Vietnes sadaļas
Redaktora izvēle:
- Rosinterbank: piesakieties savā personīgajā kontā
- Rakstu veicināšana - meklē vietnes
- Piesakieties Beeline “Personīgajā kontā”: visas metodes un iespējas Kā pieteikties savā personīgajā kontā
- Servera izveides procedūra programmā TeamSpeak
- Kā pareizi sadalīt cieto disku, izmantojot Acronis Disk Director Suite Disk sadalīšana, izmantojot acronis
- Super nulles MTS: tarifa apraksts
- Gadījumi (bērna un pieaugušā mijiedarbības situācijas) Pedagoģiskās situācijas, vadīšanas mācīšanas metodes
- Ko darīt, ja vīruss nokļūst jūsu ierīcē?
- Programmas Samsung Galaxy viedtālruņiem Programmas Samsung viedtālruņiem
- Fona attēls Kā ievietot fonu html lapā
Reklāma
Ntlm autorizācija jūsu programmā. Windows autentifikācijas procedūra |
Nesen saskāros ar šādu problēmu: FireFox, Chrome, Opera negribas iet garām NTLM autorizācija. Vienīgais, kurš izturēja, bija šis I.E.. Es aizmirsu pateikt, ka šī problēma rodas Windows 7. Šo problēmu novēršanas metodes tiks aprakstītas tālāk. Opera: nav oficiāli atbalstīts NTLM-autorizācija, lai gan iestatījumos varat atrast vienumu, kas ļauj iespējot vai atspējot šo opciju. Tāpēc starpniekservera iestatījumos jums ir jāpievieno pamata atļauja. Lai atspējotu NTLM autorizācija(un faktiski ļaujiet šai pārlūkprogrammai darboties, izmantojot starpniekserveri) rīkojieties šādi: 1) pārlūkprogrammā ierakstiet about:config Tiesa, ir viena nianse (neērtības, tā sakot): pirmo reizi startējot, jums būs jāievada sava pieteikšanās parole (pilnībā, tas ir, ar domēnu) un jāatzīmē izvēles rūtiņa. "Saglabāt". Tagad katru reizi, kad nākamreiz atverat pārlūkprogrammu, parādīsies pilnvarojuma zīme, un jums vienkārši jānospiež "LABI". Tas ir neērti, bet ko jūs varat darīt? Piezīme: dažreiz dažās OS, gluži pretēji, tas bija jāiespējo NTLM autorizācija. Varbūt tas bija atkarīgs arī no pārlūkprogrammas un OS versijām. FireFox, Chrome: Viņi ir atbalstoši, lai gan jums ir nepieciešams veikt nelielu šamanismu. Aprakstīšu vairākus variantus, ko atradu internetā, iespējams, nāksies izmēģināt visu, līdz atradīsi sev piemērotāko. 1) jums būs jāpievieno parametrs reģistrā HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ar nosaukumu LmCompatibilityLevel veids DWORD un piešķiriet tai vērtību 1 . Pēc tam jums būs jāpārstartē dators (šī ir opcija, kas man bija piemērota) 2) Uz Firefox varētu paiet ntlm autorizāciju, šķiet, ka pietiek adreses joslā atvērt about:config un mainīt parametrus uz šādiem: network.negotiate-auth.delegation-uris = http://,https:// Pēc tam restartējiet pārlūkprogrammu. 3) Atveriet politikas redaktoru ( gpedit.msc) Datora konfigurācija -> Windows konfigurācija -> Drošības iestatījumi -> Vietējās politikas-> Drošības iestatījumi -> Tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis un iestatiet parametru Sūtīt LM un NTLM — sarunās izmantojiet NTLMv2 sesijas drošību. Pēc tam mēs aizveram politiku un restartējam. Ja jums ir angļu versija, tad šī: mašīnas politika-> datora konfigurācija-> logu iestatījums-> vietējās politikas-> drošības opcija-> tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis un atlasiet LM un NTLM — izmantojiet NTLMv2 sesiju, ja tas ir sarunāts. 4) Vēl viena iespēja ir konfigurēt, izmantojot squid_ldap: auth_param pamata programma /usr/lib/squid3/squid_ldap_auth -b "cn=users,dc=office,dc=ru" -f "sAMAccountName=%s" -h 192.168.0.74 -D "cn=administrators,cn=lietotāji, dc=office,dc=ru" -w "secpass" external_acl_type nt_groups %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "cn=users,dc=office,dc=ru" -f "(&(cn=%v)(memberOf=cn=%a,cn= lietotāji,dc=office,dc=ru))" -D "cn=administrators,cn=lietotāji,dc=office,dc=ru" -w "secpass" -h 192.168.0.74 acl all src 0.0.0.0/0.0.0.0 http_access atļaut group_inet Izmēģiniet tomēr :) Autentifikācija ir neaizstājama procedūra katram lietotājam, datoram un uzņēmuma kontam. Windows ieraksti, bet tā mehānisms nav pētīts sistēmas administratori pamatīgi. Ikviens zina, ka, lai reģistrētos datorā, ir jānorāda pareiza parole, bet cik daudzi zina, kas notiks tālāk? Windows autentifikācija un ar to saistītie protokoli tiek iespējoti ikreiz, kad lietotājs, dators vai pakalpojums reģistrējas lokāli vai ar domēna kontrolleri (DC). Šajā rakstā vispirms tiks apspriesti Windows autentifikācijas pamatprincipi un pēc tam saistītie protokoli. Noslēgumā ir sniegti īsi ieteikumi, lai uzlabotu autentifikācijas procedūras uzticamību Windows tīklā. Autentifikācija: vispārīgie principiAutentifikācija ir viena no jebkuras datora piekļuves kontroles sistēmas sastāvdaļām. Kā parādīts 1. attēlā, piekļuves kontroles sistēmas nodrošina identifikāciju, autentifikāciju, autorizāciju un ziņošanu. Identifikācija. Autentifikācijas procesā tiek izmantota informācijas kopa, kas unikāli identificē drošības objektu (piemēram, lietotāju, grupu, datoru, pakalpojuma kontu) koplietotā direktoriju pakalpojumā. Uzziņu pakalpojums, piemēram, Active Directory(AD), ļauj unikāli identificēt objektus, līdzīgi kā DNS nodrošina, ka diviem cilvēkiem nevar būt vienāda adrese E-pasts. Windows iekšējie elementi izmanto SID, globāli unikālus identifikatorus (GUID) un citus unikālus tagus. Vairumā gadījumu identifikācijai pietiek ar ievadīšanu unikāls nosaukums konts, piemram, Rgrimes. Lielā mežā ir jāizmanto AD pilnie vārdi piemēram, lietotājiem (lietotāja pamatvārds, UPN). [aizsargāts ar e-pastu]. Lietojot viedkartes, drošības subjekts var uzrādīt savu digitālo sertifikātu vai atslēgu. Autentifikācija vai autentifikācija. Pēc tam, kad drošības subjekts ir ievadījis vai citādi sniedz identifikācijas informāciju (piemēram, lietotājvārdu, drošības marķieri), subjektam ir jāievada vai citādi jāiesniedz privāta autentifikācijas informācija (piemēram, parole un PIN). Operētājsistēmā Windows drošības subjekts ievada šo informāciju reģistrācijas ekrānā, izmantojot Microsoft programmas Grafiskās identifikācijas un autentifikācijas DLL (msgina.dll) un Winlogon.exe. Sistēmas autentifikācijas protokols un dzinējs iekodē iesniegto informāciju galddatorā un pārsūta autentifikācijas pieprasījumu. Windows autentifikācijas pakalpojums var būt SAM vai AD datu bāze. SAM datu bāze atbalsta vietējās reģistrācijas procedūras un reģistrāciju Windows NT 4.0 domēna kontrolleros. AD autentificē pieprasījumus Windows 2000 vai jaunākas versijas Windows 2000 domēnos. Autentifikācijas protokols (piemēram, LAN pārvaldnieks, NT LAN pārvaldnieks, NTLM, NTLMv2, Kerberos) tiek izmantots, lai pārsūtītu autentifikācijas pieprasījumus un turpmākās transakcijas starp pieteikšanās ekrānu un autentifikācijas pakalpojumu. Tālāk katrs autentifikācijas protokols tiks apspriests atsevišķi. Autorizācija. Ja autentifikācijas pakalpojums autentificē identifikatora un "slepeno" autentifikācijas datu kombināciju, drošības subjekta identitāte tiek uzskatīta par veiksmīgi pārbaudītu. Pēc tam sistēma apkopo informāciju par drošības subjekta (t.i., lietotāja) dalību grupā. Nav nekas neparasts, ka parasto dalības piešķiršanas procedūru rezultātā lietotājs pieder vairākām skaidri definētām grupām — vietējai, lokālai, globālai un universālai. Sistēma pārbauda vietējās grupas pret vietējo SAM datu bāzi un pārbauda vietējās un globālās grupas DC lietotāja mājas domēnā, kā arī universālās grupas DC, kurā ir globālais katalogs. Sistēma tieši vai netieši apkopo visu informāciju par dalību grupā, lai iegūtu informāciju par drošības atļaujām. Tūlīt pēc autentifikācijas sistēma savāc konta SID un informāciju par dalību grupā objektā, ko sauc par piekļuves pilnvaru. Lai jaunās drošības atļaujas stātos spēkā, lietotājam, iespējams, būs jāatsakās un jāpiesakās vēlreiz. Ja lietotājam ir jāpiekļūst objektam (piemēram, failam, mapei, printerim, reģistra atslēgai), kas aizsargāts ar NTFS atļaujām, process (piemēram, Windows Explorer), kas darbojas lietotāja vārdā, nodrošina savu piekļuves pilnvaru. Katram NTFS objektam ir piekļuves kontroles ierakstu (ACE) saraksts, kas būtībā ir pazīstamas NTFS atļaujas (piemēram, Atļaut lasīt, Atļaut rakstīt). Lietotājiem un grupām piešķirtā ACE kopa veido piekļuves kontroles sarakstu (ACL) šī objekta. Konkrēti, objekta ACL attēlo drošības atļaujas, kuras var skatīt programmā Windows Explorer. Piekļuves pilnvara, kurā ir konts un grupas, ar kurām lietotājs ir saistīts, nosaka lietotāja faktiskās atļaujas. Autorizācijas process ietver piekļuves atļaušanu vai liegšanu konkrētam objektam, pamatojoties uz piekļuves pilnvaras salīdzinājumu ar objekta ACL. Autorizāciju nodrošina Windows drošības uzziņu monitors (1. ekrāns). Piemērā, kas parādīts 1. attēlā, lietotājam ir lasīšanas, rakstīšanas un modificēšanas atļaujas. Tomēr grupai Visi, kurai pieder lietotājs, nav modificēšanas atļaujas. Citu grupu dalībniekiem ir lasīšanas un modificēšanas atļaujas, bet grupas Ikviens atļauja Liegt ignorē atļauju Modificēt. Objektam ir arī ACL, kas noliedz Pilna izšķirtspēja Vadība uz HR grupu, bet lietotājs nepieder šai grupai. Tādējādi lietotāja faktiskās atļaujas objektam ir 2. ekrāns- Lasi un raksti. Grāmatvedība. Ja iekšā Windows režīms audits ir iespējots, sistēma saglabā autentifikācijas notikumu drošības žurnālā, un tā ir piekļuves kontroles sistēmas beigu sastāvdaļa – ziņošana. Sarežģītākie sākotnējās reģistrācijas un turpmākie autorizācijas notikumi notiek dažu sekunžu laikā un ir paslēpti no lietotāja. Visas sarežģītās darbības tiek uzticētas autentifikācijas protokolam. Protokola mērķiAutentifikācijas protokolam ir jāveic vismaz divas darbības. Pirmkārt, tai ir droši jāpārraida darījumi no pieprasītāja uz autentifikācijas datu bāzi un uz jebkuru citu datoru, kas mitina attiecīgo resursu. Otrkārt, tai ir jāsaglabā parole vai marķieris droši un droši. Pēdējais īpaši interesē paroļu uzlauzējus. Autentifikācijas protokolam ir jāaizsargā lietotāja sniegtā informācija, kad tā tiek pārsūtīta uz autentifikācijas datu bāzi (t.i., SAM vai AD). Lai to izdarītu, protokols paraksta, paslēpj vai šifrē darījumu. Tam ir arī laika zīmogs, lai neļautu uzbrucējam turpmāk izmantot akreditācijas datus. Lai nepieļautu lietotāja paroles tūlītēju izgūšanu no datu bāzes, protokolam jānodrošina paroļu slepena glabāšana autentifikācijas datubāzē. Vairāk nekā desmit gadus autentifikācijas protokoli galvenokārt ir nodrošinājuši drošību, saglabājot paroles slēptā formā (parasti jauktā veidā) autentifikācijas datubāzē un pilnībā aizliedzot paroļu pārsūtīšanu starp lūguma iesniedzēju un autentifikācijas datu bāzi vienkāršā tekstā (pat slēptā formā). Pieprasījuma-atbildes process izskatās šādi:
Autentifikācijas protokoli izmanto izaicinājuma-atbildes procesu, lai parole nekad netiktu pārsūtīta tīklā. Vietējā un domēna reģistrācijaKad lietotājs reģistrējas, viens no pirmajiem Windows uzdevumi- noteikt, vai procedūra attiecas tikai uz vietējo mašīnu vai domēna kontu. Lietotājiem, kuri piesakās kā lokālais konts, ir piekļuve tikai resursiem savā datorā un tikai tad, ja lietotāja konta informācija ir ietverta vietējā SAM datu bāzē. Ja lietotājiem ir nepieciešams piekļūt resursiem attālais dators bez domēna autentifikācijas, tad viņu konti ir jādublē katrā lokālajā SAM datubāzē pieejams dators. Konti katrā iesaistītajā datorā ir jāsinhronizē (visās iekārtās ir vienādi pieteikšanās vārdi, paroles un akreditācijas datu derīguma termiņš). Pretējā gadījumā situācija kļūst daudz sarežģītāka. Ir grūti uzturēt vidēja lieluma vienādranga (P2P) tīklus, kas izmanto tikai vietējās reģistrācijas procedūras. DC neattiecas prasība sinhronizēt vairākus lietotāju kontus dažādi datori. Izmantojot domēna autentifikāciju, datori, kas reģistrēti domēnā, atrod DC, lai parādītu domēna lietotāja konta akreditācijas datus autentifikācijas pieprasījumiem. Tādējādi, ja attālais lietotājs mēģina piekļūt lokālajam resursam datorā, šī iekārta lūdz DC pārbaudīt pieprasītāja lietotāja identitāti. Domēna lietotāju konti atrodas tikai DC un tiek izveidoti tikai vienu reizi. Jebkurš dalībnieks, kuram ir jāautentificē konts domēnā, var sazināties ar DC jebkurā laikā. Nav problēmu ar pieteikumvārdu, paroļu un to derīguma termiņu sinhronizēšanu, jo akreditācijas dati un konta pārvaldība tiek veikta tikai vienā vietā - DC. Neatkarīgi no pieteikšanās veida (lokālais vai domēns), sistēmai Windows ir jāautentificē lietotāja pieprasījums. Windows autentifikācijas protokoliKā minēts iepriekš, Windows izmanto četrus galvenos autentifikācijas protokolus: LAN Manager, NTLM, NTLMv2 un Kerberos. LAN pārvaldnieks aizsākās DOS laikos, un to turpināja izmantot ar agrīnām Windows versijām. NTLM tika izlaists kopā ar NT. Jaunums NT Server 4.0 4. servisa pakotnē (SP4) bija NTLMv2, un Windows 2000 ieviesa Kerberos. Pēc noklusējuma visi datori ar Windows 2000 un jaunāku versiju operētājsistēmas Savietojams ar visiem četriem autentifikācijas protokoliem. Nosūtot šīm sistēmām atbilstošas komandas, citas darbstacijas un serveri var izvēlēties protokolu, lai apstrādātu autentifikācijas pieprasījumu. Windows 9x un jaunākas sistēmas ar pilniem programmatūras ielāpiem ir saderīgas ar LM, NTLM un NTLMv2. Microsoft platformā Kerberos var izmantot tikai Windows klienti 2000 (vai jaunāka versija), piekļūstot Windows 2000 (un jaunākiem) domēniem. Dators ar Windows 2000 vai jaunāku versiju jauna versija Operētājsistēmā ir jābūt Kerberos un vismaz vienam citam autentifikācijas protokolam. Drošības pētījumi ir parādījuši, ka vecāki protokoli (LM un NTLM) ir neaizsargāti pret noklausīšanās un paroles uzminēšanas uzbrukumiem. LAN pārvaldnieksIBM izstrādāja LAN Manager protokolu, izmantojot to iepriekšējās versijas Windows un Windows tīkli. Tāpat kā visi Microsoft autentifikācijas protokoli, LAN pārvaldnieks ģenerē paroles jaucējkodu (LM hash), ko autentifikācijas procesa laikā saglabā un izmanto sūtītājs un saņēmējs. LAN pārvaldnieks ģenerē LM jaucējus, mainot visus paroles burtus uz lielajiem burtiem, sadalot paroli divās 7 rakstzīmju daļās un pēc tam šifrējot. Pēc tam LM hash tiek izmantots vairākās secīgās operācijās, kas ir līdzīgas iepriekš aprakstītajam pieprasījuma-atbildes procesam. Lai gan LAN pārvaldnieks agrāk bija diezgan pieņemams, tagad tas tiek uzskatīts par ļoti neuzticamu. Izmantojot īpašus rīkus, paroles, kas šifrētas, izmantojot LAN pārvaldnieka jaukšanas metodi, var pārvērst vienkāršā tekstā tikai dažu sekunžu laikā. LM jaucējkodiem ir būtiski trūkumi, kā arī vairākas ievainojamības:
Kāpēc LAN pārvaldnieks joprojām netiek lietots? Atgriezeniskās saderības nolūkos tas pēc noklusējuma ir aktīvs visos Windows datoros, tostarp Windows Server 2003. gads: Jaunākajās Windows autentifikācijas datu bāzēs vājš LM hash tiek glabāts līdzās spēcīgākajiem, ja nepieciešams, lai veiktu LAN pārvaldnieka transakciju. Ja jūsu uzņēmums neizmanto citas lietojumprogrammas, kurām nepieciešama LAN pārvaldnieka autentifikācija, varat (un vajadzētu) atspējot LAN pārvaldnieku. NTLMLīdz ar NT parādīšanos Microsoft izstrādāja un izvietoja drošāku autentifikācijas protokolu NTLM. NTLM izmanto vairāk efektīvs algoritms autentifikāciju, kas rada drošāku paroles jaucējkrānu (NTLM hash). NTLM parole var būt līdz 128 rakstzīmēm. Atšķirībā no LAN pārvaldnieka jaukšanas, kurā tiek izmantotas tikai ASCII rakstzīmes, NTLM ir saderīgs ar pilnu Unikoda rakstzīmju kopu, kas palielina paroļu sarežģītību. NTLM hash tiek nogriezts pie 128. rakstzīmes, pārveidots par 16 bitu unikoda vērtību, apstrādāts ar MD4 izplatīšanas funkciju un saglabāts 32 rakstzīmju heksadecimālā virknē. Izmantojot NTLM jaucējkodu izaicinājuma-atbildes operācijās, NTLM autentifikācijas secība ir daudz sarežģītāka nekā LAN pārvaldnieka procedūra. NTLMv2Rezultātā izrādījās, ka arī NTLM ir ievainojams, un Microsoft speciālisti sagatavoja NTLMv2, kas joprojām tiek uzskatīts par diezgan uzticamu, lai gan tagad vēlamais protokols ir Kerberos. NTLMv2 joprojām tiek plaši izmantots vietējai reģistrēšanai un dažiem citiem lietojumiem. NTLMv2 ir līdzīgs NTLM, taču NTLMv2 paroles hash izmanto HMAC-MD5 ziņojumu autentifikāciju un uzliek laika zīmogu izaicinājuma-atbildes secībai, lai novērstu uzbrukumus, kuros uzbrucējs ieraksta akreditācijas datus un vēlāk tos izmanto. Kopumā NTLMv2 ir izturīgāks pret brutāla spēka uzbrukumiem nekā NTLM, jo protokols izmanto 128 bitu šifrēšanas atslēgu. Ir zināmas tikai divas paroļu uzlaušanas programmas (viena no tām ir Symantec LC5), kas varēja atvērt NTLMv2 paroļu jaucējus. KerberosMicrosoft pieņēma Kerberos kā noklusējuma domēna autentifikācijas protokolu Windows 2000 un jaunākiem AD domēniem. Kerberos ir atvērts standarts, kas piemērots sadarbībai ar ārzemju domēniem (UNIX un Linux tiek saukti par sfērām). Katrs AD domēnu DC pilda izplatīšanas servera lomu (Kerberos Distribution Server, KDC) un var piedalīties autentifikācijas procedūrā. Drošību uzlabo šādi Kerberos raksturlielumi:
Īss Kerberos darbības apraksts:
Ņemiet vērā, ka, lai gan Kerberos darbojas līdzīgi kā privāta infrastruktūra publiskā atslēga(publiskās atslēgas infrastruktūra, PKI), visa informācija tiek aizsargāta, izmantojot simetriskas atslēgas (pretēji asimetriskām atslēgām, ko izmanto lielākajā daļā autentifikācijas pakalpojumu). ViedkartesParoļu un citu viena akreditācijas datu autentifikācijas metožu stiprums strauji pasliktinās. E-komercija caurstrāvo ikdienas dzīvi, un pieaug gan identitātes zādzības metožu skaits (surogātpasts, URL izkrāpšana), gan paroles ļaunprātīgas izmantošanas iespējamība. Daudzi eksperti uzskata, ka divvirzienu autentifikācija – viedkaršu, USB ierīču vai citu kriptogrāfijas ierīču veidā – nākotnē kļūs par ikdienu interneta transakcijām. Microsoft izstrādātāji savos risinājumos integrē funkcijas darbam ar digitālajiem sertifikātiem un viedkartēm. Lai izmantotu viedkartes, ir jāinstalē sertifikātu pakalpojumi un jāizplata viedkaršu sertifikāti. Protams, nepieciešamas arī fiziskas viedkartes, lasītāji un programmatūra piegādātājs. Pēc tam lietotāji var ievietot viedkartes vietējos lasītājos, ja nepieciešams, lai piekļūtu Windows dators. Pareizi lietojot, viedkartes var ievērojami uzlabot autentifikācijas uzticamību. Autentifikācijas protokola aizsardzībaDaži raksti nepareizi apgalvo, ka Microsoft autentifikācijas mehānisma uzlaušana joprojām ir vienkārša. Faktiski no 20 esošajiem paroļu uzlaušanas rīkiem tikai divi darbojas ar NTLMv2 un tikai viens darbojas ar Kerberos. Bet pēc vairāku uzņemšanas vienkāršas darbības, šos draudus var arī novērst. Lai novērstu mēģinājumus uzminēt un atiestatīt paroli, veiciet šādas darbības (lielāko daļu iestatījumu var konfigurēt lokāli vai izmantojot grupas politiku).
Lietotāju pienākumiIzmantojot NTLMv2, Kerberos un viedkartes, sistēmai Windows ir spēcīgi autentifikācijas mehānismi, kas ir izturīgi pret noklausīšanos un brutālu spēku uzbrukumiem. Taču paraugprakse un spēcīgi autentifikācijas protokoli nepalīdzēs, ja lietotāji piešķir vājas paroles. Jums ir jāapmāca lietotāji pareizi izvēlēties paroles un nodrošināt, ka paroles ir sarežģītas un spēcīgas. Rodžers Grims - Windows redaktors IT Pro un drošības konsultants. Viņam ir CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security and Security+ sertifikāti. Operētājsistēma Windows 7 ievieš jaunas paaudzes drošības tehnoloģijas darbvirsmai, un viena no tām ir autentifikācija un autorizācija. Dažas no tehnoloģijām ir vērstas uz vispārējās Windows infrastruktūras nostiprināšanu, bet pārējās ir paredzētas, lai palīdzētu pārvaldīt sistēmu un lietotāja datus. Pirms efektīvu drošības pasākumu instalēšanas operētājsistēmā Windows 7, piemēram, failu un mapju koplietošanas, ir svarīgi izprast drošības iestatīšanas laikā izmantoto lietotāju kontu veidus un to, kā tīkla protokols autentificē un autorizē lietotāju pieteikšanos. Autentifikācija ir process, ko izmanto, lai apstiprinātu lietotāja identitāti, sazinoties ar viņu. datorsistēmu vai papildu sistēmas resursi. Privāti un publiski datortīkli(ieskaitot internetu) autentifikācija visbiežāk ietver lietotāja akreditācijas datu pārbaudi; tas ir, lietotājvārds un parole. Tomēr kritisku darījumu veidiem, piemēram, maksājumu apstrādei, ar lietotājvārda un paroles autentifikāciju nepietiek, jo paroles var tikt nozagtas vai uzlauztas. Šī iemesla dēļ lielākā daļa tiešsaistes uzņēmumu, kā arī daudzi citi darījumi tagad izmanto digitālos sertifikātus, kurus izsniedz un verificē sertifikācijas iestāde. Autentifikācija loģiski notiek pirms autorizācijas. Autorizācija ļauj sistēmai noteikt, vai autorizēts lietotājs var piekļūt aizsargātajiem sistēmas resursiem un atjaunināt tos. Autorizācija ļauj iestatīt direktīvu piekļuvi mapēm un failiem, piekļuves stundas, atļautās krātuves apjomu utt.
Pēdējā opcija ļauj lietotājam piekļūt bez autentifikācijas vai autorizācijas. To izmanto, ja vēlaties nodrošināt piekļuvi anonīmiem, neautentificētiem lietotājiem. Šāda piekļuve parasti ir ļoti ierobežota. Autorizācijas un autentifikācijas process.Lai piekļūtu failiem tīklā, lietotājiem ir jābūt autentificētiem, lai pārbaudītu savu identitāti. Tas tiek darīts tīkla pieteikšanās procesa laikā. operācijas zāle Windows sistēma 7 tīkla pieteikšanai ir šādas autentifikācijas metodes:
Jauni autentifikācijas līdzekļi operētājsistēmā Windows 7.Ir pievienoti vairāki uzlabojumi, kas saistīti ar lietotāju pieteikšanās un autentifikācijas procesiem Windows Vista®. Šie uzlabojumi ir palielinājuši autentifikācijas pamatfunkciju kopu, lai palīdzētu nodrošināt labāku drošību un vadāmību. Operētājsistēmā Windows 7 Microsoft turpina Windows Vista iesāktos uzlabojumus, nodrošinot šādus jaunus autentifikācijas līdzekļus:
Viedkartes.Viedkaršu izmantošana ir visizplatītākā autentifikācijas metode. Lai mudinātu organizācijas un lietotājus pieņemt viedkartes, sistēma Windows 7 piedāvā jaunus līdzekļus, kas atvieglo viedkaršu lietošanu un izvietošanu. Šīs jaunās iespējas ļauj izmantot viedkartes dažādu uzdevumu veikšanai, tostarp:
Biometrija.Biometrija ir arvien populārāka tehnoloģija, kas nodrošina ērtu piekļuvi sistēmām, pakalpojumiem un resursiem. Biometrija izmanto viņa nemainīgo fizisko īpašību mērījumus, lai unikāli identificētu personu. Viens no visbiežāk izmantotajiem biometriskajiem raksturlielumiem ir pirkstu nospiedumi. Līdz šim sistēmai Windows nebija standarta biometrisko ierīču atbalsta. Lai atrisinātu šo problēmu, sistēma Windows 7 ievieš Windows biometrisko ietvaru (WBF). WBF nodrošina jaunu komponentu komplektu, kas atbalsta pirkstu nospiedumu noņemšanu, izmantojot biometriskās ierīces. Šīs sastāvdaļas palielina lietotāja drošību. Windows biometriskais ietvars ļauj lietotājiem un administratoriem viegli iestatīt un pārvaldīt biometriskās ierīces lokālais dators vai domēnā. Personības integrācija internetā.Konta pārvaldība ir drošības stratēģija. Izmantojiet grupas politiku, lai atļautu vai liegtu autentifikāciju konkrētiem datoriem vai visiem datoriem, kurus pārvaldāt tiešsaistē. Tiešsaistes identitātes integrāciju var kontrolēt ar grupas politiku. Politika, kas konfigurēta šādi: “Tīkla drošība: atļaut šim datoram izmantot tiešsaistes ID, kad tiek prasīta PKU2U autentifikācija”, kontrolē tiešsaistes ID spēju autentificēt šo datoru, izmantojot PKU2U protokolu. Šis politikas iestatījums neietekmē domēna kontu vai vietējo lietotāju kontu iespēju pieteikties šajā datorā. Pētnieki konferencēs gadiem ilgi runā par to, cik vienreizējās pierakstīšanās tehnoloģijas ir nedrošas. Šādu vienotas autentifikācijas sistēmu visam uzreiz ir izmantojusi Microsoft jau ilgu laiku un speciālisti informācijas drošība 1997. gadā viņi teica, ka tā nav laba ideja. Kārtējo reizi vienreizējās pierakstīšanās ievainojamību kopumā un jo īpaši darba ar SMB resursiem gadījumā demonstrēja Krievijas pētnieks ValdikSS. Viņš aprakstīja metodi, kas ļauj kompromitēt upura Microsoft kontu, deanonimizēt Microsoft lietotājus un uzzināt VPN informāciju. Faktiski, lai veiksmīgi īstenotu uzbrukumu, uzbrucējam vienkārši ir jāslēpj saite uz savu SMB resursu (tīkla resursi: faili un mapes, printeri utt.), piemēram, kā attēls un jāpiespiež upuris to atvērt. Uzbrukums darbojas visās mūsdienu operētājsistēmās, tostarp Windows 10 ar jaunākie atjauninājumi. Turklāt par šīm problēmām ar NTLM autentifikāciju tika runāts ne tikai 1997. gadā, tās tiek pieminētas regulāri. Tātad šis jautājums tika izvirzīts (PDF) pagājušajā gadā BlackHat konferencē. Diemžēl biežās pieminēšanas neko nemaina. Vietnē Habrahabr lietotājs ValdikSS runāja par to, kā mūsdienās var izmantot šo “90. gadu kļūdu”. Pētnieks raksta:
Tā kā konta nosaukuma un paroles jaucējkods ir noplūdis mājas dators netiek uzskatīta par katastrofu, tad, kad runa ir par korporatīvo domēnu, sākas pavisam cita saruna.
Situāciju pasliktina arī tas, ka mūsdienu Microsoft operētājsistēmās tās aktīvi veicina viena Microsoft konta izmantošanu, burtiski liekot lietotājam to izveidot. Microsoft konta lietotājiem šādi uzbrukumi var būt divtik bīstami ne tikai organizācijām, bet arī privātpersonām. Fakts ir tāds, ka uzbrukuma gadījumā dati tiks pārsūtīti uz uzbrucēja SMB serveri, kas būtībā apdraudēs upura Microsoft kontu, un daudzi pakalpojumi ir saistīti ar to (Skype, Xbox, OneDrive, Office 360, MSN, Bing , debeszils utt. Tālāk). Pētnieks arī raksta, ka dažos gadījumos uzbrukumu var izmantot, lai iegūtu datus par upura VPN savienojuma pieteikumvārdu un paroles jaucējkodu. Tajā pašā laikā ValdikSS aprakstīja vairākus veidus, kā izmantot problēmas ar NTLM autentifikāciju. Papildus ļoti acīmredzamajām lietām pētnieks ierosināja izmantot trūkumu, lai deanonimizētu lietotājus:
Noslēgumā ValdikSS raksta, ka jūs varat pasargāt sevi no šādiem uzbrukumiem, piemēram, ierobežojot piekļuvi TCP portam 445 visiem adrešu diapazoniem, izņemot:
Arī raksta komentāros lietotāji ieteica šādu metodi: Windows reģistra redaktora versija 5.00
Turklāt pētnieks ir izveidojis īpašu lapu, kas ļauj pārbaudīt jūsu sistēmas neaizsargātību pret šāda veida uzbrukumiem. |
Populārs:
Lenovo Vibe Z2 — specifikācijas![]() |
Jauns
- Rakstu veicināšana - meklē vietnes
- Piesakieties Beeline “Personīgajā kontā”: visas metodes un iespējas Kā pieteikties savā personīgajā kontā
- Servera izveides procedūra programmā TeamSpeak
- Kā pareizi sadalīt cieto disku, izmantojot Acronis Disk Director Suite Disk sadalīšana, izmantojot acronis
- Super nulles MTS: tarifa apraksts
- Gadījumi (bērna un pieaugušā mijiedarbības situācijas) Pedagoģiskās situācijas, vadīšanas mācīšanas metodes
- Ko darīt, ja vīruss nokļūst jūsu ierīcē?
- Programmas Samsung Galaxy viedtālruņiem Programmas Samsung viedtālruņiem
- Fona attēls Kā ievietot fonu html lapā
- Koplietotas mapes piekļuves iestatīšana tīklā sistēmā Windows