Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Qrl+Alt+Delete
Процесс входа
Пользователь
Отказ
База данных учетных записей
ID, Pi
Диспетчер учетных записей
Провайдер аутентификации
ID, P
SID
ID,
Н(Р)
AT
Процесс инициализации
ID, P
AT
Пакет аутентификации
ID, P
AT
AT
SID
Проводник
Локальная служба безопасности
R
SD
Файл аудита
AT
Объект
Монитор безопасных ссылок
Рис. 3.8. Архитектура подсистемы безопасности защищенных версий
Windows
ющей информации использует пароли пользователей. Возможно использование других провайдеров аутентификации (например, считывающих ключевую информацию со смарт-карт). В этом случае необходимо, чтобы интерфейс к предоставляемым провайдером аутентификации функциям соответствовал определениям, содержащимся в файле winwlx.h (входит в состав любой системы программирования на языке C++ для Windows). Путь к используемому процессом входа в систему провайдеру аутентификации должен быть записан в разделе реестра HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\WinLogon как значение параметра GinaDLL.
Введенные пользователем логическое имя и пароль передаются процессом входа в службу LSA, которая обращается к пакету аутентификации (библиотеке функций) для подтверждения подлинности пользователя. Если пользователь зарегистрирован на локальном компьютере, то пакет аутентификации вычисляет хеш-значение пароля Н(Р) и обращается к диспетчеру учетных записей (Security Account Manager, SAM) для проверки правильности введенного пароля и возможности для пользователя с введенным логическим именем начать работу в системе (не истек ли срок действия пароля, не заблокирована ли учетная запись пользователя и т. п.). Пакет аутентификации также является заменяемым компонентом подсистемы безопасности (стандартный пакет аутентификации размещается в файле msvl_0.dll).
Диспетчер учетных записей обращается к базе данных учетных записей (базе данных SAM) для извлечения информации из учетной записи пользователя с введенным логическим именем. База данных учетных записей содержится в разделе реестра HKEY_LOCAL_MACHINE\SAM (а также в файле Windows\ System32\Config\SAM). К базе данных SAM не может быть получен доступ для чтения или изменения с помощью штатных средств операционной системы даже администратором. Для ее редактирования предназначены специальные функции из набора Windows API и специальное системное приложение (в Windows XP — функция «Администрирование» панели управления).
Пароль пользователя в базе данных SAM хранится в виде двух хеш-значений, каждое из которых имеет длину 128 бит. Первое хеш-значение пароля пользователя вычисляется по алгоритму Windows NT.
Строка символов пароля Р усекается до 14 знаков (при необ
ходимости) и преобразуется в кодировку Unicode, в которой каж
дый символ представляется двумя байтами.
Вычисляется хеш-значение преобразованного пароля Н(Р)
длиной 128 бит (используется функция хеширования MD4).
Полученное хеш-значение зашифровывается по алгоритму
DES с помощью ключа, равного относительному номеру учетной
записи пользователя, ERID (H(P)).
Полученный результат шифрования записывается в базу дан
ных учетных записей.
Второе хеш-значение пароля пользователя вычисляется по алгоритму LAN Manager.
Все буквенные символы (латинского алфавита) строки паро
ля Р преобразуются к верхнему регистру.
Строка символов пароля дополняется нулями, если она ко
роче 14 байтов, и делится на две семибайтовые половины Р[ и Р2.
Каждое из значений Р! и Р2 используется в качестве ключа для
шифрования по алгоритму DES магической строки М = "KGS!@#
$%", в результате которого получаются два значения, из 64 бит
каждое: Нх = ЕР1(М) и Н2 = ЕР2(М).
Выполняется шифрование по алгоритму DES на ключе, рав
ном относительному номеру учетной записи, результата сцепле
ния Hj и Н2: EMD(H,||H2).
Полученный результат шифрования помещается в базу дан
ных SAM.
Алгоритм получения хеш-значения LAN Manager является менее стойким (искусственно уменьшается мощность алфавита, из которого выбираются символы пароля, а разделение пароля на две половинки облегчает его подбор в том случае, если длина пароля не превышает семи знаков, так как результат шифрования магической строки на нулевом ключе заранее известен нарушите-