- •Тема: " Идентификация и аутентификация в операционных системах Windows"
- •1.Этапы идентификации и аутентификации пользователя, реализуемые ос Windows
- •1. Идентификация
- •2. Аутентификация
- •3 Авторизация
- •4.Отчетность
- •Локальная и доменная регистрация
- •2. Протоколы аутентификации Windows Задачи протоколов аутентификации Windows
- •Протоколы аутентификации Windows
- •Протоколы lan Manager и nt
- •Протокол ntlm
- •Протоколы ntlMv1 и ntlMv2
2. Протоколы аутентификации Windows Задачи протоколов аутентификации Windows
Протокол аутентификации должен выполнять по крайней мере две задачи. Во-первых, он должен безопасно передавать транзакции от запросчика в базу данных аутентификации. Во-вторых, он должен безопасно и надежно хранить пароль.
Протокол аутентификации должен защитить введенную пользователем информацию при пересылке в базу данных аутентификации (т.е. SAM или AD). Для этого протокол подписывает, скрывает или шифрует транзакцию. Кроме того, используется временная метка, чтобы взломщик не мог воспользоваться учетными данными в будущем. Чтобы не позволить взломщику извлечь пароль пользователя из базы данных, протокол должен обеспечить скрытное хранение паролей в базе данных аутентификации.
Протоколы аутентификации обеспечивают защиту путем хранения паролей в скрытой форме (обычно хешированной) в базе данных аутентификации и путем полного запрета на передачу паролей между запросчиком и базой данных аутентификации даже в скрытой форме.
Процесс запрос-ответ выглядит следующим образом:
Компьютер получает данные для идентификации и аутентификации от пользователя и запрашивает аутентификацию на соответствующем сервере.
Сервер аутентификации генерирует случайное произвольное значение (называемое запросом – challenge) и посылает его запросчику.
Запросчик получает запрос и производит над ним и скрытой формой пароля математические операции, а затем передает результат (называемый ответом – response) серверу аутентификации.
Сервер аутентификации также выполняет математические манипуляции с запросом методом, идентичным используемому на рабочей станции, и сравнивает результат с полученным ответом. Если результаты совпадают, то запросчик считается успешно аутентифицированным.
В протоколах аутентификации используется процесс запрос-ответ, поэтому пароль никогда не передается через сеть.
Протоколы аутентификации Windows
В Windows применяются следующие протоколы аутентификации: LAN Manager, NT, NTLM, NTLMv1, NTLMv2 и Kerberos.
Основными протоколами сетевой аутентификации в ОС Windows являются: Kerberos, NTLMv1 и NTLMv2. Протокол Kerberos применяется только для аутентификации в домене Active Directory. Он является международным стандартом и достаточно хорошо описан.
По умолчанию все компьютеры с операционными системами Windows 2000 и более новыми операционными системами (XP/Vista/Seven/Server 2003-2008 R2) совместимы со всеми протоколами аутентификации.
Передавая соответствующие команды, другие рабочие станции и сервера могут выбирать протокол для обработки запроса аутентификации.
Протокол Kerberos может использоваться только клиентами начиная с Windows 2000 (и более новыми) при обращениях в домены Windows 2000 (и выше).
Исследования в области безопасности показали, что более старые протоколы (LM, NT и NTLM) уязвимы в случае прослушивания и в случае атак с применением «грубой силы».
Поэтому, рекомендуется использовать только протоколы Kerberos и NTLMv2. Чтобы убедиться в правильности этого, следует оценить возможности каждого протокола.