Security Support Provider Interface
Security Support Provider Interface(SSPI) は,Microsoft Windowsにおいてセキュリティに quan する dạng 々な cơ năng を đề cung するAPIである.
WindowsではSecurity Support Provider (SSP) と hô ばれるアプリケーションにセキュリティ cơ năng を đề cung するダイナミックリンクライブラリ(DLL) が thật trang されており, SSPIはこれらSecurity Support Providerの cộng thôngインタフェースとして cơ năng する[1].
Security Support Provider
[Biên tập]Windowsでは dĩ hạ のSecurity Support Providerが đề cung されている.
- NTLMSSP(Windows NT 3.51より ) (msv1_0.dll) -Windows 2000Dĩ tiền におけるクライアント-サーバドメインでのNTLMチャレンジアンドレスポンス nhận chứng と, phi ドメイン nhận chứng (SMB/CIFS)[2]
- Kerberos( Windows 2000より.Windows VistaでAESに đối ứng[3]) (kerberos.dll) - Windows 2000 dĩ hàng で thôi thưởng されるクライアント-サーバドメイン tương hỗ nhận chứng[4]
- Negotiate( Windows 2000より ) (secur32.dll) - ケルベロス nhận chứng とNTLMNhận chứng を tuyển 択する. Negotiate SSPによってシングルサインオン(Thống hợp Windows nhận chứng) が đề cung される[5].Windows 7Dĩ hàng では, クライアント・サーバの song phương で lợi dụng khả năng なカスタムSSPを nhận chứng に lợi dụng できるようにするNEGOExtsが đạo nhập された.
- Secure Channel (SChannel) (schannel.dll) - Windows 2000より đạo nhập され, Windows VistaからAESおよび楕 viên khúc tuyến ám hàoに đối ứng した[6].TLS/SSLでの ám hào hóa cơ năng を đề cung する.
- PCT( 廃 chỉ tế ) およびMicrosoftTLS/SSLThật trang - TLS/SSLにおけるCông khai kiện ám hàoCơ năng を đề cung[7].Windows 7 dĩ hàng でTLS 1.2に đối ứng
- Digest SSP( Windows 2000より ) (wdigest.dll) -HTTP nhận chứngおよびSASLを đề cung[8]
- Credential (CredSSP) (Windows XPSP3より ) (credssp.dll) -リモート デスクトップ サービスのための nhận chứng cơ năng を đề cung[9]
- Distributed Password Authentication (DPA) ( Windows 2000より ) (msapsspc.dll) -Công khai kiện chứng minh thưによる nhận chứng cơ năng を đề cung[10]
- Public Key Cryptography User-to-User (PKU2U) (Windows 7より ) (pku2u.dll) - ドメイン ngoại のシステム gian でのピアツーピアNhận chứng を đề cung
GSSAPIとの bỉ giác
[Biên tập]![]() | この tiết にはĐộc tự nghiên cứuが hàm まれているおそれがあります. |
SSPIは,GSSAPIのプロプライエタリな変 chủng であり, Windows độc tự のデータタイプや拡 trương が truy gia されている.
Windows NT 3.51およびWindows 95におけるNTLMSSPがその thủy まりであり, Windows 2000では,ケルベロス nhận chứng(RFC1964) が truy gia された. SSPIでのケルベロス nhận chứng で dụng いられるトークンはGSSAPIのものとほぼ hỗ hoán tính があり, WindowsのSSPIクライアントはWindows dĩ ngoại のGSSAPIクライアントと tương hỗ に nhận chứng を hành うことが khả năng である.
IETFによって định nghĩa されたGSSAPIとWindowsのSSPIの gian には,アクセストークンの "impersonation" に quan して đại きな vi いが tồn tại する. このモデルでは, クライアントが “Hoàn toàn な” đặc 権を trì っていれば, サーバはその đặc 権により thao tác を hành うことが khả năng である. すなわち, サービスアカウントの đặc 権レベルは tiếp 続/ nhận chứng されたクライアントに y tồn する. GSSAPIモデルでは, サーバがサービスアカウントで thật hành されている tràng hợp, アカウントの đặc 権を thượng thăng させることができず, すべてのアクセス chế ngựを hữu hiệu にする tất yếu がある. このようなセキュリティ thượng vấn đề のある thật trang は, WindowsのSSPIではVista dĩ hàng で giải tiêu されている[11].
Cước chú
[Biên tập]- ^“SSP Packages Provided by Microsoft”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“User Authentication - Security (Windows 2000 Resource Kit Documentation): MSDN”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Kerberos Enhancements in Windows Vista: MSDN”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Windows 2000 Kerberos Authentication”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Windows Authentication”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“TLS/SSL Cryptographic Enhancements in Windows Vista”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Secure Channel: SSP Packages Provided by Microsoft”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Microsoft Digest SSP: SSP Packages provided by Microsoft”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Credential Security Service Provider and SSO for Terminal Services Logon”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“DCOM Technical Overview: Security on the Internet”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.
- ^“Windows Service Hardening: AskPerf blog”.2014 niên 10 nguyệt 5 nhậtDuyệt lãm.