NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 操作系统 .: Microsoft Windows Server .: Windows Server 2003、Windows XP 和 Windows 2000 中缓存凭据的安全性

Windows Server 2003、Windows XP 和 Windows 2000 中缓存凭据的安全性

Windows Server 2003、Windows XP 和 Windows 2000 中缓存凭据的安全性

了解密码缓存
基于 Windows 的计算机使用两种密码缓存形式:域凭据和一般凭据。
域凭据
域凭据由操作系统组件使用,由本地安全机构 (LSA) 进行验证。通常,域凭据是当注册的安全数据包对用户的登录数据进行验证时为用户创建的。该注册的安全程序包可以是 Kerberos 协议或 NTLM。
一般凭据
一般凭据由直接管理授权和安全性(而不是将这些任务委派给操作系统)的程序进行定义和验证。例如,某个程序可能要求用户输入该程序提供的用户名和密码。或者,某个程序可能要求用户生成一个证书以访问某个网站。

程序使用凭据管理功能来提示用户输入由该程序定义的凭据。这些凭据可以采用用户名、密码、证书或智能卡等形式。用户输入的凭据返回给程序以供验证。

通过凭据管理可以自定义缓存管理。凭据管理还为一般凭据提供长期存储。用户进程可以读取和写入一般凭据。
 回到顶端

凭据管理器
Windows XP Professional 和 Windows Server 2003 包括一项“存储的用户名和密码”功能,该功能也提供凭据管理功能。根据不同的验证类型,该功能可以保存用户凭据以便以后重复使用。

凭据管理器可以安全地存储用户凭据。这些凭据包括密码和 X.509 证书。凭据管理器使漫游用户和非漫游用户仅需提供一次凭据。例如,用户在公司网络上第一次运行某个程序时,需要进行验证。因此,该程序会提示用户提供凭据。在用户提供这些凭据之后,这些凭据会一直与该程序保持关联。

缓存域凭据提供的功能
缓存域凭据提供以下功能: • 单一登录
单一登录 (SSO) 使用在交互式域登录过程中收集的凭据,以允许用户仅需接受一次网络验证。此后,用户无需再次提供凭据,便可访问所有授权的网络资源。这些网络资源的范围可以从硬件设备到程序、文件及其他类型的数据。所有这些资源可能分布在整个企业中各种类型的服务器上。资源可能在不同的域中,也可能在不同的操作系统中。
• 在域控制器不可用时访问计算机资源
成功登录域之后,将缓存登录信息表单。以后,即使验证用户的域控制器不可用,用户也可以通过使用域帐户登录计算机。由于该用户已经过验证,因此 Windows 使用缓存凭据让该用户本地登录。例如,假设某个移动用户使用域帐户登录到加入了某个域的便携式计算机。随后,该用户将便携式计算机带至无法访问该域的地方。在这种情况下,Windows 使用上次登录的缓存凭据让用户本地登录,并分配对本地计算机资源的访问权限。


缓存域凭据的安全性
“缓存凭据”这个术语并不能准确描述 Windows 缓存域登录的登录信息的过程。在 Windows 2000 和更高版本的 Windows 中,系统并不缓存用户名和密码,而是存储密码的加密验证程序。该验证程序是计算两次的经 Salt 处理的 MD4 哈希。两次计算能有效地使验证程序成为用户密码哈希的哈希。该行为与 Microsoft Windows NT 4.0 和更早的 Windows NT 版本的行为不同。

如果攻击者尝试对验证程序进行密码分析攻击,则该加密会有两种结果:
• 必须为每个 Salt 创建预编译的表。
• 该验证程序无法用于在任何其他地方登录。

缓存域凭据的安全注意事项
删除凭据缓存
无论使用哪一种加密算法来加密密码验证程序,密码验证程序都可以被覆盖,这使得攻击者可以作为验证程序所属的用户通过验证。因此,管理员的密码可能被覆盖。该过程要求物理上访问计算机。现在存在可帮助覆盖缓存验证程序的实用程序。通过使用这些实用程序之一,攻击者可以使用被覆盖的值来通过验证。

覆盖管理员密码不会帮助攻击者访问通过使用密码加密的数据。另外,覆盖密码不会帮助攻击者访问属于该计算机上的其他用户的任何加密文件系统 (EFS) 数据。覆盖密码不会帮助攻击者替换验证程序,原因是基本密钥内容不正确。因此,将无法对通过使用加密文件系统或数据保护 API (DPAPI) 加密的数据进行解密。


这篇文章对你多有用?

相关文章

article Windows Server 2003、Windows XP 和 Windows 2000 中缓存凭据的安全性
Windows Server 2003、Windows XP 和 Windows 2000...

(No rating)  11-30-2006    Views: 3599   
article 更改 Windows Server 2003 或 Windows 2000 Server 证书颁发机构所签发证书的终止日期
默认情况下,独立证书颁发机构 CA...

(No rating)  6-29-2011    Views: 1232   
article 将 Windows 2000 域控制器升级到 Windows Server 2003

(No rating)  12-21-2009    Views: 1490   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited