1. Authentication Аутентификация - логин/пароль 2. Autorization Авторизация - права доступа У каждой учетной записи Name;Hash_PW;SID.
Workgroup
+ все просто - Проблема с безопасностью - Сложность в администрировании NTLM - хранение локальных пользователей и аутентификация на локальном пк erberos - авторизация и аутентификация SAM - Security Accaunt Manager
Domain AD (Active Directory) (AD DS)
+ Управляемость + Безопасность - Ресурсы LDAP - хранение пользователей AD (использует kerberos для аутентификации и авторизации) NTLM - хранение локальных пользователей и аутентификация на локальном пк SAM - Security Accaunt Manager kerberos - авторизация и аутентификация
Файлы ADDS:
%SysytemRoot%\NTDS - расположены тут по умолчанию
NTDS.DIT - База данных Active Directory
EDD.CHK - Проверочный (checkpoint) файл
EDB.LOG - Журнал транзакций (событий).
Все изменения, происходящие с каталогом Active Directory,
содержатся в этом файле. Размер файла ограничивается 10 Мб.
EDBхххх.LOG - Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб,
а данные еще не выгружены в файл NTDS.DIT. С
соответственно каждый файл занимает не более 10 Мб дискового пространства
RES1.LOG - Резервный файл журнала событий
RES2.LOG - Резервный файл журнала событий
TEMP.EDB - Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент
SHEMA.INI - Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена
Билет
tiket - в себе содержит информацию о группах,SID,RID,время получения тикета.
Работа kerberos:
При логине на пк мы получаем tiket который содержит правила авторизации. Пере логин на пк позволяет обновить права получив новый tiket. получение доступа (билет/tiket) k1-дай_доступ_куда_нибуть!я свой.->k2 k2-ты_кто?куда?подтверди?->k1 k1->докажи_что_я_свой!->DC DC->На_tiket_покажи_к2->k1 k1->На_tiket_я_свой!->k2 k2->Мне_тут_tiket_дали_говорят_своии!?->DC DC->Да_это_свои_Пропусти!->к2
RID
RidMaster - специальная служба выдающая RID, выдает последовательно и гарантирует уникальность в домене. RID - уникальное значение в пределах домена. RID = SID + X При аутентификации используется RID + hash_pass объект безопасности - это пользователь или группа субъект безопасности - это RID
Совет.
Запретить обычным пользователям вводить пк в домен.
После ввода сервера с ролью dhcp перестает работать.
Необходимо выполнить авторизацию сервера dhcp в домене. Нажать кнопу в настройках dhcp.
Симметричное шифрование
- для шифрования/расшифровывания используется единый ключ 123 -> key=111->F(key)->234 +маленькие ключи +быстрые +не требует много ресурсов -не безопасно (плохая стойкость к расшифровке)
Асимметричное шифрования
public_key (открытый ключ) private_key (закрытый ключ) данные->key1->F1key->канал_связи->зашифр_данные->F2key->расшифровка Генерируемая пара ключей взаимосвязанная. Если данные шифруют public_key -> расшифровать может только private_key Если данные шифруют privat_key -> то расшифровать может только public_key + безопасно -требует много ресурсов
Цифровая подпись
PuK - public_key PrK - private_key Fhash - hash файла подтверждение что данные не менялись подтверждение что данные принадлежат пользователю файл -> получаем hash файла по алгоритму -> шифруем hash PuK.-> создание подписи получив Puk проверяем подпись -> сравниваем fhash=PuKash=ok DS- digital signa
PKI
- инфраструктура открытых ключей Центр сертификации Сертификат - это открытый ключ. (доп данные: кем выдан, срок, кому выдан и тд) подписанный цифровой подписью ЦС. Закрытый ключ известен только владельцу ключа Открытый ключ известен всем ЦС заверяет эти открытые ключи и на основе этих ключей выпускает сертификат Все пользователи доверят только ЦС.
Проверка Сертификата.
Проверка имени. Проверка действительности(не истекло ли время). Проверка центра сертификации. Если все ок. То доверенный.
SSL — клиент сервер
У сервера есть заверенный сертификат. Вместе с алгоритмом шифрования он выдает его клиенту. Клиент принимает сертификат и проверяет его у ЦС. Если все ок то использует алгоритм шифрования который передал сервер.
mmc -> сертификаты
Картинка ключ на сертификате говорит о том, что мы имеем закрытый ключ, которым он подписан. Хранилища пк и пользователя. Personal - хранилище сертификатов пользователя Root Trusted .....- хранилище корневых и промежуточных сертификатов. DigiSertGlobal- один из самых известных УЦ. Trusted People - хранилище сертификатов которые не будут проходить проверки доверия УЦ.
Проверка отозванных сертификатов.
0) OCP - проверка отозванных сертификатов 1) Сервер публикует список отозванных сертификатов RL. 2) Клиентский кеш RL
certutil
certutil -urlcache * delete - очистка кеша сертификата браузера certutil –store My - посмотреть сертификаты в личном хранилище certutil -store -user my > my.txt - посмотреть сертификаты пользователя my и сохранить в файл certutil –viewstore My - посмотреть сертификаты в личном хранилище в графическом режиме) certutil -store -enterprise NTAuth - посмотреть сертификаты хранимые в домене certutil –verify -urlfetch –v certificate.cer - где certificate.cer - имя файла, куда экспортирован сертификат certutil –url certname.cer - проверить, что по URL в CDP можно вытащить CRL.(графика нажать кнопку Retrieve) certutil –v –verify –urlfetch certname.cer > c:certcheck.txt - проверить, что по URL в CDP можно вытащить CRL certutil /scinfo - информация о текущем (работа с криптопровайдером CSP - Crypto service provider) certutil -csplist - список всех (работа с криптопровайдером CSP - Crypto service provider) certutil -csptest "cspname" - информация конкретном CSP certutil -csptest "Microsoft Strong Cryptographic Provider" - информация конкретном CSP certutil -p test -user -exportPFX 012345678ffffffffff cert.pfx - экспорт в PFX (PKCS#12) (параметры серийник и пароль (через -p)) certutil -p test -user -importpfx cert.pfx - импорт certutil –backupKey - резервное копирование ключей УЦ certutil -pulse - запустить autoenrollment certutil -getkey - извлекает из УЦ зашифрованный ключом Агента восстановления (KRA - Key recovery agent) certutil -recoverkey - расшифровывает BLOB и восстанавливает депонированный ключ в PKCS#12 (файл с расширением .pfx)
В IE
В браузере есть галка "cheak for server certificate revocation *" - если ее убрать браузер не будет проверять сертификат на отозвание.