1. Аутентификация пользователя при входе в систему.

При входе необходимо указать имя и пароль, они сравниваются с базой УЗ:

А) компьютеров входа при использовании пользователем локальной УЗ

Б) контроллер домена при входе под доменной УЗ

После успешной однократной аутентификации становятся доступны все ресурсы, разрешенные для данной записи.

Рассмотрим как традиционный способ – интерактивный вход в систему.

Процесс аутентификации состоит из нескольких этапов:

1. пользователь набирает Ctrl+Alt+Delete, что необходимо, даже если окно ввода пароля на экране; защищает от троянских программ, которые пытаются войти в сервер ОС и нелегально перехватить учетные данные.

2. Процесс входа в Winlogonвызывает локальный администратор безопасностиLSA

3. LSAобращается к пакету аутентификации

4. Пакет аутентификации разбит на 2 части:

????–1ая находятся накопители входа

- 2ая на компе с базой УЗ

По имени домена происходит определение, где находится база УЗ. Если она находится на определенном компе, то 1-я часть пакета аутентификации с помощью службы Netlogonпередает запрос на отдельный компьютер, где 2ая часть пакета проверяет аутентификационные данные пользователя. Этот процесс называется сквозной проверкой подлинности (passthroughautentification)

5. Саму проверку осуществляет диспетчер базы УЗ SAM, возвращает идентификатор безопасности (SID) пользователя и всех групп, в которые он входит

6. Пакет аутентификации создает сессию входа и передает ее и все идентификаторы безопасности обратно.

7. LSAпроверяет разрешен ли пользователю вход данного типа; если вход разрешен, создается маркер доступа, который содержит идентификатор пользователя и его групп и их привилегий

8. Процесс входа вызывает систему Win32 для создания процесса и присоединяет полученный марке доступа к созданному процессу, создавая субъект доступа.

9. База УЗ пользователей хранится в каталогах AD, а для аутентификации используется протокол аутентификацииKerberos.

2.Идентификатор безопасности (sid)

Создаются при создании новой УЗ, используются как уникальные идентификаторы УЗ в маркере доступа в списках контроля доступа. При переименовании УЗ SIDне меняется.

УЗ сохраняет все связанные с ними права доступа и привилегии.

При создании нового пользователя с именем ранее удаленного пользователя, ему будет сгенерирован новый SID/ Новый пользователь не получит права и привилегии ранее удаленного пользователя.

SIDсодержит несколько полей: номер версии, число подразделений ( не отображается при выводе на экран), номер ведомства (6 байт), номер номеров подразделений ( 4 байта)

Для уникальности SIDа система использует имя домена или компа, используется текущая дата и время создания базы УЗ и др. информацию.

S1-X-Y-…YN

RID(относительный идентификатор) - это SID с предопределенным последним номером подразделения.КRIDотносятся идентификаторы безопасности для всех встроенных учетных записей. S-1-5 -<домен>.

Помимо обычных уникальных SIDсуществует ещеwell-knownSID, которые являются одинаковыми для всех компов.S1-5-32-544 – соответствует встроенной группе админов. К общеизвестным относятся еще идентификаторы безопасности с предопределенным номером подразделения. Встроенная запись админа имеет все времяRID-500.

3. Маркеры и субъекты доступа. Олицетворение.

Маркер доступа

Создается LSA. Маркер должен содержать:

1. SIDпользователя и групп

2. Набор привилегий пользователя

3. SIDвладельца иDACL(дискреционный список контроля доступа)

4. Уникальный локальный идентификатор маркера, сессии и версии маркера (LUID)

5. Процессор, создавший маркер

6. Тип маркера:первичный или в результате олицетворения

7. Уровень олицетворения

8. Признак ограниченного маркера и идентификатор терминального сеанса (появился в Win2000)

Комбинация процессов (выполнение программы) и маркеры доступа образуют субъект доступа.

При доступе к объекту монитор безопасности сравнивает список контроля доступа к объекту с маркером доступа.

Если при выполнении операции необходимы привилегии XиZ, а маркер обладает привилегиямиX,Y,Z, то желательно удалить из маркера лишние правила, использовать ограниченный маркер.

Олицетворение

Winразрешает одному процессу взять атрибуты безопасности другого, посредством олицетворения (имперсонализации).

При установлении связи с сервером клиент может указать уровень олицетворения, который следует использовать серверу.

Выделяют 4 уровня:

1. SecurityAnonymous– процесс сервера не имеет права получать инфу о клиенте и олицетворяет его

2. SecurityIdentification– разрешает серверу запросить маркер доступа, связанный с клиентом, но не разрешает серверу производить олицетворение и действовать от его имени

3. SecurityImpersonation– Сервер может пользоваться всеми правами, привилегиями клиента, но не может от его имени устанавливать соединение с другим компьютером.

4. SecurityDelegation– Серверному процессу разрешено выступать от имени клиента как на локальном, так и на удаленном ПК.

4. Диспетчер уз. Назначение. Виды…

В БД УЗ рабочих станций и отдельных серверов хранятся локальные УЗ пользователей и его групп.

Она хранится в виде файла с именем SAMбез расширения (system32/config)

Доступ для обычных пользовательских программ заблокирован. WinNTв базе УЗ контроллера домена хранятся УЗ: 1) пользователей домена 2) глобальных групп 3)компьютеров домена 4) доверенных доменов

Также БД SAMсоответствует запись в реестре, который находится в веткеHCLM. Доступ на чтение и запись в данному разделу реестра по умолчанию закрыт даже админам.

В БД УЗ для каждого пользователя хранятся 16-байтовые зашифрованные по алгоритму DESхэшированные пароли:NTиLanManager. ВNTпароль хэшируется по алгоритмуMD5,аLanManager– пароль приводится к верхнему регистру, дополняется нулями до 14 символов и каждая 7-байтовая половина используется в качестве ключа шифрования специально заданного числа.

Обычно в БД УЗ хранятся оба пароля в зашифрованному виде. Есть исключение: если изменить пароль с рабочей станции Win98, сохранится толькоLanManager. Если пароль >14 символов – только парольNTсохранится. В первую очередь для сравнения используется парольNT, а уже при его отсутствии парольLanManager, что позволяет обеспечить большую безопасность при входе с компаNTи в то же время совместимость сWin98.

Шифрование и хэширование паролей производится на RID.RIDпредставляет собой автоматически увеличивающийся порядковый номер УЗ.

Т. к. RIDпользователя легко определяется, злоумышленник без проблем может получить хэш пароля пользователя, а также определить, у кого из пользователей имеются одинаковые пароли, что является недостатком, например, при совместном хранении паролей вWindows.

При формировании хэш-функции пароля используется случайное значении salt, тем самым у пользователей с одинаковым паролем будут разные хэши.