У вас вопросы?
У нас ответы:) SamZan.net

3.8. Архитектура подсистемы безопасности защищенных версий Windows ющей информации использует пароли пользо

Работа добавлена на сайт samzan.net: 2016-03-13

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 5.4.2025

Qrl+Alt+Delete

Процесс входа

Пользователь

Отказ

База данных учетных записей

ID, Pi

Диспетчер учетных записей

Провайдер аутентификации

ID, P

SID

ID,

Н(Р)

AT

Процесс инициализации

ID, P

AT

Пакет аутентификации

ID, P

AT

AT

SID

Проводник

Локальная служба безопасности

R

SD

Файл аудита

AT

Объект

Монитор безопасных ссылок

Рис. 3.8. Архитектура подсистемы безопасности защищенных версий

Windows

ющей информации использует пароли пользователей. Возможно использование других провайдеров аутентификации (например, считывающих ключевую информацию со смарт-карт). В этом случае необходимо, чтобы интерфейс к предоставляемым провайдером аутентификации функциям соответствовал определениям, содержащимся в файле winwlx.h (входит в состав любой системы программирования на языке C++ для Windows). Путь к используемому процессом входа в систему провайдеру аутентификации должен быть записан в разделе реестра HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\WinLogon как значение параметра GinaDLL.

Введенные пользователем логическое имя и пароль передаются процессом входа в службу LSA, которая обращается к пакету аутентификации (библиотеке функций) для подтверждения подлинности пользователя. Если пользователь зарегистрирован на локальном компьютере, то пакет аутентификации вычисляет хеш-значение пароля Н(Р) и обращается к диспетчеру учетных записей (Security Account Manager, SAM) для проверки правильности введенного пароля и возможности для пользователя с введенным логическим именем начать работу в системе (не истек ли срок действия пароля, не заблокирована ли учетная запись пользователя и т. п.). Пакет аутентификации также является заменяемым компонентом подсистемы безопасности (стандартный пакет аутентификации размещается в файле msvl_0.dll).

 Диспетчер учетных записей обращается к базе данных учетных записей (базе данных SAM) для извлечения информации из учетной записи пользователя с введенным логическим именем. База данных учетных записей содержится в разделе реестра HKEY_LOCAL_MACHINE\SAM (а также в файле Windows\ System32\Config\SAM). К базе данных SAM не может быть получен доступ для чтения или изменения с помощью штатных средств операционной системы даже администратором. Для ее редактирования предназначены специальные функции из набора Windows API и специальное системное приложение (в Windows XP — функция «Администрирование» панели управления).

Пароль пользователя в базе данных SAM хранится в виде двух хеш-значений, каждое из которых имеет длину 128 бит. Первое хеш-значение пароля пользователя вычисляется по алгоритму Windows NT.

Строка символов пароля Р усекается до 14 знаков (при необ
ходимости) и преобразуется в кодировку
Unicode, в которой каж
дый символ представляется двумя байтами.

Вычисляется хеш-значение преобразованного пароля Н(Р)
длиной 128 бит (используется функция хеширования
MD4).

Полученное хеш-значение зашифровывается по алгоритму
DES с помощью ключа, равного относительному номеру учетной
записи пользователя
, ERID (H(P)).

Полученный результат шифрования записывается в базу дан
ных учетных записей.

Второе хеш-значение пароля пользователя вычисляется по алгоритму LAN Manager.

Все буквенные символы (латинского алфавита) строки паро
ля Р преобразуются к верхнему регистру.

Строка символов пароля дополняется нулями, если она ко
роче 14 байтов, и делится на две семибайтовые половины Р[ и Р
2.

Каждое из значений Р! и Р2 используется в качестве ключа для
шифрования по алгоритму
DES магической строки М = "KGS!@#
$%", в результате которого получаются два значения, из 64 бит
каждое:
Нх = ЕР1(М) и Н2 = ЕР2(М).

Выполняется шифрование по алгоритму DES на ключе, рав
ном относительному номеру учетной записи, результата сцепле
ния
Hj и Н2: EMD(H,||H2).

Полученный результат шифрования помещается в базу дан
ных
SAM.

Алгоритм получения хеш-значения LAN Manager является менее стойким (искусственно уменьшается мощность алфавита, из которого выбираются символы пароля, а разделение пароля на две половинки облегчает его подбор в том случае, если длина пароля не превышает семи знаков, так как результат шифрования магической строки на нулевом ключе заранее известен нарушите-




1. Бібліографічний запис
2. фьюфью три раза свистит птица
3. Разработка технологического процесса производства женских туфель с открытой носочной частью клеевого метода крепления
4. на тему Употребление фразеологических единиц в русско ибашкироязычных текстах СМ
5. Динамические ряды основных техникоэкономических показателей и их характеристики Полученный первичный
6. ЗАПИСКА ldquo; Политические религиозные и этнические аспекты конфликта между народами бывшей Юг
7. а а всего островов 42
8. КОМПЬЮТЕРНАЯ ПРЕСТУПНОСТЬ И КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ
9. Ремонт и техническое обслуживание автомобиля ВАЗ-2108
10. . Понятие морали- основные точки зрения Понятие мораль появилось в римской философии