M04 - Bezpečnost operačního systému a síťové komunikace

1má stejná oprávnění

8

Bezpečnost operačního systému a počítačové komunikace

Obrázek 1: Lokální autentizace

(msdn.microsoft.com)

Při

interaktivním

přihlašování

MS GINA autentizuje uživatele pro-
střednictvím lokálního podsystému
zabezpečení Local Security Autority
(LSA). Autentizace probíhá voláním
funkce LSA s názvem LsaLogonUser.
Parametry funkce jsou zadané au-
tentizační údaje a požadavek na
konkrétní

autentizační

mechanis-

mus,

který

je

realizován

formou

autentizačního balíčku (authentica-
ton package). Zvolený autentizační
balíček ověří identitu uživatele a
o

výsledku

informuje

podsystém

LSA, který informaci předává zpět
modulu MS GINA.

Konkrétní autentizační mechanismus je realizován pomocí autentizačních ba-
líčků. Jejich úkolem je provést analýzu autentizačních údajů a pomocí určitého
protokolu provést ověření. Pokud je autentizace úspěšná, vzniká nová relace
přihlášení reprezentovaná jedinečným identifikátorem relace. Tuto informaci
předává autentizační balíček zpět podsystému LSA, která ji používá při sesta-
vování datové struktury označované jako bezpečnostní záznam (security token).

Základní autentizační balíček ve Windows má název MSV1 0 a je určen pro
autentizaci pomocí protokolu NTLM. Autentizaci provádí pomocí účtu a otisku
hesla (hash) uživatele. Zadané údaje ověřuje přístupem do lokální databáze
účtů SAM (Security Accounts Manager Database) nebo se obrací na řadič
domény. V případě úspěšnosti autentizace se účet a hash hesla stávají součástí
relace přihlášení a operační systém je používá při neinteraktivní autentizaci.

Modularita operačního systému Windows umožňuje operačnímu systému po-
skytovat aplikacím různé autentizační mechanismy zavedením více autentizač-
ních balíčků. Standardně systém Windows zavádí zmíněný balíček MSV1 0 a
od verze Windows 2000 také balíček Kerberos SSP/AP, který se uplatňuje při
síťové autentizaci prostřednictvím protokolu Kerberos.