Biztonsági Ifikator (sid)
felhasználóazonosításhoz bejelentkezést.
A bejáratnál meg kell adnia egy nevet és jelszót, összehasonlítják őket össze egy adatbázist US:
A) bemenet segítségével a helyi számítógép felhasználói UZ
B), amikor belépnek a tartományvezérlő a domain UZ
A sikeres hitelesítés után lesz elérhető, ha az összes erőforrás, amelyek jogosultak a bejegyzéshez.
A hitelesítési folyamat több szintből áll:
A felhasználó Ctrl + Alt + Delete, szükség van, még akkor is, ha a jelszó beviteli ablak jelenik meg a képernyőn; Védelmet nyújt a trójaiakat, akik megpróbálják adja meg a szerver operációs rendszer és az illegálisan lehallgatott adatokat.
bejelentkezési folyamat Winlogonvyzyvaet helyi rendszergazda bezopasnostiLSA
LSAobraschaetsya hitelesítési csomag
hitelesítési csomagja van osztva 2 részből áll:
-1aya beadjuk meghajtók
- Második számítógépen bázissal amerikai
Domainnév, meghatározása, ahol az ultrahang bázis. Ha ez egy adott számítógépen, az 1. rész a hitelesítési csomag a szolgáltatás révén Netlogonperedaet kérelmet külön számítógép, ahol a második része a csomagnak ellenőrzi a hitelesítési adatokat a felhasználó. Ezt a folyamatot nevezik átmenő azonosítást (passthroughautentification)
Ellenőrizze maga végzi a SAM menedzser bázis UZ, visszaadja a biztonsági azonosító (SID) a felhasználó és az összes csoport, amelyhez tartozik
Hitelesítési csomag létrehoz egy munkamenet napló, és továbbítja azt a biztonsági azonosítók vissza.
LSAproveryaet hogy a felhasználó által megadott megengedett az ilyen típusú; Ha a bemenet engedélyezve van, akkor létrehoz egy hozzáférési tokent, amely tartalmazza a felhasználói azonosítót és a csoportok és kiváltságaik
Win32 input folyamat okozza a rendszert hozzon létre egy folyamat, és tulajdonít bélyeget kapott hozzáférést a létrehozott folyamat, ami hozzáférési entitás.
Base az amerikai felhasználók tárolják AD katalógusok és autentifikatsiiKerberos protokollt használ a hitelesítéshez.
Létre, amikor létrehoz egy új ultrahang használható egyedi azonosítóként a KM a hozzáférési token a hozzáférés-vezérlési listák. Ha átnevezi az ultrahangos SIDne változásokat.
UZ megtartja minden ehhez kapcsolódó hozzáférési jogait és kiváltságait.
Amikor létrehoz egy új felhasználói nevével korábban törölt felhasználó, akkor létrehoz egy új SID / új felhasználó nem kap a jogait és kiváltságait egy korábban törölt felhasználó.
SIDsoderzhit több területen: a verziószámot, az egységek száma (nem látható a levezetése a képernyőn), osztály száma (6 bájt), szobák száma egységek (4 byte)
Egyediségét Sida rendszer a domain nevet vagy a számítógép, az aktuális dátum és idő az adatbázis az amerikai és mások. Információ.
RID (Relative Identifier) - a SID egy előre meghatározott számú utolsó podrazdeleniya.KRIDotnosyatsya SIDs valamennyi beépített fiókok. S-1-5 -<домен>.
Eltekintve a szokásos egyedi SIDsuschestvuet eschewell-knownSID, amelyek azonosak az összes kompov.S1-5-32-544 - Megfelel beépített rendszergazdák csoportja. A jól ismert SID-még mindig egy előre meghatározott Division számot. Beépített felvételi adminisztrátor minden vremyaRID-500.
3. Markers és szervezetek férhetnek hozzá. A megszemélyesítés.
Alkotó LSA. A marker kell tartalmaznia:
SIDpolzovatelya és csoportok
Egy sor felhasználói jogosultságok
SIDvladeltsa iDACL (diszkrecionális Access Control List)
Egyedülálló hazai token azonosító és a műveleti változata marker (LUID)
A processzor létrehoz egy token
Marker Típus: Elsődleges vagy megszemélyesítés
A kombináció a folyamatok (a program) és a hozzáférési markerek képezik tárgyát hozzáférési.
Ha az objektum elérését biztonsági monitor le a hozzáférés-vezérlési lista az objektum a hozzáférési tokent.
Ha lépésben XiZ szükséges kiváltságokat, valamint a jelölő privilegiyamiX, Y, Z, kívánatos, hogy távolítsa el a marker extra szabályok egy korlátozott marker.
Winrazreshaet egy folyamat, hogy más biztonsági attribútumok keresztül megszemélyesítés (impersonalizatsii).
Amikor a szerverrel való kommunikáció az ügyfél határozza meg a szintet, hogy a szerver megszemélyesítés kell használni.
4 szint:
SecurityAnonymous- szerver folyamat nem rendelkezik a jogot, hogy megkapja a régi ügyfél, és képviseli a
SecurityIdentification- lehetővé teszi, hogy a szerver kérjen egy hozzáférési tokent, ami jár az ügyfél, de nem teszi lehetővé a szerver, hogy a megszemélyesítés és a nevében eljárni
SecurityImpersonation- szerver jogokat élvezik a kiváltságokat a kliens, de nem annak nevében kapcsolatot létesíteni egy másik számítógéppel.
SecurityDelegation- kiszolgáló folyamatok szabad beszélni nevében az ügyfél mind a helyi és a távoli PC-k.
4. A menedzser kapcsolatokat. Kinevezés. Típusok ...
Az adatbázis az amerikai munkaállomások és kiszolgálók külön tartják a helyi ultrahang felhasználókat és csoportokat.
Ez tárolja a fájl neve SAMbez expanziós (system32 / config)
Hozzáférés a hétköznapi felhasználói programok blokkolva van. WinNTv a tartományvezérlő ultrahangos tárolt ultrahangos: 1) Domain Felhasználók 2) 3 globális csoportokat) domént számítógépek 4) megbízható domainek
Szintén SAMsootvetstvuet adatbázis bejegyzést a registry, ami vetkeHCLM. Hozzáférés az olvasás és írás, ebben a szakaszban az alapértelmezett jegyzékkezelőket még zárt.
Az adatbázis minden felhasználó UZ üzletek 16 bájtos kódolt algoritmus DESheshirovannye jelszavak: NTiLanManager. VNTparol kivonatolt által algoritmuMD5, aLanManager- megadott jelszó nagybetűs, párnázott nullákkal 14 karakter, és minden 7-os felét használják ki titkosítási kulcsot kifejezetten megadott számot.
Általában ultrahang adatbázis tárolja mind jelszavakat titkosított formában. Van egy kivétel: ha megváltoztatja a jelszót a munkaállomás Win98, továbbra tolkoLanManager. Ha a jelszó> 14 karakter - csak parolNTsohranitsya. Elsősorban az összehasonlításhoz használt parolNT, és már az ő távollétében parolLanManager, amely biztosítja a nagyobb biztonság a bejáratnál, hogy a kompaNTi míg sWin98 kompatibilitás.
Titkosítás és tördeljük jelszavakat készül egy RID.RIDpredstavlyaet automatikusan növekvő sorszám KM.
T. k. RIDpolzovatelya könnyen meghatározható, a támadó képes a felhasználó jelszó hash gond nélkül, és hogy melyik a felhasználók ugyanazt a jelszót, ami hátrány, például a közös felügyeleti vWindows jelszavakat.
A formáció a jelszó hash függvény egy véletlen érték só, így a felhasználó azonos jelszó hash más lesz.