Проверка подлинности при входе в домен WindowsNT. Интерактивный и удаленный вход. Служба NetLogon. Установление безопасного канала

Защита этих данных осуществляется передачей в RFC-ответе нового мандата сервера, рассчитанного на основе ключа сеанса, предыдущего мандата клиента и отметки о времени, полученной от клиента. Чтобы этот новый мандат сервера отличался от полученного из той же самой информации мандата клиента, при его расчете применяется несколько иной алгоритм.

Служба NetLogon клиентского Windows NT-компьютера принимает эту информацию, проверяет мандат сервера и передает данные о пользователе «верхней» части пакета MSV1_0. Далее эта информация направляется Локальному администратору безопасности, тот находит в локальной базе данных все группы, членом которых является пользователь, и определяет его права, связанные с членством в этих группах. Затем Локальный администратор безопасности создает маркер доступа, возвращает его процессу WinLogon, и тот запускает для пользователя первый процесс, содержащий этот маркер доступа.

При удаленном входе в компьютер с Windows NT регистрационная информация о пользователе передается от клиента к серверу по протоколу SMB (подробнее см. главу 4). Однако если сервер не является контроллером домена, то идет такая же процедура сквозной проверки подлинности, что и при интерактивном входе. Полученные Windows NT-компьютером по протоколу SMB сведения (в частности, зашифрованный с помощью хешированного пароля пользователя «вызов» сервера) передаются между компьютерами Windows NT с помощью запроса RPC NetrLogonSamLogon. При этом дополнительное шифрование ключом, согласованным при установлении безопасного канала, не производится.

Кэширование информации о пользователе на компьютере с WindowsNT

При первом входе пользователя в домен с какого-либо компьютера контроллер домена передает проверенную информацию о нем на компьютер входа. Эта информация кэшируется компьютером в локальном реестре в разделе HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets (рис.5-3) и в дальнейшем может служить для проверки подлинности пользователей, когда ни один контроллер домена не доступен.

Таким образом, даже если все контроллеры домена выключены, несколько (по умолчанию 10) пользователей, которые последними интерактивно регистрировались в домене с данного компьютера, смогут войти в домен с помощью кэшированных данных. Регистрационная информация о пользователях, входивших в компьютер, а не в домен, также хранится в локальной базе данных этого Windows NT-компьютера.

Рис. 5-3. Разделы реестра, в которых кэшируется учетная информация пользователей, входивших в систему интерактивно.

Вход в домен с клиентских компьютеров, отличных от WindowsNT

Клиентские компьютеры, работающие под управлением Windows 95, Windows for Workgroups, MS-DOS, Macintosh или LAN Manager 2.x, могут взаимодействовать с доменами. Их принципиальное отличие от - Windows NT-компьютеров в том, что они не регистрируются в базе данных каталога домена. С точки зрения защиты, эти клиенты заметно уступают клиентам с операционной системой Windows NT и, естественно, представляют собой намного большую угрозу системе безопасности сети.

И все же пользователи этих компьютеров могут иметь учетные записи в базе данных домена. Их вход в домен с клиентских компьютеров управляется контроллером домена.

При этом происходит следующее.

1.  Клиент проводит обнаружение контроллера домена доступным ему способом.

2.  Устанавливаются сеансы TCP/IP и NetBIOS с контроллером домена, который будет проверять вход.

3.  Согласуется версия протокола SMB, применяемая далее при обмене информацией, и клиентский компьютер получает «вызов» от сервера SMB.

4.  Открывается сеанс SMB, причем в отличие от клиентов Windows NT здесь сразу передается имя пользователя и зашифрованный хешированным паролем LAN Manager «вызов» сервера. Таким образом, подлинность пользователя проверяет сервер SMB контроллера домена.

5.  Клиент запрашивает параметры учетной записи пользователя, вызывая удаленный интерфейс программирования NetWkstaUserLogon (SMB С transact, Remote API). Этот запрос включает две основных части: секцию параметров передачи запроса и секцию данных. Секция параметров передачи запроса содержит строку описателей параметров «OOWb54WrLh» и сами параметры, в их числе имена пользователя и компьютера, с которого осуществляется вход в домен, и нулевой пароль. Сервер игнорирует такой пароль, и безопасность при этом гарантируется