windows系统安全5(身份验证).ppt

第五章：身份认证第五章：身份认证l身份认证概述身份认证概述l交互式登录交互式登录l网络身份验证网络身份验证l安全套接字安全套接字l针对验证的攻击（网络）针对验证的攻击（网络）身份认证概述身份认证概述l对用户身份进行验证，认证能防止攻击者对用户身份进行验证，认证能防止攻击者假冒合法用户获取访问权限假冒合法用户获取访问权限访问控制用户身份认证资源授权数据库审计数据库用户访问资源过程用户访问资源过程认证的主要依据认证的主要依据l1 1 口令：主体了解的秘密，如口令口令：主体了解的秘密，如口令l2 2 智能卡：主体携带的物品智能卡：主体携带的物品l3 3 生物特征：如指纹、声音、视网膜，血生物特征：如指纹、声音、视网膜，血 管分布图或签字等管分布图或签字等l其他其他 ：：IPIP地址，特定场所（也可能是特定地址，特定场所（也可能是特定 时间）提供证据时间）提供证据 ，，验证者认可某一验证者认可某一 已经通过认证的可信方已经通过认证的可信方身份认证概述身份认证概述l 基于口令认证的攻击基于口令认证的攻击Ø字典攻击字典攻击Ø穷举攻击穷举攻击Ø窥探窥探 ，社交工程，社交工程 ，， 垃圾搜索垃圾搜索Ø窃听窃听Ø截取截取/重放重放 基于口令的认证基于口令的认证 l对口令的攻击对口令的攻击 1 1Ø字字典典攻攻击击：：根根据据调调查查结结果果可可知知，，大大部部份份的的人人为为了了方方便便记记忆忆选选用用的的密密码码都都与与自自己己周周遭遭的的事事物物有有关关，，例例如如：：身身份份证证字字号号、、生生日日、、车车牌牌号号码码、、在在办办公公桌桌上上可可以以马马上上看看到到的的标标记记或或事事物物、、其其他他有有意意义义的的单单词词或或数数字字，，某某些些攻攻击击者者会会使使用用字字典典中中的的单单词来尝试用户的密码。

词来尝试用户的密码Ø穷穷举举攻攻击击(Brute (Brute Force)Force)：：也也称称蛮蛮力力破破解解这这是是一一种种特特殊殊的的字字典典攻攻击击，，它它使使用用字字符符串串的的全全集集作作为字典为字典 基于口令的认证基于口令的认证 l对口令的攻击对口令的攻击 2 2Ø窥窥探探：：攻攻击击者者利利用用与与被被攻攻击击系系统统接接近近的的机机会会，，安安装装监监视视器器或或亲亲自自窥窥探探合合法法用用户户输输入入口口令令的的过过程程，，以以得得到口令 Ø社社交交工工程程：：比比如如冒冒充充是是处处长长或或局局长长骗骗取取管管理理员员信信任任得得到到口口令令等等等等冒冒充充合合法法用用户户发发送送邮邮件件或或打打电话给给管理人员，安装木马以骗取用户口令等管理人员，安装木马以骗取用户口令等Ø垃垃圾圾搜搜索索：：攻攻击击者者通通过过搜搜索索被被攻攻击击者者的的废废弃弃物物，，得得到到与与攻攻击击系系统统有有关关的的信信息息，，如如用用户户将将口口令令写写在在纸纸上上又随便丢弃又随便丢弃 基于口令的认证基于口令的认证 l对抗字典攻击和穷举攻击对抗字典攻击和穷举攻击1)1) 认证过程有一定的时延，增大穷举尝试的难度认证过程有一定的时延，增大穷举尝试的难度2)2)安全口令安全口令 Ø（（1 1）位数）位数>6>6位。

位Ø（（2 2））大大小小写写字字母母混混合合如如果果用用一一个个大大写写字字母母，，既既不不要要放在开头，也不要放在结尾放在开头，也不要放在结尾Ø（（3 3）可以把数字无序的加在字母中可以把数字无序的加在字母中Ø（（4 4））系系统统用用户户一一定定用用8 8位位口口令令，，而而且且包包括括～～!@!@＃＃＄＄％％^ ^＆＊＆＊<>?:"{}<>?:"{}等特殊符号等特殊符号  不安全口令（字典攻击和穷举攻击）不安全口令（字典攻击和穷举攻击） Ø（（1 1）使用用户名（帐号）作为口令）使用用户名（帐号）作为口令 Ø（（2 2）用用户名（帐号）的变换形式作为口令用用户名（帐号）的变换形式作为口令 Ø（（3 3）使用自己或者亲友的生日作为口令使用自己或者亲友的生日作为口令 Ø（（4 4）使用常用的英文单词作为口令使用常用的英文单词作为口令 例：例：猜测口令字猜测口令字的攻击的攻击 获取认证密码获取认证密码l方法：方法：Ø弱口令扫描弱口令扫描：：最简单的方法，入侵者通过扫描大量主机，最简单的方法，入侵者通过扫描大量主机，从中找出一两个存在弱口令的主机从中找出一两个存在弱口令的主机Ø暴力破解暴力破解：：密码的终结者，获取密码只是时间问题，例密码的终结者，获取密码只是时间问题，例如本地暴力破解，远程暴力破解。

如本地暴力破解，远程暴力破解•扫描原理扫描原理 扫描器可以检测远程主机和本地系统的安全性扫描器可以检测远程主机和本地系统的安全性(两两者有区别者有区别)，分别被称为外部扫描和内部扫描分别被称为外部扫描和内部扫描Ø外部扫描：外部扫描：针对远程主机开放的端口与服务进针对远程主机开放的端口与服务进行探测Ø内部扫描：内部扫描：以系统管理员的权限在本地机上运以系统管理员的权限在本地机上运行，记录系统配置中的各项主要参数，分析配行，记录系统配置中的各项主要参数，分析配置上存在的漏洞置上存在的漏洞扫描器名扫描器名称称参数设置参数设置速度速度扫描扫描结果结果准确准确性性特点特点X-Scan扫描全部项目，线扫描全部项目，线程程100，最大并发，最大并发主机主机10台，跳过台，跳过Ping 不通的主机不通的主机最慢最慢最全最全面面最准最准确确扫描彻底，提扫描彻底，提供漏洞描述和供漏洞描述和利用程序；提利用程序；提供供TCP和和SYN两种扫描方式两种扫描方式流光流光扫描全部项目，线扫描全部项目，线程程100，进行，进行Ping检查检查最快最快比较比较全面全面比较比较准确准确能够控制肉鸡能够控制肉鸡代理扫描，自代理扫描，自带多种入侵工带多种入侵工具，有字典生具，有字典生成工具成工具X-WAY扫描全部项目，线扫描全部项目，线程程50，扫描前，扫描前Ping 比较比较快快最差最差最差最差支持代理扫描；支持代理扫描；自带多种攻击自带多种攻击工具；有嗅探工具；有嗅探功能功能•三种综合扫描器比较三种综合扫描器比较Ø1 选择检测范围选择检测范围Ø2 选择扫描模块选择扫描模块1 弱口令扫描弱口令扫描l注意：注意： X-scan也可以挂上也可以挂上 字典文件例如：Administrator ,admin ,root :NULL ,password ,administrator, admin, root, system, macine_name(机器名机器名)、、domain_name(域名域名)、、workgroup_name(工作组名工作组名)2 暴力破解：暴力破解：Ø暴力破解所需要的只是一个安排暴力破解所需要的只是一个安排合理地字典文件合理地字典文件和和充足充足的时间的时间Ø通过了解入侵者使用何种工具，可帮助网管员使用更强通过了解入侵者使用何种工具，可帮助网管员使用更强壮的密码，从而避开暴力破解壮的密码，从而避开暴力破解2.1）） 字典文件产生字典文件产生l工具：流光工具：流光l过程：过程：Ø基本设定基本设定：可以设定单词中字母和数字的数目，范围。

可以设定单词中字母和数字的数目，范围Ø选项设定选项设定：如：如 所有字母大小写；数字字母的前后；首所有字母大小写；数字字母的前后；首字母大写字母大写Ø产生字典产生字典 2.2）） 暴力破解暴力破解l工具一：工具一：WMICrackerl使用前提：使用前提： 破解时需目标主机开放破解时需目标主机开放135端口（多数主机满足）端口（多数主机满足）l使用方法：使用方法：WMICracker.exe [Threads]Ø:目标目标IP.Ø:待破解密码的账号，必须属于管理员组待破解密码的账号，必须属于管理员组Ø密码文件密码文件Ø[Threads]:线程数，默认为线程数，默认为80，该数值越大，破解速度越快该数值越大，破解速度越快l 假设假设X-ScanX-Scan已经扫描到某台机器比如说已经扫描到某台机器比如说 192.168.245.133192.168.245.133上上有名为有名为glocgloc的管理员权限的管理员权限 账号账号 ，并确，并确定密码规则定密码规则。

WMICracker 192.168.245.133 gloc 1.doc 100原理原理----利用远程服务漏洞：利用远程服务漏洞：ØTCP 135 微软微软RPC监听端点映射服务监听端点映射服务ØTCP 139 NetBIOS共享服务共享服务 ，，Netbios上的上的SMBØTCP 445 TCP上的上的SMB服务，直接主机服务，直接主机lIPC$连接连接 CIFS/SMB(通用因特网文件系统通用因特网文件系统/服务器消息块服务器消息块 简称简称SMB)是是NT平台最平台最严重的不足通过严重的不足通过139 ，，445 端口泄露有价值的信息，甚至对未经身端口泄露有价值的信息，甚至对未经身份验证的用户也如此份验证的用户也如此Ønet shareØ远程连接远程连接 net use \\IP\ipc$ "PASSWORD" /user:"ADMIN“Ø 后共享后共享 net use z: \\192.168.203.128\C$Ø断开连接断开连接 net use * /del /y 或者或者 net use \\IP\ipc$ /del /y > IPC$空连接空连接 net use \\192.168.202.33\ipc$ "" /user:"“ 可以实现空链接，在可以实现空链接，在NT上可以通过匿名账户，进行登录，拥上可以通过匿名账户，进行登录，拥有有everyone权限权限 Ipc$空连接的用处空连接的用处l1 查看用户账户查看用户账户Ø工具：工具： Windows Resource Kit的的 : userstat ,showgrps, local , global. Somarsoft公司开发的公司开发的 DumpSecØ注意：注意：Windows server2003 Windows server2003 之前黑客可查看远程系统上的用户之前黑客可查看远程系统上的用户账户名单，但在账户名单，但在XP XP 和和0303后对后对““空连接空连接””默认配置做了重默认配置做了重大改进后，这个漏洞不复存在，但把一台大改进后，这个漏洞不复存在，但把一台0303机器配成域机器配成域控制器，这台机器对控制器，这台机器对““空链接空链接””的限制将被解除。

的限制将被解除2.2.只要只要ipcipc$ $空链接漏洞存在可以利用空链接漏洞存在可以利用user2siduser2sid和和sid2user sid2user 进行查点进行查点Sid:ØS-1-5-21-8915387-1645822062-1819828000-513(相对标相对标识符识符)ØS-1开头，以连字符分隔的那一长串数字就是远程机器的开头，以连字符分隔的那一长串数字就是远程机器的SID了ØAdministrator或或Guest等用户和用户组的等用户和用户组的RID是预先定义是预先定义好的，比如说好的，比如说 Administrator用户的用户的RID永远是永远是500，而，而Guest的的RID永远是永远是501ØUser2sid user2sid \\192.168.202.33 “domain users” 结果结果 S-1-5-8915387-1645822062-1819828000-513ØSid2user sid2user \\192.168.202.33 5 8915387 1645822062 1819828000 500 结果：结果：Name is godzilla Domain……….对策：对策：XP 和和server 2003 把把security policy 中的中的 （网（网络访问：允许匿名用户进行络访问：允许匿名用户进行SID/名字转换设置为名字转换设置为”disable”)就能防御上面介绍的这种攻击手段就能防御上面介绍的这种攻击手段l防范措施：防范措施：Ø安全策略设定安全策略设定Ø强化强化SMBSMB会话安全会话安全Ø强制的显式权限许可：限制匿名访问强制的显式权限许可：限制匿名访问Ø使用使用SMBSMB的签名的签名§服务端和客户端都需要配置注册表服务端和客户端都需要配置注册表l安全策略设定安全策略设定Ø策略策略 （（MMCMMC中的安全策略）中的安全策略）Ü1 1 启用口令字复杂化机制启用口令字复杂化机制Ü2 2 设置账户锁定阈值。

设置账户锁定阈值Ü3 3 启用针对登录失败事件的日志审计功能启用针对登录失败事件的日志审计功能Ü4 4 禁用无人使用的账户禁用无人使用的账户Ü5 5 锁定真正的锁定真正的AdministratorAdministrator账户并创建一个账户并创建一个““诱饵诱饵 管理员管理员””账户账户 策略策略 1，， 2策略策略3策略策略4策略策略5l默认配置下默认配置下win server 2003不会锁定不会锁定Administrator账户账户----即便系统管理员激即便系统管理员激活了账户锁定机制，活了账户锁定机制，Administrator账户也账户也不会被锁定不会被锁定l用用passprop工具启用工具启用Administrator账户账户的锁定机制的锁定机制ØPassprop /adminlockout(管理员账户名管理员账户名)1 1 基于口令的认证基于口令的认证 l对口令的攻击对口令的攻击 3 3 【【在认证过程中在认证过程中】】Ø窃听窃听 监听Login:UserA Password:12345口令明文口令明文例：口令的攻击例：口令的攻击------网络监听网络监听 通过通过Sniff(嗅探器嗅探器)来监听网络中的数据包获得密码，对明来监听网络中的数据包获得密码，对明文密码特别有效，如果是加密的，还涉及解密算法文密码特别有效，如果是加密的，还涉及解密算法lSniffer的工作原理的工作原理Ø Sniffer,也称网络嗅探器，它只能工作在广播型的以太也称网络嗅探器，它只能工作在广播型的以太网中，装有网中，装有Sniffer的计算机会把网络上的所有数据接收的计算机会把网络上的所有数据接收下来，进行分析。

下来，进行分析 l一般来说，局域网都属于广播型网络，如网吧、一般来说，局域网都属于广播型网络，如网吧、校园网、小区网校园网、小区网Sniffer无法嗅探到跨路由或交无法嗅探到跨路由或交换机以外的数据包换机以外的数据包l 如果一位勤劳的网管已经做到了他所应该做的如果一位勤劳的网管已经做到了他所应该做的一切：总是在第一时间给服务器打补丁，从来不一切：总是在第一时间给服务器打补丁，从来不执行非法程序，然而系统却被入侵，就要考虑执行非法程序，然而系统却被入侵，就要考虑Sniffer的存在了的存在了l工具工具Ø工具一：工具一：Sniffer Pro :是一款网管分析软件，功能强大是一款网管分析软件，功能强大Ø工具二：工具二：X-Way：自带的工具箱中有一个：自带的工具箱中有一个Sniffer功能图中图中②②所指的所指的IP选项，界面中出现的是所有的本网主机地址及连到外选项，界面中出现的是所有的本网主机地址及连到外网的外网服务器地址网的外网服务器地址 抓包实例抓包实例•以以telnet密码为例密码为例步骤步骤1：设置规则：设置规则 l包大小包大小=55？，？， 网上的数据传送是把数据分成若干个包来传送，网上的数据传送是把数据分成若干个包来传送，根据协议的不同包的大小也不相同，根据协议的不同包的大小也不相同，l客户端客户端telnet到服务端一次只传送一个字节的数据，到服务端一次只传送一个字节的数据，由于协议的头长度是一定的，所以由于协议的头长度是一定的，所以telnet的数据包的数据包大小大小=DLC(14字节字节)+IP(20字节字节)+TCP(20字节字节)+数数据（一个字节）据（一个字节）=55字节字节，，l设为设为55正好能抓到用户名和密码，否则将抓到许正好能抓到用户名和密码，否则将抓到许多不相关的包多不相关的包 l步骤步骤2：抓包：抓包 •步骤步骤3：目标机运行：目标机运行telnet命令命令 l步骤步骤4：察看结果：察看结果 基于口令的认证基于口令的认证 l对口令的攻击对口令的攻击4 4【【在认证过程中在认证过程中】】Ø截取截取/ /重放重放 拷贝认证信息然后重放认证信息（加密的口令）l对抗认证过程中的口令攻击：对抗认证过程中的口令攻击： 在用户和服务器之间共享密钥是身份验证的在用户和服务器之间共享密钥是身份验证的基础，但是用来保护这些密钥的机制和协议基础，但是用来保护这些密钥的机制和协议在不断改进，有效的验证协议可以使中间人在不断改进，有效的验证协议可以使中间人难以截取登录证书或者假冒其他用户和系统。

难以截取登录证书或者假冒其他用户和系统windows身份验证身份验证 分两个过程分两个过程l1 交互式的登录过程交互式的登录过程Ø直接登录系统的过程被称为交互式登录直接登录系统的过程被称为交互式登录 用户登录到本用户登录到本机或者域时，进行身份验证机或者域时，进行身份验证Ü如果登录到本地，如果登录到本地，LSALSA将使用计算机的将使用计算机的SAMSAM处理请求处理请求Ü如果连接到域，如果连接到域，LSALSA将使用将使用Active DirectoryActive Directory处理请求处理请求l2 网络身份验证网络身份验证Ø 向特定的网络服务提供对身份的证明向特定的网络服务提供对身份的证明§通常，网络身份验证，并不是动态地向网络服务标识用户的通常，网络身份验证，并不是动态地向网络服务标识用户的过程，它不要求用户输入登录信息，而是依靠单一登录这一过程，它不要求用户输入登录信息，而是依靠单一登录这一特性，由身份验证协议用交互式登录过程中所获得的信息来特性，由身份验证协议用交互式登录过程中所获得的信息来证实用户的身份证实用户的身份Kerberos(服务认证服务认证)，， SSL1.1交互式交互式1.1交互式交互式---本地登录本地登录•登录组件登录组件Graphical Identification and Authentication其他其他登录组件登录组件l1 winlogonØ加载其余两个组件（加载其余两个组件（GINA 和身份验证程序包）和身份验证程序包）Ø 处理与验证策略无关的用户界面操作处理与验证策略无关的用户界面操作Ü 创建可用的桌面（提供输入用户名、密码）创建可用的桌面（提供输入用户名、密码）Ü 向操作系统注册一个安全维护序列（向操作系统注册一个安全维护序列（SAS, Secure SAS, Secure Attention SequenceAttention Sequence））Ü 维护工作站状态维护工作站状态Ü 实现超时处理实现超时处理Ø 向向GINA发送事件通知消息，提供可供发送事件通知消息，提供可供GINA调用的各调用的各种接口函数。

种接口函数Ø 保证其操作对其他进程不可见保证其操作对其他进程不可见lWinlogon初始化初始化Ø注册注册SASÜ 默认为默认为Ctrl+Alt+DelØ生成三个桌面生成三个桌面ÜWinlogon桌面桌面----输入用户名，密码的桌面输入用户名，密码的桌面Ü 应用程序桌面应用程序桌面Ü屏幕保护桌面屏幕保护桌面lWinlogon可维护的三种状态可维护的三种状态Ø已注销状态已注销状态Ü 发生在没有任何交互式登录会话期间发生在没有任何交互式登录会话期间Ø已登录状态已登录状态Ü 允许用户访问应用程序桌面，并执行任何所需的任务允许用户访问应用程序桌面，并执行任何所需的任务Ü 可以切换到其他两种状态可以切换到其他两种状态Ø已锁定工作站状态已锁定工作站状态Ü 提供一个安全桌面提供一个安全桌面Ü 可以通过用户身份验证切换到已登录状态，或者通过管理员身份验证可以通过用户身份验证切换到已登录状态，或者通过管理员身份验证切换到已注销状态切换到已注销状态 登录组件登录组件l2.1 GINA动态链接库动态链接库Ø 提供了提供了winlogon用户标识和验证用户的输出函数用户标识和验证用户的输出函数Ø微软提供的微软提供的GINA是是MSGINA.dll,但允许被用户替换来自行但允许被用户替换来自行定制系统的用户识别和身份验证定制系统的用户识别和身份验证Ü [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]"GinaDLL"=" MSGINA.DLL"l2.2 网络提供程序的动态链接库网络提供程序的动态链接库Ø提供通过标准协议到其他类型网络的辅助身份验证功能提供通过标准协议到其他类型网络的辅助身份验证功能过程过程lWinlogon切换到切换到Winlogon桌面，并调用桌面，并调用GINA来显示登来显示登录对话框，等待用户输入用户名和口令。

录对话框，等待用户输入用户名和口令l当用户输入信息之后，当用户输入信息之后，GINA将它传送给将它传送给LSA进行验证进行验证 LSA调用适当的验证程序包调用适当的验证程序包(MSV1_0),并且将口令使用并且将口令使用单单向散列函数向散列函数l若若SAM找到账户信息，转向身份验证程序包返回用户的找到账户信息，转向身份验证程序包返回用户的SID和用户所在组的和用户所在组的SIDl验证程序包向验证程序包向LSA返回这些返回这些SIDlLSA使用这些使用这些SID创建安全访问令牌，并把令牌句柄和登创建安全访问令牌，并把令牌句柄和登录确认信息返回给录确认信息返回给Winlogonl用户进入用户进入Windows桌面桌面1.2 交互式交互式—域用户身份验证域用户身份验证l当某个用户试图登录当某个用户试图登录ØGina把登录信息传递给把登录信息传递给LSA进行验证，这之前的与本进行验证，这之前的与本地登录一致地登录一致1.2 交互式交互式—kerberos用户身份验证用户身份验证1.2 交互式交互式—Kerberos域用户身份验证域用户身份验证①用户输入口令用户输入口令②将口令散列生成密钥将口令散列生成密钥,散列值散列值放证书缓冲区，以备后用放证书缓冲区，以备后用ADKDC使用保存的口令散列解密使用保存的口令散列解密证实后，可确认用户证实后，可确认用户用户信息用户信息+用密钥加密的时间戳用密钥加密的时间戳会话密钥（用客户密钥加密）会话密钥（用客户密钥加密）+TGT(用用KDC自己的密钥加密自己的密钥加密)会话密钥会话密钥 和和TGT被被放入缓存中放入缓存中2000以前版本（质询以前版本（质询/应答）应答）1.3 LM/NTLM“质询质询/应答应答”式身份验证过程式身份验证过程用户输入口令字用户输入口令字winlogon对口令字明文进行加密对口令字明文进行加密用用户的口令字密文对用用户的口令字密文对”质询质询“进行加密进行加密8个字节的质询个字节的质询用用户的口令字密文用用户的口令字密文 对对”质询质询“进行加密进行加密从从SAM文件或活动目录里提文件或活动目录里提取出用户的口令字密文取出用户的口令字密文（（1）客户请求登录）客户请求登录8个字节的质询个字节的质询(2)服务器送出服务器送出8个字节的个字节的“质质询询”(3)客户用用户的口令字密客户用用户的口令字密文对文对“质询质询”进行加密，进行加密，把把“应答应答”发送回服务器发送回服务器“应答应答”“应答应答”(4)服务器把来自客户的服务器把来自客户的“应答应答”与与自己对自己对“质询质询”的加密结果进行比较，的加密结果进行比较，然后接受或者拒绝这个登录请求然后接受或者拒绝这个登录请求l第三步是关键。

第三步是关键NT平台可以使用以下三种平台可以使用以下三种加密算法加密算法ØLM加密算法加密算法ØNTLM加密算法加密算法ØNTLM version2lLM,加密算法脆弱，可相当容易猜出真正的加密算法脆弱，可相当容易猜出真正的口令字•对对windows 身份验证嗅探身份验证嗅探1 用用 KerbSniff output.txt 负责嗅探网络和提取负责嗅探网络和提取kerberos域的身份验证信息域的身份验证信息 用用 KerbCrack 进行字典破解进行字典破解Ükerbcrack output.txt –d dictionary.txt 【【可能性极低可能性极低】】2 用用 L0phtcrack( LC)专门对专门对LM或或NTLM口令字进口令字进行破解成功的可能是（成功的可能是 网络中通信的主机用了低级别的网络中通信的主机用了低级别的LMLM协议）协议）拦截拦截windows身份验证（了解）身份验证（了解）偷偷溜进身份验证流中以拦截口令字偷偷溜进身份验证流中以拦截口令字l利用利用LM身份验证机制的漏洞身份验证机制的漏洞l使用前提使用前提Ø客户在不知情的情况下连到非法的中继服务器上客户在不知情的情况下连到非法的中继服务器上Ø中继服务器中继服务器 需要绑定到需要绑定到139端口端口l工具工具 ：： SMBRelay （（2001，，5））2 网络身份验证方法网络身份验证方法•在域的单一登录特性中，网络身份验在域的单一登录特性中，网络身份验证依赖于成功的交互式域账户登录，证依赖于成功的交互式域账户登录，•当应用程序需要使用网络资源时，通当应用程序需要使用网络资源时，通过证书缓存中的信息，及安全服务提供过证书缓存中的信息，及安全服务提供接口（接口（SSPI）间接地访问验证程序包）间接地访问验证程序包 2.1 KerberoslKerberos协议是一个基于票据协议协议是一个基于票据协议Ø客户向网络验证，并从客户向网络验证，并从KDC请求票据用以访问网络资源请求票据用以访问网络资源Kerberos密钥分发中心（密钥分发中心（KDC））l身份验证服务（身份验证服务（AS））Ø 对用户进行验证，并发行供用户用来请求会话票据的对用户进行验证，并发行供用户用来请求会话票据的TGT(票据授予票据票据授予票据)l票据授予服务（票据授予服务（TGS））Ø在发行给客户的在发行给客户的TGT的基础上，为网络服务发行的基础上，为网络服务发行ST(会会话票据话票据)Kerberos身份验证过程身份验证过程ASTGSlKerberos的身份验证委派的身份验证委派 客户端身份验证可以交给应用程序涉及的服务器客户端身份验证可以交给应用程序涉及的服务器Ø服务器会模拟客户端，并代表客户端来执行访问请求。

服务器会模拟客户端，并代表客户端来执行访问请求Ø所有身份验证凭据和票据的传递并不需要用户输入所有身份验证凭据和票据的传递并不需要用户输入Ø虽然服务器会模拟客户端，但对原始客户端的审核记录虽然服务器会模拟客户端，但对原始客户端的审核记录会被保存会被保存•身份验证委派过程身份验证委派过程2.2 SSL套接层验证套接层验证 SSL是一个开放的标准，通过公钥技术向网络或者是一个开放的标准，通过公钥技术向网络或者internet上的事务处理提供身份验证，并使用一个公钥上的事务处理提供身份验证，并使用一个公钥协商过程来为每一个客户协商过程来为每一个客户/服务器会话生成一个唯一的服务器会话生成一个唯一的密钥安全通道（安全通道（schannel））SSPI提供者在提供者在Windows平台平台上支持上支持SSL和和TLSLSAMSV1_0程序包程序包应用程序应用程序Kerberos程序包程序包SSPI协商协商NTLMSSPKerberosSSPSchannelSSP非交互式登录组件非交互式登录组件SSPI : 安全支持提供程序接口安全支持提供程序接口SSP: 安全支持程序安全支持程序SSL完整的过程完整的过程1 C-->S : ClientHello 2 S-->C : ServerHello Certificate3 C-->S : CipherkeySpec (encrypted by server public key) ClientCertificate(可选可选)4 S-->C : （如果客户端需要验证，先验证证书是否有效）（如果客户端需要验证，先验证证书是否有效） create communication key (客户端可生成相同的客户端可生成相同的)5 加密传输数据加密传输数据l基于公钥证书的认证，系统管理员必须配基于公钥证书的认证，系统管理员必须配置必要的证书授权机构作为那些外部用户置必要的证书授权机构作为那些外部用户的可信任的的可信任的CA.小结：小结：l口令认证极其攻击口令认证极其攻击l防御口令攻击的策略设置防御口令攻击的策略设置l防御认证防御认证过程过程的攻击的攻击-----改进认证协议改进认证协议Ø交互式登录交互式登录 组件和过程组件和过程Ø网络身份验证网络身份验证 :Kerberos 过程，过程，SSPI。