netlogon trimite o cerere către un computer separat, unde a doua parte a pachetului verifică datele de autentificare ale utilizatorului. Acest proces se numește autentificare end-to-end (passthroughautentification)
Verificarea este efectuată de către managerul bazei SAM SAM, returnează identificatorul de securitate (SID) al utilizatorului și toate grupurile din care acesta aparține
Pachetul de autentificare creează sesiunea de conectare și o transmite înapoi și toate ID-urile de securitate înapoi.
LSA verifică dacă utilizatorul are permisiunea de a intra în acest tip; dacă intrarea este activată, este creat un jeton de acces care conține identificatorul utilizatorului și grupurile acestuia și privilegiile acestuia
Procesul de conectare solicită sistemului Win32 să creeze procesul și să adauge marca de acces la procesul creat, creând entitatea de acces.
Baza de date a utilizatorilor este stocată în directoare AD, iar autentificarea Kerberos este utilizată pentru autentificare.
Acestea sunt create atunci când se creează un nou SUA, sunt folosite ca identificatori unici ai SUA în lista de control al accesului din listele de control al accesului. Când redenumiți SID-ul, SID-ul nu se schimbă.
UT salvează toate drepturile și privilegiile de acces asociate.
Atunci când creați un utilizator nou cu numele unui utilizator șters anterior, acesta va genera un nou SID / Noul utilizator nu va obține drepturile și privilegiile unui utilizator șters anterior.
SID conține mai multe câmpuri: numărul versiunii, numărul de unități (nu se afișează când este afișat), numărul departamentului (6 octeți), numărul de subdiviziuni (4 octeți)
Pentru unicitatea SID, sistemul utilizează numele de domeniu sau computerul, se utilizează data și ora curente de creare a bazei de date a SUA și alte informații.
RID (Identifier relativ) este un SID cu un număr de departament predefinit. CRID-urile sunt identificatorii de securitate pentru toate conturile integrate. S-1-5 -<домен>.
În plus față de SID-ul unic obișnuit, există și un SID binecunoscut, care este același pentru toate computerele. S1-5-32-544 corespunde grupului de administratori încorporați. Pentru cei cunoscuți sunt de asemenea identificatori de securitate cu un număr predefinit de diviziune. Registrul încorporat al administratorului are tot timpul RID-500.
3. Marcatori și subiecte de acces. Uzurparea identității.
Se creează un LSA. Marcatorul trebuie să conțină:
SIDUser și Grupuri
Setarea privilegiilor utilizatorilor
Proprietar SID și DACL (listă discretă de control al accesului)
Un identificator local unic pentru token, sesiune și versiune a tokenului (LUID)
Procesorul care a creat jetonul
Tipul de marcator: primar sau ca urmare a impersonării
Combinația de procese (execuție de program) și token-uri de acces formează entitatea de acces.
Când accesați un obiect, monitorul de securitate compară lista de control al accesului cu obiectul cu jetonul de acces.
Dacă operația necesită privilegii XiZ și tokenul are privilegii X, Y, Z, atunci este de dorit să eliminați regulile suplimentare de pe marker, utilizați un token limitat.
Win rezolvă un proces pentru a lua atributele securității celuilalt, prin impersonare.
Atunci când comunică cu serverul, clientul poate specifica nivelul de impersonalizare pe care ar trebui să îl utilizeze serverul.
Există 4 nivele:
SecurityAnonymous - procesul serverului nu are dreptul de a primi informații despre client și îl personifică
SecurityIdentification-Permite serverului să solicite un jeton de acces asociat clientului, dar nu permite serverului să se impersoneze și să acționeze în numele său
SecurityImpersonation- Serverul poate folosi toate drepturile, privilegiile clientului, dar nu se poate conecta la acesta pe alt computer în numele său.
SecurityDelegation - Procesul serverului este permis să acționeze în numele clientului atât pe PC-urile locale, cât și pe cele de la distanță.
4. Nodurile dispeceratului. Numirea. Tipuri ...
În baza de date a stațiilor de lucru din SUA și a serverelor individuale, utilizatorii UZ locali și grupurile lor sunt stocate.
Este stocat ca un fișier numit SAM fără extensie (system32 / config)
Accesul pentru programele de utilizator obișnuit este blocat. WinNT în baza controlerului de domeniu ultrasonic sunt stocate de SUA: 1) utilizatori de domeniu 2) grupuri globale 3) computere de domeniu 4) domenii de încredere
De asemenea, baza de date SAM corespunde unei înregistrări din registru care se află în sucursala HCML. Accesul la citire și scriere în această secțiune a registrului este închis în mod implicit, chiar și pentru administratori.
În baza de date US pentru fiecare utilizator sunt stocate 16 octeți criptate de parolele DEShashed: NT și LANManager. VNTparol trunchiate de algoritmuMD5, parola aLanManager- dată în litere mari, căptușit cu zerouri la 14 caractere și fiecare jumătate de 7-byte este utilizat ca o cheie de criptare dat în mod specific numărul.
De obicei, ambele parole sunt criptate în baza de date. Există o excepție: dacă schimbați parola de la stația de lucru Win98, numai LenManager va fi salvat. Dacă parola> 14 caractere - numai parola NT va fi salvată. În primul rând, NTN este folosit pentru comparație și chiar dacă nu există un parolaLanManager, care permite asigurarea unei securități sporite la intrarea în companie și, în același timp, compatibilitatea cu Win98.
Criptarea și ștergerea parolelor se efectuează pe RID. RID este un număr de serie în creștere din SUA.
T. k. RIDpolzovatelya determinată cu ușurință, atacatorul poate obține parola hash utilizatorului fără probleme, și pentru a determina care dintre utilizatori au aceeași parolă, care este un dezavantaj, de exemplu, în parole vWindows custodie comună.
Când se generează o funcție de hash cu parolă, se folosește o valoare aleatoare a sarei, astfel utilizatorii cu aceeași parolă vor avea diferite hashesuri.