Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez az informatikai szakembernek szánt referenciatéma azt ismerteti, hogyan dolgozza fel a Windows-hitelesítés a hitelesítő adatokat.
A Windows hitelesítő adatok kezelése az a folyamat, amellyel az operációs rendszer megkapja a hitelesítő adatokat a szolgáltatástól vagy a felhasználótól, és biztosítja az adatokat a későbbi bemutatókhoz a hitelesítő cél számára. Tartományhoz csatlakoztatott számítógép esetén a hitelesítés célja a tartományvezérlő. A hitelesítéshez használt hitelesítő adatok olyan digitális dokumentumok, amelyek a felhasználó személyazonosságát a hitelesség igazolásának valamilyen formájához, például tanúsítványhoz, jelszóhoz vagy PIN-kódhoz társítják.
Alapértelmezés szerint a Rendszer a Windows hitelesítő adatait a helyi számítógépen található Security Accounts Manager (SAM) adatbázison vagy egy tartományhoz csatlakoztatott számítógépen lévő Active Directoryn keresztül érvényesíti a Winlogon szolgáltatáson keresztül. A hitelesítő adatok gyűjtése a bejelentkezési felhasználói felületen megadott felhasználói bemeneten keresztül vagy programozott módon történik az alkalmazásprogramozási felületen (API) keresztül, amelyet a hitelesítő célnak kell bemutatni.
A rendszer a helyi biztonsági adatokat a beállításjegyzékben tárolja a HKEY_LOCAL_MACHINE\SECURITYalatt. A tárolt információk közé tartoznak a szabályzatbeállítások, az alapértelmezett biztonsági értékek és a fiókadatok, például a gyorsítótárazott bejelentkezési hitelesítő adatok. A SAM-adatbázis egy példánya is itt van tárolva, bár írásvédett.
Az alábbi ábra a szükséges összetevőket és a hitelesítő adatok által a rendszeren keresztül a felhasználó vagy a folyamat sikeres bejelentkezéséhez szükséges elérési utakat mutatja be.
Az alábbi táblázat azokat az összetevőket ismerteti, amelyek a bejelentkezési ponton a hitelesítési folyamat során kezelik a hitelesítő adatokat.
Hitelesítési összetevők az összes rendszerhez
| Összetevő | Leírás |
|---|---|
| Felhasználói bejelentkezés | Winlogon.exe a biztonságos felhasználói interakciók kezeléséért felelős végrehajtható fájl. A Winlogon szolgáltatás úgy kezdeményezi a Windows operációs rendszerek bejelentkezési folyamatát, hogy átadja a biztonságos asztali felhasználói művelet által gyűjtött hitelesítő adatokat a helyi biztonsági szolgáltatónak (LSA) Secur32.dllkeresztül. |
| Alkalmazás bejelentkezése | Interaktív bejelentkezést nem igénylő alkalmazás- vagy szolgáltatás-bejelentkezések. A felhasználó által kezdeményezett folyamatok többsége felhasználói módban fut Secur32.dll, míg az indításkor indított folyamatok, például szolgáltatások, kernel módban futnak a Ksecdd.syshasználatával. A felhasználói módról és a kernel módról további információt ebben a témakörben az Alkalmazások és felhasználói mód, illetve szolgáltatások és kernel mód című témakörben talál. |
| Secur32.dll | A hitelesítési folyamat alapját képező több hitelesítésszolgáltató. |
| Lsasrv.dll | Az LSA Server szolgáltatás, amely egyaránt érvényesíti a biztonsági szabályzatokat, és az LSA biztonsági csomagkezelőjeként működik. Az LSA tartalmazza az Egyeztetés függvényt, amely az NTLM vagy a Kerberos protokollt választja ki a sikeres protokoll meghatározása után. |
| Biztonsági támogatási szolgáltatók | Olyan szolgáltatók készlete, amelyek egyenként meghívhatnak egy vagy több hitelesítési protokollt. A szolgáltatók alapértelmezett készlete a Windows operációs rendszer minden verziójával változhat, és egyéni szolgáltatók is írhatók. |
| Netlogon.dll | A Net Logon szolgáltatás által végrehajtott szolgáltatások a következők: - Fenntartja a számítógép biztonságos csatornáját (nem tévesztendő össze az Schannellel) egy tartományvezérlőn. |
| Samsrv.dll | A helyi biztonsági fiókokat tároló Security Accounts Manager (SAM) helyileg tárolt szabályzatokat kényszerít ki, és támogatja az API-kat. |
| Nyilvántartás | A beállításjegyzék tartalmazza a SAM-adatbázis másolatát, a helyi biztonsági házirend beállításait, az alapértelmezett biztonsági értékeket és a fiókinformációkat, amelyek csak a rendszer számára érhetők el. |
Ez a témakör a következő szakaszokat tartalmazza:
Hitelesítő adatok megadása a felhasználói bejelentkezéshez
A Windows Server 2008 és a Windows Vista rendszerben a grafikus azonosítás és hitelesítés (GINA) architektúrát egy hitelesítőadat-szolgáltatói modell váltotta fel, amely lehetővé tette a különböző bejelentkezési típusok számbavételét a bejelentkezési csempék használatával. Mindkét modellt az alábbiakban ismertetjük.
grafikus azonosítási és hitelesítési architektúra
A grafikus azonosítási és hitelesítési (GINA) architektúra a Windows Server 2003, a Microsoft Windows 2000 Server, a Windows XP és a Windows 2000 Professional operációs rendszerekre vonatkozik. Ezekben a rendszerekben minden interaktív bejelentkezési munkamenet a Winlogon szolgáltatás egy külön példányát hozza létre. A GINA-architektúra betöltődik a Winlogon által használt folyamattérbe, fogadja és feldolgozza a hitelesítő adatokat, és az LSALogonUseren keresztül kezdeményezi a hitelesítési felületekre irányuló hívásokat.
Az interaktív bejelentkezéshez használt Winlogon-példányok a 0. munkamenetben futnak. A 0. munkamenet rendszerszolgáltatásokat és egyéb kritikus folyamatokat üzemeltet, beleértve a Helyi Biztonsági Hatóság (LSA) folyamatot is.
Az alábbi ábra a Windows Server 2003, a Microsoft Windows 2000 Server, a Windows XP és a Microsoft Windows 2000 Professional hitelesítő adatait mutatja be.
hitelesítőadat-szolgáltató architektúrája
A hitelesítő adatokat kezelő szolgáltató architektúrája az ezen témakör elején található listában meghatározott verziókra vonatkozik. Ezekben a rendszerekben a hitelesítő adatok bemeneti architektúrája bővíthető kialakításra váltott a hitelesítő adatok szolgáltatóinak használatával. Ezeket a szolgáltatókat a biztonságos asztal különböző bejelentkezési csempéi képviselik, amelyek tetszőleges számú bejelentkezési forgatókönyvet engedélyeznek – különböző fiókokat ugyanazon felhasználóhoz és különböző hitelesítési módszereket, például jelszót, intelligens kártyát és biometrikus adatokat.
A hitelesítőadat-szolgáltató architektúrájával a Winlogon mindig elindítja a bejelentkezési felhasználói felületet, miután megkapja a biztonságos figyelemütemezési eseményt. A bejelentkezési felhasználói felület lekérdezi az egyes hitelesítő szolgáltatókat az általuk felsorolásra beállított különböző hitelesítő típusok számáról. A hitelesítő adatok szolgáltatóinak lehetősége van az egyik csempét alapértelmezettként megadni. Miután az összes szolgáltató enumerálta a csempéket, a bejelentkezési felhasználói felület megjeleníti őket a felhasználó számára. A felhasználó egy csempén keresztül megadja a hitelesítő adatait. A bejelentkezési felhasználói felület elküldi ezeket a hitelesítő adatokat hitelesítéshez.
A hitelesítő szolgáltatók nem kényszerítési mechanizmusok. Hitelesítő adatok gyűjtésére és szerializálására szolgálnak. A Helyi biztonsági hatóság és a hitelesítési csomagok biztonságot érvényesítenek.
A hitelesítő adatok szolgáltatói regisztrálva vannak a számítógépen, és a következőkért felelősek:
A hitelesítéshez szükséges hitelesítő adatok leírása.
Kommunikáció és logika kezelése külső hitelesítésszolgáltatókkal.
Hitelesítő adatok csomagolása interaktív és hálózati bejelentkezéshez.
Az interaktív és hálózati bejelentkezéshez szükséges hitelesítő adatok csomagolása magában foglalja a szerializálás folyamatát. A hitelesítő adatok szerializálásával több bejelentkezési csempe is megjeleníthető a bejelentkezési felhasználói felületen. A szervezet ezért testre szabott hitelesítőadat-szolgáltatók használatával szabályozhatja a bejelentkezési megjelenítést, például a felhasználókat, a bejelentkezési célrendszereket, a hálózathoz való bejelentkezés előtti hozzáférést és a munkaállomás zárolási/zárolási szabályzatait. Ugyanazon a számítógépen több hitelesítőadat-szolgáltató is létezhet.
Az egyszeri bejelentkezési (SSO-) szolgáltatók szabványos hitelesítőadat-szolgáltatóként vagy előzetesLogon-Access szolgáltatóként fejleszthetők.
A Windows minden verziója egy alapértelmezett hitelesítőadat-szolgáltatót és egy alapértelmezettLogon-Access-szolgáltatót (PLAP) tartalmaz, más néven SSO-szolgáltatót. Az egyszeri bejelentkezés szolgáltatója engedélyezi a felhasználóknak, hogy kapcsolatot létesítsen egy hálózathoz, mielőtt bejelentkeznek a helyi számítógépre. Amikor ezt a szolgáltatót implementálják, a szolgáltató nem sorolja fel a csempéket a bejelentkezési felületen.
Az SSO-szolgáltató a következő helyzetekben használható:
A hálózati hitelesítést és a számítógép-bejelentkezést különböző hitelesítőadat-szolgáltatók kezelik. Ennek a forgatókönyvnek a változatai a következők:
A felhasználónak lehetősége van csatlakozni egy hálózathoz, például csatlakozni egy virtuális magánhálózathoz (VPN-hez), mielőtt bejelentkezik a számítógépre, de nem szükséges a kapcsolat létrehozásához.
A helyi számítógépen az interaktív hitelesítés során használt információk lekéréséhez hálózati hitelesítés szükséges.
A több hálózati hitelesítést a többi forgatókönyv egyike követi. Egy felhasználó például hitelesít egy internetszolgáltatónál, hitelesít egy VPN-en, majd a felhasználói fiók hitelesítő adataival helyileg bejelentkezik.
A gyorsítótárazott hitelesítő adatok le vannak tiltva, és a felhasználó hitelesítéséhez a helyi bejelentkezés előtt VPN-en keresztüli távelérési szolgáltatásokra van szükség.
A tartományfelhasználók nem rendelkeznek helyi fiókkal a tartományhoz csatlakoztatott számítógépen, és vpn-kapcsolaton keresztül létre kell hozniuk egy távelérési szolgáltatásokat, mielőtt interaktív bejelentkezést végeznek.
A hálózati hitelesítést és a számítógép-bejelentkezést ugyanaz a hitelesítőadat-szolgáltató kezeli. Ebben a forgatókönyvben a felhasználónak csatlakoznia kell a hálózathoz, mielőtt bejelentkezik a számítógépre.
bejelentkezési csempe számbavételi
A hitelesítőadat-szolgáltató a következő esetekben sorolja fel a bejelentkezési csempéket:
Az operációs rendszerek számára, amelyeket a jelölt meg, a témakör elején említett listára vonatkozik.
A hitelesítőadat-szolgáltató felsorolja a munkaállomás-bejelentkezéshez szükséges csempéket. A hitelesítőadat-szolgáltató általában szerializálja a hitelesítéshez szükséges hitelesítő adatokat a helyi biztonsági szolgáltatónak. Ez a folyamat az egyes felhasználókhoz és az egyes felhasználók célrendszereihez tartozó csempéket jeleníti meg.
A bejelentkezési és hitelesítési architektúra lehetővé teszi, hogy a felhasználók a hitelesítőadat-szolgáltató által számba adott csempéket használva oldják fel a munkaállomások zárolását. Általában az aktuálisan bejelentkezett felhasználó az alapértelmezett csempe, de ha egynél több felhasználó van bejelentkezve, számos csempe jelenik meg.
A hitelesítőadat-szolgáltató enumerálja a csempéket a jelszó vagy más személyes adatok, például PIN-kód módosítására irányuló felhasználói kérésre válaszul. A jelenleg bejelentkezett felhasználó általában az alapértelmezett csempe; ha azonban egynél több felhasználó van bejelentkezve, számos csempe jelenik meg.
A hitelesítőadat-szolgáltató felsorolja a csempéket a távoli számítógépeken való hitelesítéshez használandó szerializált hitelesítő adatok alapján. A Hitelesítő felület nem ugyanazt a szolgáltatói példányt használja, mint a Bejelentkezés felhasználói felület, a Munkaállomás feloldása vagy a Jelszó megváltoztatása. Ezért az állapotinformációk nem tarthatók fenn a szolgáltatóban a hitelesítő adatok felhasználói felületének példányai között. Ez a struktúra egy csempét eredményez minden távoli számítógép-bejelentkezéshez, feltéve, hogy a hitelesítő adatok megfelelően szerializálva lettek. Ezt a forgatókönyvet a felhasználói fiókok felügyelete (UAC) is használja, amely segíthet megelőzni a számítógép jogosulatlan módosításait, ha engedélyt vagy rendszergazdai jelszót kér a felhasználótól, mielőtt engedélyezné a számítógép működését esetleg befolyásoló vagy a számítógép más felhasználóit érintő beállításokat.
Az alábbi ábra a jelen témakör elején az Vonatkozik listában kijelölt operációs rendszerek hitelesítésének folyamatát ábrázolja.
Hitelesítő adatok bevitele az alkalmazás- és szolgáltatás-bejelentkezéshez
A Windows-hitelesítés a felhasználói beavatkozást nem igénylő alkalmazások vagy szolgáltatások hitelesítő adatainak kezelésére szolgál. A felhasználói módban lévő alkalmazások korlátozottak annak függvényében, hogy milyen rendszererőforrásokhoz férhetnek hozzá, míg a szolgáltatások korlátlan hozzáféréssel rendelkezhetnek a rendszermemória és a külső eszközök számára.
A rendszerszolgáltatások és a szállítási szintű alkalmazások a Windows biztonsági támogatási szolgáltatói felületén (SSPI) keresztül férnek hozzá egy biztonsági támogatási szolgáltatóhoz (SSP), amely függvényeket biztosít a rendszeren elérhető biztonsági csomagok számbavételéhez, a csomag kiválasztásához és a csomag használatával hitelesített kapcsolat beszerzéséhez.
Ügyfél-/kiszolgálókapcsolat hitelesítése esetén:
A kapcsolat ügyféloldalán lévő alkalmazás hitelesítő adatokat küld a kiszolgálónak az SSPI függvény
InitializeSecurityContext (General)használatával.Az alkalmazás a kapcsolat kiszolgálóoldalán az SSPI függvény
AcceptSecurityContext (General)-val válaszol.Az SSPI-függvények
InitializeSecurityContext (General)ésAcceptSecurityContext (General)mindaddig ismétlődnek, amíg az összes szükséges hitelesítési üzenetet el nem cserélik a sikeres vagy sikertelen hitelesítés érdekében.A kapcsolat hitelesítése után a kiszolgálón lévő LSA az ügyfél információi alapján hozza létre a hozzáférési jogkivonatot tartalmazó biztonsági környezetet.
A kiszolgáló ezután meghívhatja a
ImpersonateSecurityContextSSPI-függvényt, hogy a hozzáférési jogkivonatot csatolja a szolgáltatás megszemélyesítési szálához.
Alkalmazások és felhasználói mód
A Windows felhasználói üzemmódja két olyan rendszerből áll, amelyek képesek I/O-kéréseket továbbítani a megfelelő kernel módú illesztőprogramoknak: a környezeti rendszer, amely számos különböző típusú operációs rendszerhez írt alkalmazásokat futtat, és az integrált rendszer, amely rendszerspecifikus funkciókat működtet a környezeti rendszer nevében.
Az integrált rendszer a környezeti rendszer nevében kezeli az operációs rendszer egyes funkcióit, és egy biztonsági rendszerfolyamatból (LSA), egy munkaállomás-szolgáltatásból és egy kiszolgálói szolgáltatásból áll. A biztonsági rendszer folyamata biztonsági jogkivonatokkal foglalkozik, engedélyeket ad vagy tagad meg a felhasználói fiókok erőforrás-engedélyek alapján való eléréséhez, kezeli a bejelentkezési kérelmeket, és kezdeményezi a bejelentkezési hitelesítést, és meghatározza, hogy az operációs rendszer mely rendszererőforrásokat kell naplóznia.
Az alkalmazások felhasználói módban is futtathatók, ahol az alkalmazás bármely szerepkör alatt futtatható, beleértve a Local System (Rendszer) biztonsági környezetét is. Az alkalmazások kernel módban is futtathatók, ahol az alkalmazás a Helyi rendszer (SYSTEM) biztonsági környezetében futtatható.
Az SSPI a Secur32.dll modulon keresztül érhető el, amely egy API, amely integrált biztonsági szolgáltatások beszerzésére szolgál a hitelesítéshez, az üzenetek integritásához és az üzenetek adatvédettségéhez. Absztrakciós réteget biztosít az alkalmazásszintű protokollok és a biztonsági protokollok között. Mivel a különböző alkalmazások különböző módszereket igényelnek a felhasználók azonosítására vagy hitelesítésére, valamint a hálózaton áthaladó adatok titkosításának különböző módjaira, az SSPI lehetővé teszi a különböző hitelesítési és titkosítási függvényeket tartalmazó dinamikus csatolású kódtárak (DLL-ek) elérését. Ezeket a DLL-eket biztonsági támogatási szolgáltatóknak (SSP-knek) nevezzük.
A felügyelt szolgáltatásfiókokat és virtuális fiókokat a Windows Server 2008 R2-ben és a Windows 7-ben vezették be, hogy olyan kulcsfontosságú alkalmazásokat biztosítsanak, mint például a Microsoft SQL Server és az Internet Information Services (IIS), a saját tartományi fiókjuk elkülönítésével, miközben nincs szükség arra, hogy a rendszergazda manuálisan kezelje a szolgáltatásnév nevét és hitelesítő adatait ezen fiókokhoz. További információ ezekről a funkciókról és a hitelesítésben betöltött szerepükről: Felügyelt szolgáltatásfiókok dokumentációja Windows 7 és Windows Server 2008 R2 és csoport által felügyelt szolgáltatásfiókok áttekintése.
Szolgáltatások és kernel mód
Bár a Legtöbb Windows-alkalmazás a felhasználó biztonsági környezetében fut, ez nem igaz a szolgáltatásokra. Számos Windows-szolgáltatást, például hálózati és nyomtatási szolgáltatást a szolgáltatásvezérlő indít el, amikor a felhasználó elindítja a számítógépet. Előfordulhat, hogy ezek a szolgáltatások helyi szolgáltatásként vagy helyi rendszerként futnak, és az utolsó emberi felhasználó kijelentkezése után is futnak.
Megjegyzés
A szolgáltatások általában helyi rendszer (SYSTEM), hálózati szolgáltatás vagy helyi szolgáltatás néven ismert biztonsági környezetekben futnak. A Windows Server 2008 R2 olyan szolgáltatásokat vezetett be, amelyek felügyelt szolgáltatásfiók alatt futnak, és tartományi főentitások.
A szolgáltatás indítása előtt a szolgáltatásvezérlő a szolgáltatáshoz kijelölt fiókkal jelentkezik be, majd bemutatja a szolgáltatás hitelesítő adatait az LSA általi hitelesítéshez. A Windows szolgáltatás egy programozott felületet implementál, amellyel a szolgáltatásvezérlő-kezelő szabályozhatja a szolgáltatást. A Windows-szolgáltatások automatikusan elindíthatók a rendszer indításakor vagy manuálisan egy szolgáltatásvezérlő programmal. Ha például egy Windows-ügyfélszámítógép csatlakozik egy tartományhoz, a számítógépen lévő üzenetküldő szolgáltatás csatlakozik egy tartományvezérlőhöz, és megnyit egy biztonságos csatornát. Hitelesített kapcsolat beszerzéséhez a szolgáltatásnak olyan hitelesítő adatokkal kell rendelkeznie, amelyeket a távoli számítógép helyi biztonsági hatósága (LSA) megbízik. A hálózat többi számítógépével való kommunikáció során az LSA a helyi számítógép tartományfiókjának hitelesítő adatait használja, valamint a helyi rendszer és hálózati szolgáltatás biztonsági környezetében futó összes többi szolgáltatást is. A helyi számítógépen lévő szolgáltatások SYSTEM-ként futnak, így a hitelesítő adatokat nem kell bemutatni az LSA-nak.
A fájl Ksecdd.sys kezeli és titkosítja ezeket a hitelesítő adatokat, és helyi eljáráshívást használ az LSA-ba. A fájl típusa DRV (illesztőprogram), és kernel módú biztonsági támogatási szolgáltatóként (SSP) ismert, és a jelen témakör elején a Applies listában kijelölt verziókban a FIPS 140-2 level 1-kompatibilis.
A kernel mód teljes hozzáféréssel rendelkezik a számítógép hardver- és rendszererőforrásaihoz. A kernel mód megakadályozza a felhasználói módú szolgáltatásokat és alkalmazásokat abban, hogy hozzáférjenek az operációs rendszer kritikus területeihez, amelyekhez nem férhetnek hozzá.
Helyi biztonsági hatóság
A Helyi biztonsági hatóság (LSA) egy védett rendszerfolyamat, amely hitelesíti és naplózza a felhasználókat a helyi számítógépen. Emellett az LSA információkat tart fenn a számítógép helyi biztonságának minden aspektusáról (ezeket a szempontokat együttesen helyi biztonsági szabályzatnak nevezzük), és különböző szolgáltatásokat nyújt a nevek és a biztonsági azonosítók (SID-k) közötti fordításhoz. A biztonsági rendszer folyamata, a Local Security Authority Server Service (LSASS) nyomon követi a számítógéprendszerre érvényes biztonsági szabályzatokat és fiókokat.
Az LSA ellenőrzi a felhasználó identitását az alapján, hogy az alábbi két entitás közül melyik adta ki a felhasználó fiókját:
Helyi biztonsági hatóság. Az LSA az ugyanazon a számítógépen található Security Accounts Manager (SAM) adatbázis ellenőrzésével ellenőrizheti a felhasználói adatokat. Bármely munkaállomás vagy tagkiszolgáló tárolhatja a helyi felhasználói fiókokat és a helyi csoportokkal kapcsolatos információkat. Ezek a fiókok azonban csak az adott munkaállomás vagy számítógép eléréséhez használhatók.
A helyi tartomány vagy egy megbízható tartomány biztonsági hatósága. Az LSA kapcsolatba lép a fiókot kiállító entitással, és ellenőrzi, hogy a fiók érvényes-e, és hogy a kérés a fióktulajdonostól származik-e.
A helyi biztonsági szolgáltató alrendszerszolgáltatása (LSASS) a hitelesítő adatokat a memóriában tárolja az aktív Windows-munkamenetekkel rendelkező felhasználók nevében. A tárolt hitelesítő adatokkal a felhasználók zökkenőmentesen hozzáférhetnek a hálózati erőforrásokhoz, például a fájlmegosztásokhoz, az Exchange Server-postaládákhoz és a SharePoint-webhelyekhez anélkül, hogy minden távoli szolgáltatáshoz újra meg kell adniuk a hitelesítő adataikat.
Az LSASS több formában is tárolhatja a hitelesítő adatokat, például:
Reverzibilisen titkosított egyszerű szöveg
Kerberos jegyek (jegykiadó jegyek (TGT-k), szolgáltatásjegyek)
NT-kivonat
LAN Manager (LM) kivonat
Ha a felhasználó intelligens kártya használatával jelentkezik be a Windowsba, az LSASS nem tárol egyszerű szöveges jelszót, hanem a fiókhoz tartozó NT kivonatértéket és az intelligens kártya egyszerű szöveges PIN-kódját tárolja. Ha az interaktív bejelentkezéshez szükséges intelligens kártyához engedélyezve van a fiókattribútum, a rendszer automatikusan létrehoz egy véletlenszerű NT-kivonatértéket a fiókhoz az eredeti jelszókivonat helyett. Az attribútum beállításakor automatikusan generált jelszókivonat nem változik.
Ha egy felhasználó a LAN Manager (LM) kivonataival kompatibilis jelszóval jelentkezik be egy Windows-alapú számítógépre, ez a hitelesítő jelen van a memóriában.
Az egyszerű szöveges hitelesítő adatok tárolása a memóriában nem tiltható le, még akkor sem, ha az őket igénylő hitelesítő adatok szolgáltatói le vannak tiltva.
A tárolt hitelesítő adatok közvetlenül a helyi biztonsági hatóság alrendszerszolgáltatásához (LSASS) tartozó bejelentkezési munkamenetekhez vannak társítva, amelyek az utolsó újraindítás után lettek elindítva, és nem lettek lezárva. A tárolt LSA-hitelesítő adatokkal rendelkező LSA-munkamenetek például akkor jönnek létre, ha a felhasználó az alábbiak bármelyikét végrehajtja:
Bejelentkezés helyi munkamenetbe vagy távoli asztali protokoll (RDP) munkamenetbe a számítógépen
Feladat futtatása a RunAs opció használatával
Aktív Windows-szolgáltatást futtat a számítógépen
Ütemezett tevékenység vagy kötegelt feladat futtatása
Feladat futtatása a helyi számítógépen távoli felügyeleti eszközzel
Bizonyos körülmények között az LSA-titkos kulcsok, amelyek olyan titkos adatdarabok, amelyek csak a SYSTEM-fiókfolyamatok számára érhetők el, a merevlemez-meghajtón vannak tárolva. Ezen titkos kódok némelyike olyan hitelesítő adatok, amelyeknek az újraindítás után is meg kell őrizniük őket, és titkosított formában vannak tárolva a merevlemez-meghajtón. Az LSA-titkos kulcsként tárolt hitelesítő adatok a következők lehetnek:
Fiókjelszó a számítógép Active Directory Tartományi Szolgáltatások (AD DS) fiókjához
Fiókjelszavak a számítógépen konfigurált Windows-szolgáltatásokhoz
Fiókjelszavak konfigurált ütemezett feladatokhoz
Fiókjelszavak az IIS-alkalmazáskészletekhez és -webhelyekhez
Microsoft-fiókok jelszavai
A Windows 8.1-ben bevezetett ügyfél operációs rendszer további védelmet biztosít az LSA számára, hogy megakadályozza a memória beolvasását és a nem védett folyamatok kódinjektálását. Ez a védelem növeli az LSA által tárolt és kezelt hitelesítő adatok biztonságát.
További információ ezekről a további védelemről: További LSA Protectionkonfigurálása.
Gyorsítótárazott hitelesítő adatok és érvényesítés
Az érvényesítési mechanizmusok a hitelesítő adatok bejelentkezéskor történő bemutatásán alapulnak. Ha azonban a számítógép leválasztva van egy tartományvezérlőről, és a felhasználó tartományi hitelesítő adatokat mutat be, a Windows a gyorsítótárazott hitelesítő adatok eljárását használja az érvényesítési mechanizmusban.
Minden alkalommal, amikor egy felhasználó bejelentkezik egy tartományba, a Windows gyorsítótárazza a megadott hitelesítő adatokat, és tárolja őket a biztonsági hive-ben a műveleti rendszer beállításjegyzékében.
Gyorsítótárazott hitelesítő adatokkal a felhasználó anélkül jelentkezhet be egy tartománytagra, hogy az adott tartományon belüli tartományvezérlőhöz csatlakozik.
Hitelesítő adatok tárolása és érvényesítése
Nem mindig célszerű egy hitelesítőadat-készletet használni a különböző erőforrásokhoz való hozzáféréshez. Előfordulhat például, hogy egy rendszergazda rendszergazdai hitelesítő adatokat szeretne használni a távoli kiszolgáló elérésekor. Hasonlóképpen, ha egy felhasználó külső erőforrásokhoz, például bankszámlához fér hozzá, csak olyan hitelesítő adatokat használhat, amelyek eltérnek a tartomány hitelesítő adataitól. A következő szakaszok a Windows operációs rendszerek és a Windows Vista és a Windows XP operációs rendszerek jelenlegi verziói közötti hitelesítő adatok kezelésének különbségeit ismertetik.
Távoli bejelentkezési hitelesítő folyamatok
A Távoli asztali protokoll (RDP) a Windows 8-ban bevezetett Távoli asztali ügyféllel kezeli a távoli számítógéphez csatlakozó felhasználó hitelesítő adatait. A rendszer egyszerű szöveges formában elküldi a hitelesítő adatokat a cél gazdagépnek, ahol a gazdagép megpróbálja végrehajtani a hitelesítési folyamatot, és ha sikeres, csatlakoztatja a felhasználót az engedélyezett erőforrásokhoz. Az RDP nem tárolja a hitelesítő adatokat az ügyfélen, de a felhasználó tartományi hitelesítő adatai az LSASS-ben vannak tárolva.
A Windows Server 2012 R2-ben és a Windows 8.1-ben bevezetett korlátozott rendszergazdai mód további biztonságot nyújt a távoli bejelentkezési forgatókönyvek számára. A Távoli asztal ezen módja miatt az ügyfélalkalmazás hálózati bejelentkezési feladatmegoldást hajt végre az NT egyirányú függvényével (NTOWF), vagy Kerberos-szolgáltatásjegyet használ a távoli gazdagéphez való hitelesítéskor. A rendszergazda hitelesítése után a rendszergazda nem rendelkezik a megfelelő fiók hitelesítő adataival az LSASS-ben, mert nem adták meg őket a távoli gazdagépnek. Ehelyett a rendszergazda rendelkezik a munkamenethez tartozó számítógépfiók hitelesítő adataival. A rendszergazdai hitelesítő adatok nincsenek megadva a távoli gazdagépnek, ezért a műveletek a számítógépfiókként lesznek végrehajtva. Az erőforrások a számítógépfiókra is korlátozódnak, és a rendszergazda nem fér hozzá a saját fiókjával rendelkező erőforrásokhoz.
Bejelentkezési hitelesítő adatok automatikus újraindítása
Amikor egy felhasználó bejelentkezik egy Windows 8.1 rendszerű eszközön, az LSA titkosított memóriába menti a felhasználói hitelesítő adatokat, amelyeket csak LSASS.exeérhet el. Amikor a Windows Update felhasználói jelenlét nélkül indítja el az automatikus újraindítást, a rendszer ezeket a hitelesítő adatokat használja az automatikus bejelentkezés konfigurálásához a felhasználó számára.
Újraindítás esetén a felhasználó automatikusan bejelentkezik az Autologon mechanizmuson keresztül, majd a számítógép zárolva van a felhasználó munkamenetének védelme érdekében. A zárolást a Winlogon kezdeményezi, míg a hitelesítő adatok kezelését az LSA végzi. Ha automatikusan bejelentkezik és zárolja a felhasználó munkamenetét a konzolon, a felhasználó zárolási képernyős alkalmazásai újraindulnak és elérhetők lesznek.
További információ az ARSO-ról megtalálható a Winlogon Automatic Restart Sign-On (ARSO)részben.
Tárolt felhasználónevek és jelszavak Windows Vista és Windows XP rendszerben
A Windows Server 2008, a Windows Server 2003, a Windows Vista és a Windows XP rendszerben a Vezérlőpulton tárolt felhasználónevek és jelszavak leegyszerűsíti a bejelentkezési hitelesítő adatok több készletének kezelését és használatát, beleértve az intelligens kártyákkal és a Windows Live hitelesítő adataival (ma Microsoft-fiók) használt X.509-tanúsítványokat. A hitelesítő adatok – a felhasználó profiljának része – mindaddig tárolódnak, amíg szükséges. Ez a művelet erőforrásonként növelheti a biztonságot azáltal, hogy biztosítja, hogy egy jelszó feltörése esetén ne veszélyeztesse az összes biztonságot.
Miután a felhasználó bejelentkezett, és megkísérli elérni a jelszóval védett további erőforrásokat, például egy kiszolgálón lévő megosztást, és ha a felhasználó alapértelmezett bejelentkezési hitelesítő adatai nem elegendőek a hozzáféréshez, a rendszer lekérdezi tárolt felhasználóneveket és jelszavakat. Ha a megfelelő bejelentkezési adatokkal rendelkező másodlagos hitelesítő adatokat Tárolt felhasználónevek és jelszavakmentette, a rendszer ezeket a hitelesítő adatokat használja a hozzáférés megszerzéséhez. Ellenkező esetben a rendszer arra kéri a felhasználót, hogy adjon meg új hitelesítő adatokat, amelyeket aztán később, a bejelentkezési munkamenetben vagy egy későbbi munkamenetben menthet újra.
A következő korlátozások érvényesek:
Ha tárolt felhasználónevek és jelszavak érvénytelen vagy helytelen hitelesítő adatokat tartalmaznak egy adott erőforráshoz, a rendszer megtagadja az erőforráshoz való hozzáférést, és nem jelenik meg a tárolt felhasználónevek és jelszavak párbeszédpanel.
tárolt felhasználónevek és jelszavak csak az NTLM, a Kerberos protokoll, a Microsoft-fiók (korábbi nevén Windows Live ID) és a Secure Sockets Layer (SSL) hitelesítéshez tárolják a hitelesítő adatokat. Az Internet Explorer egyes verziói saját gyorsítótárat tartanak fenn az alapszintű hitelesítéshez.
Ezek a hitelesítő adatok a felhasználó helyi profiljának titkosított részeivé válnak a \Documents and Settings\Username\Application Data\Microsoft\Credentials könyvtárban. Ennek eredményeképpen ezek a hitelesítő adatok a felhasználóval barangolhatnak, ha a felhasználó hálózati házirendje támogatja a barangoló felhasználói profilokat. Ha azonban a felhasználó két különböző számítógépen tárolt felhasználónevek és jelszavak másolatait, és módosítja az erőforráshoz társított hitelesítő adatokat az egyik számítógépen, a rendszer nem propagálja a módosítást tárolt felhasználónevek és jelszavak a második számítógépen.
Windows Vault és Credential Manager
A Hitelesítő adatok kezelője a Windows Server 2008 R2 és a Windows 7 vezérlőpult-funkciójaként lett bevezetve a felhasználónevek és jelszavak tárolására és kezelésére. A Hitelesítő adatok kezelője lehetővé teszi, hogy a felhasználók más rendszerekhez és webhelyekhez kapcsolódó hitelesítő adatokat tároljanak a biztonságos Windows-tárolóban. Az Internet Explorer egyes verziói ezt a funkciót használják a webhelyeken történő hitelesítéshez.
A Credential Manager használatával végzett hitelesítőadat-kezelést a helyi számítógépen lévő felhasználó vezérli. A felhasználók menthetik és tárolhatják a hitelesítő adatokat a támogatott böngészőkből és Windows-alkalmazásokból, hogy kényelmesen be tudjanak jelentkezni ezekbe az erőforrásokba. A hitelesítő adatok speciális titkosított mappákba vannak mentve a felhasználó profilja alatt a számítógépen. A funkciót támogató alkalmazások (a Credential Manager API-k használatával), például webböngészők és alkalmazások, a bejelentkezési folyamat során más számítógépeken és webhelyeken is megjeleníthetik a megfelelő hitelesítő adatokat.
Amikor egy webhely, alkalmazás vagy egy másik számítógép NTLM-en vagy Kerberos protokollon keresztül kér hitelesítést, megjelenik egy párbeszédpanel, amelyen bejelöli az alapértelmezett hitelesítő adatok frissítése vagy Jelszó mentése jelölőnégyzetet. Ezt a párbeszédpanelt, amely lehetővé teszi, hogy a felhasználó helyileg mentse a hitelesítő adatokat, egy olyan alkalmazás hozza létre, amely támogatja a Credential Manager API-kat. Ha a felhasználó bejelöli a Jelszó mentése jelölőnégyzetet, a Hitelesítő adatok kezelője nyomon követi a felhasználó felhasználónevét, jelszavát és a használt hitelesítési szolgáltatással kapcsolatos információkat.
A szolgáltatás következő használatakor a Credential Manager automatikusan biztosítja a Windows-tárolóban tárolt hitelesítő adatokat. Ha a rendszer nem fogadja el, a rendszer a megfelelő hozzáférési információkat kéri a felhasználótól. Ha a hozzáférés az új hitelesítő adatokkal van megadva, a Credential Manager felülírja az előző hitelesítő adatokat az új hitelesítő adatokkal, majd az új hitelesítő adatokat a Windows-tárolóban tárolja.
Security Accounts Manager-adatbázis
A Security Accounts Manager (SAM) egy helyi felhasználói fiókokat és csoportokat tároló adatbázis. Minden Windows operációs rendszerben jelen van; Amikor azonban egy számítógép csatlakozik egy tartományhoz, az Active Directory kezeli az Active Directory-tartományok tartományfiókjait.
Windows operációs rendszert futtató ügyfélszámítógépek például akkor is részt vesznek egy hálózati tartományban, ha egy tartományvezérlővel kommunikálnak akkor is, ha nincs bejelentkezve emberi felhasználó. A kommunikáció elindításához a számítógépnek aktív fiókkal kell rendelkeznie a tartományban. Mielőtt elfogadná a számítógépről érkező kommunikációt, a tartományvezérlő LSA-ja hitelesíti a számítógép identitását, majd ugyanúgy hozza létre a számítógép biztonsági környezetét, mint egy emberi biztonsági tag esetében. Ez a biztonsági környezet határozza meg egy felhasználó vagy szolgáltatás identitását és képességeit egy adott számítógépen, egy felhasználón, szolgáltatáson vagy számítógépen egy hálózaton. A biztonsági környezetben található hozzáférési jogkivonat például meghatározza az elérhető erőforrásokat (például fájlmegosztást vagy nyomtatót), valamint azokat a műveleteket (például olvasást, írást vagy módosítást), amelyeket az adott egyszerű felhasználó, számítógép vagy szolgáltatás hajthat végre.
A felhasználó vagy a számítógép biztonsági környezete számítógépenként eltérő lehet, például amikor egy felhasználó bejelentkezik egy kiszolgálóra vagy egy olyan munkaállomásra, amely nem a felhasználó elsődleges munkaállomása. Az egyik munkamenettől a másikig változhat, például ha a rendszergazda módosítja a felhasználó jogait és engedélyeit. Emellett a biztonsági környezet általában más, ha egy felhasználó vagy számítógép önállóan, hálózaton vagy Active Directory-tartomány részeként működik.
Helyi tartományok és megbízható tartományok
Ha két tartomány között megbízhatósági kapcsolat áll fenn, az egyes tartományok hitelesítési mechanizmusai a másik tartományból érkező hitelesítések érvényességére támaszkodnak. A megbízhatósági kapcsolatok segítenek ellenőrzött hozzáférést biztosítani az erőforrástartományban (a megbízható tartományban) lévő megosztott erőforrásokhoz annak ellenőrzéséhez, hogy a bejövő hitelesítési kérelmek megbízható szolgáltatótól (a megbízható tartománytól) érkeznek-e. Ily módon a megbízhatósági kapcsolatok hidakként működnek, amelyek lehetővé teszik, hogy csak a hitelesített hitelesítési kérések utazzanak a tartományok között.
Az, hogy egy adott megbízhatósági kapcsolat hogyan továbbítja a hitelesítési kérelmeket, attól függ, hogyan van konfigurálva. A megbízhatósági kapcsolatok lehetnek egyirányúak, ha hozzáférést biztosítanak a megbízható tartományból a megbízható tartomány erőforrásaihoz, vagy kétirányúak, ha hozzáférést biztosítanak az egyes tartományokból a másik tartomány erőforrásaihoz. A bizalmi kapcsolatok vagy nem tranzitívak, ebben az esetben a megbízhatósági kapcsolat csak a két megbízhatósági partnertartomány között létezik, vagy tranzitív, ebben az esetben a megbízhatóság automatikusan kiterjed minden más tartományra, amelyet bármelyik partner megbízik.
A hitelesítéssel kapcsolatos tartomány- és erdőmegbízhatósági kapcsolatokról további információt Delegált hitelesítés és megbízhatósági kapcsolatokcímű témakörben talál.
Tanúsítványok Windows-hitelesítésben
A nyilvános kulcsú infrastruktúra (PKI) olyan szoftverek, titkosítási technológiák, folyamatok és szolgáltatások kombinációja, amelyek lehetővé teszik a szervezet számára a kommunikáció és az üzleti tranzakciók védelmét. A PKI kommunikációs és üzleti tranzakciók védelmének képessége a hitelesített felhasználók és a megbízható erőforrások közötti digitális tanúsítványok cseréjén alapul.
A digitális tanúsítvány olyan elektronikus dokumentum, amely információkat tartalmaz a hozzá tartozó entitásról, az általa kibocsátott entitásról, egyedi sorozatszámról vagy más egyedi azonosításról, kiállítási és lejárati dátumokról, valamint digitális ujjlenyomatról.
A hitelesítés annak meghatározására szolgál, hogy egy távoli gazdagép megbízható-e. A megbízhatóság megállapításához a távoli gazdagépnek elfogadható hitelesítési tanúsítványt kell biztosítania.
Távoli házigazdák a megbízhatóságukat úgy igazolják, hogy tanúsítványt szereznek be egy hitelesítésszolgáltatótól (CA). A hitelesítésszolgáltató viszont rendelkezhet egy magasabb szintű hatóság tanúsítványával, amely bizalmi láncot hoz létre. Annak megállapításához, hogy egy tanúsítvány megbízható-e, az alkalmazásnak meg kell határoznia a legfelső szintű hitelesítésszolgáltató identitását, majd meg kell állapítania, hogy megbízható-e.
Hasonlóképpen, a távoli gazdagépnek vagy a helyi számítógépnek meg kell állapítania, hogy a felhasználó vagy alkalmazás által bemutatott tanúsítvány hiteles-e. A rendszer kiértékeli a felhasználó által az LSA-n és az SSPI-n keresztül bemutatott tanúsítvány hitelességét a helyi számítógépen a helyi bejelentkezéshez, a hálózaton vagy a tartományon az Active Directory tanúsítványtárolóin keresztül.
A tanúsítvány létrehozásához a hitelesítési adatok kivonatoló algoritmusokon, például az 1. biztonsági kivonatoló algoritmuson (SHA1) keresztül haladnak át az üzenetkivonat létrehozásához. Az üzenetkivonat ezután digitálisan alá van írva a feladó titkos kulcsával annak igazolására, hogy az üzenetkivonatot a feladó állította elő.
Megjegyzés
Az SHA1 az alapértelmezett a Windows 7 és a Windows Vista rendszerben, de a Windows 8-ban SHA2-re változott.
intelligens kártya hitelesítés
Az intelligenskártya-technológia példa a tanúsítványalapú hitelesítésre. Az intelligens kártyával történő hálózatra való bejelentkezés erős hitelesítési formát biztosít, mivel titkosításon alapuló azonosítást és birtoklási igazolást használ a felhasználó tartományhoz való hitelesítésekor. Az Active Directory Tanúsítványszolgáltatások (AD CS) az egyes intelligens kártyákhoz tartozó bejelentkezési tanúsítvány kiállításával biztosítja a titkosításon alapuló azonosítást.
Az intelligenskártya-hitelesítésről további információt a Windows smart card technical referencecímű cikkben talál.
A virtuális intelligenskártya-technológiát a Windows 8-ban vezették be. Az intelligens kártya tanúsítványát a pc-ben tárolja, majd az eszköz illetéktelen hozzáférés-ellenőrző platformmoduljának (TPM) biztonsági chipjének használatával védi. Ily módon a számítógép lesz az intelligens kártya, amelynek a hitelesítéshez meg kell kapnia a felhasználó PIN-kódját.
távoli és vezeték nélküli hitelesítés
A távoli és vezeték nélküli hálózati hitelesítés egy másik technológia, amely tanúsítványokat használ a hitelesítéshez. Az Internet Authentication Service (IAS) és a virtuális magánhálózati kiszolgálók extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP) vagy Internet Protocol Security (IPsec) használatával végeznek tanúsítványalapú hitelesítést a hálózati hozzáférés számos típusához, beleértve a virtuális magánhálózatot (VPN) és a vezeték nélküli kapcsolatokat.
A hálózatkezelés tanúsítványalapú hitelesítéséről további információt a Hálózati hozzáférés hitelesítése és a tanúsítványokcímű témakörben talál.