Использование пакетов безопасности
Интерфейс поставщика поддержки безопасности (SSPI) можно использовать со следующими пакетами безопасности:
Протоколы Kerberos и NTLM реализуются в виде пакетов безопасности от поставщика Secur32.dll поддержки безопасности (SSP), поставляемого вместе с операционной системой. По умолчанию поддержка проверки подлинности Kerberos и NTLM загружается локальным центром безопасности (LSA) на компьютере при запуске системы. В доменах Windows Server или Windows любой пакет можно использовать для проверки подлинности сетевых входов и подключений клиента или сервера. Какой из них используется, зависит от возможностей компьютера на другой стороне подключения. Протокол Kerberos всегда предпочтителен, если он доступен.
После установки контекста безопасности для интерактивного пользователя другой экземпляр пакета Kerberos или NTLM может быть загружен процессом, выполняющимся в контексте безопасности пользователя для поддержки обмена, подписывания, проверки, шифрования и расшифровки сообщений. Однако никакому процессу, кроме LSA, никогда не разрешен доступ к ключам сеанса или билетам в кэше учетных данных.
Системные службы и приложения на уровне транспорта обращаются к поставщику общих служб через SSPI, который предоставляет функции для перечисления пакетов безопасности, доступных в системе, выбора пакета и использования этого пакета для получения подключения с проверкой подлинности.
Методы в SSPI — это универсальные подпрограммы, которые разработчики могут использовать, не зная подробностей конкретного протокола безопасности. Например, при проверке подлинности подключения клиента или сервера:
- Приложение на стороне клиента подключения отправляет учетные данные на сервер с помощью функции SSPI InitializeSecurityContext (General) .
- Приложение на стороне сервера подключения отвечает функцией SSPI AcceptSecurityContext (General) .
- После проверки подлинности подключения LSA на сервере использует сведения от клиента для создания маркера доступа.
- Затем сервер может вызвать функцию SSPI ImpersonateSecurityContext , чтобы подключить маркер доступа к потоку олицетворения для службы.
Пакет безопасности Kerberos
Пакет безопасности Kerberos основан на протоколе проверки подлинности Kerberos.
Если протокол Kerberos используется для проверки подлинности подключения клиента или сервера, InitializeSecurityContext (Kerberos) создает сообщение GSSAPI, содержащее KRB_AP_REQ сообщение от клиента. Затем AcceptSecurityContext (Kerberos) создает сообщение GSSAPI, включающее KRB_AP_REP сообщение с сервера.
Общие сведения о шагах, которые происходят в фоновом режиме при реализации протокола Kerberos, см. в статье Microsoft Kerberos.
Все распределенные службы используют SSPI для доступа к протоколу Kerberos. Частичный список способов использования протокола Kerberos для проверки подлинности включает:
- Службы очереди печати печати
- Удаленный доступ к файлам CIFS/SMB
- Запросы LDAP к Active Directory
- Управление распределенной файловой системой и рекомендации
- Проверка подлинности центра безопасности между узлами IPsec
- Запросы на резервирование для качества обслуживания сети
- Проверка подлинности в интрасети в службах IIS
- Удаленное управление сервером или рабочей станцией с помощью RPC с проверкой подлинности
- Запросы сертификатов к службам сертификатов для пользователей домена и компьютеров
Пакет безопасности NTLM
Пакет безопасности NTLM основан на протоколе проверки подлинности NTLM.