Rozhraní poskytovatele podpory zabezpečení - Security Support Provider Interface

Rozhraní poskytovatele podpory zabezpečení (SSPI) je součástí Windows API který provádí operace související se zabezpečením, jako je ověřování.

SSPI funguje jako společné rozhraní s několika poskytovateli podpory zabezpečení (SSP):^[1] Poskytovatel podpory zabezpečení je a dynamická knihovna (DLL), který aplikacím zpřístupňuje jeden nebo více balíčků zabezpečení.

Poskytovatelé

Ve Windows jsou zahrnuty následující SSP:

NTLMSSP (msv1_0.dll) - představeno v Windows NT 3.51. Poskytuje NTLM ověřování výzev / odpovědí pro Windows domény před Windows 2000 a pro systémy, které nejsou součástí domény.^[2]
Kerberos (kerberos.dll) - představeno v Windows 2000 a aktualizováno v Windows Vista podporovat AES.^[3] Provádí ověřování pro domény Windows v systému Windows 2000 a novějších.^[4]
NegotiateSSP (secur32.dll) - Představeno ve Windows 2000. Poskytuje jednotné přihlášení schopnost, někdy označovaná jako Integrované ověřování systému Windows (zejména v kontextu IIS).^[5] Před Windows 7, zkusí Kerberos, než spadne zpět do NTLM. Ve Windows 7 a novějších je zaveden NEGOExts, který vyjednává použití nainstalovaných vlastních SSP, které jsou podporovány klientem a serverem pro autentizaci.
Zabezpečený kanál (schannel.dll) - zavedený ve Windows 2000 a aktualizovaný ve Windows Vista, aby podporoval silnější šifrování AES a ECC^[6] Tento poskytovatel používá záznamy SSL / TLS k šifrování datového zatížení dat.
TLS / SSL – Kryptografie veřejného klíče SSP, který poskytuje šifrování a bezpečnou komunikaci pro ověřování klientů a serverů přes internet.^[7] Aktualizováno ve Windows 7, aby podporovalo TLS 1.2.
Digest SSP (wdigest.dll) - představeno v Windows XP. Poskytuje výzvy a odpovědi založené na HTTP a SASL ověřování mezi systémy Windows a jinými systémy, kde není protokol Kerberos k dispozici.^[8]
CredSSP (credssp.dll) - představeno v Windows Vista a je k dispozici v systému Windows XP SP3. Poskytuje jednotné přihlášení a Ověření na úrovni sítě pro Služby vzdálené plochy.^[9]
Distribuované ověřování hesla (DPA, msapsspc.dll) - zavedeno v systému Windows 2000. Poskytuje ověřování na internetu pomocí digitální certifikáty.^[10]
Kryptografie veřejného klíče mezi uživateli (PKU2U, pku2u.dll) - představeno v Windows 7. Poskytuje peer-to-peer autentizaci pomocí digitálních certifikátů mezi systémy, které nejsou součástí domény.

Srovnání

SSPI je proprietární varianta Obecné rozhraní aplikačního programu služby zabezpečení (GSSAPI) s příponami a datovými typy velmi specifickými pro Windows. Dodáváno s Windows NT 3.51 a Windows 95 s NTLMSSP. Pro Windows 2000 byla přidána implementace Kerberos 5 s použitím formátů tokenů, které odpovídají oficiálnímu standardu protokolu RFC 1964 (Mechanismus Kerberos 5 GSSAPI) a zajištění interoperability na úrovni drátu s implementacemi Kerberos 5 od jiných dodavatelů.

Tokeny generované a přijímané SSPI jsou většinou kompatibilní s GSS-API, takže klient SSPI v systému Windows může být schopen ověřit se serverem GSS-API v Unixu v závislosti na konkrétních okolnostech.

Jedním z významných nedostatků SSPI je jeho nedostatek vazby kanálu, což znemožňuje určitou interoperabilitu GSSAPI.

Další zásadní rozdíl mezi IETF -definovaný GSSAPI a Microsoft SSPI je pojem „zosobnění "V tomto modelu může server pracovat s úplný oprávnění ověřeného klienta, takže operační systém provádí vše Řízení přístupu kontroly, např. při otevírání nových souborů. Zda se jedná o menší oprávnění nebo více oprávnění než u původního účtu služby, záleží zcela na klientovi. V tradičním modelu (GSSAPI), když server běží pod účtem služby, nemůže zvýšit svá oprávnění a musí provádět řízení přístupu způsobem specifickým pro klienta a pro konkrétní aplikaci. Zjevné negativní bezpečnostní důsledky konceptu zosobnění jsou v systému Windows Vista zabráněny omezením zosobnění na vybrané účty služeb.^[11] Zosobnění lze implementovat v modelu Unix / Linux pomocí seteuid nebo související systémová volání. I když to znamená, že neprivilegovaný proces nemůže pozvednout svá privilegia, znamená to také, že aby bylo možné využít zosobnění, proces musí běžet v kontextu účet uživatele root.

Reference

^ Balíčky SSP poskytované společností Microsoft
^ Ověření uživatele - zabezpečení (dokumentace k systému Windows 2000 Resource Kit): MSDN
^ Vylepšení protokolu Kerberos v systému Windows Vista: MSDN
^ Ověření Kerberos v systému Windows 2000
^ „Ověření Windows“. Dokumentace k systému Windows Server 2008 R2 a Windows Server 2008. Microsoft. Citováno 2020-08-05 - prostřednictvím Microsoft Docs.
^ Vylepšení šifrování TLS / SSL v systému Windows Vista
^ Zabezpečený kanál: SSP balíčky poskytované společností Microsoft
^ Microsoft Digest SSP: Balíčky SSP poskytované společností Microsoft
^ Poskytovatel služby zabezpečení pověření a jednotné přihlášení pro přihlášení k Terminálové službě
^ DCOM Technický přehled: Zabezpečení na internetu
^ Windows Service Hardening: blog AskPerf

externí odkazy

[1] Balíčky SSP poskytované společností Microsoft

[2] Ověření uživatele - zabezpečení (dokumentace k systému Windows 2000 Resource Kit): MSDN

[3] Vylepšení protokolu Kerberos v systému Windows Vista: MSDN

[4] Ověření Kerberos v systému Windows 2000

[5] „Ověření Windows“. Dokumentace k systému Windows Server 2008 R2 a Windows Server 2008. Microsoft. Citováno 2020-08-05 - prostřednictvím Microsoft Docs.

[6] Vylepšení šifrování TLS / SSL v systému Windows Vista

[7] Zabezpečený kanál: SSP balíčky poskytované společností Microsoft

[8] Microsoft Digest SSP: Balíčky SSP poskytované společností Microsoft

[9] Poskytovatel služby zabezpečení pověření a jednotné přihlášení pro přihlášení k Terminálové službě

[10] DCOM Technický přehled: Zabezpečení na internetu

[11] Windows Service Hardening: blog AskPerf

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Rozhraní a rozhraní API společnosti Microsoft
Grafika	Správce oken na ploše Direct2D Direct3D D3D (rozšíření) GDI / GDI + WPF Silverlight WinRT XAML Barevný systém Windows Windows Image Acquisition Součást Windows Imaging Grafická infrastruktura DirectX (DXGI) Platforma Windows Advanced Rasterization Křídlo
Zvuk	DirectMusic DirectSound DirectX plugin XACT Speech API XAudio2
Multimédia	DirectX Mediální objekty Zrychlení videa Xinput Přímý vstup DirectShow Image Mastering API Spravovaný DirectX Mediální nadace XNA Windows Media Video pro Windows
Web	MSHTML Platforma RSS JScript VBScript BHO XDR Přístroje SideBar Strojopis
Přístup k datům	Komponenty pro přístup k datům (MDAC) ADO ADO.NET ODBC OLE DB Extensible Storage Engine Rámec entit Sync Framework Tryskový motor MSXML OPC
Síťování	Winsock LSP Winsock jádro Filtrační platforma NDIS Windows Rally BITS P2P API MSMQ MS MPI DirectPlay
Sdělení	Messaging API Telephony API WCF
Správa a řízení	Konzole Win32 Hostitel skriptů Windows WMI (rozšíření) PowerShell Plánovač úkolů Soubory offline Stínová kopie Instalační služba systému Windows Hlášení chyb Záznam událostí Společný systém souborů protokolu
Komponentní model	KOM COM + ActiveX Distribuovaný komponentový objektový model .NET Framework
Knihovny	Knihovna rámcových tříd Třídy Microsoft Foundation (MFC) Knihovna aktivních šablon (ATL) Knihovna šablon Windows (WTL)
Ovladače zařízení	WDM WDF KMDF UMDF WDDM NDIS UAA BDA VxD
Bezpečnostní	Krypto API CAPICOM Windows CardSpace Data Protection API Rozhraní poskytovatele podpory zabezpečení (SSPI)
.SÍŤ	ASP.NET ADO.NET Vzdálená komunikace Silverlight TPL WCF WCS WPF WF
Softwarové továrny	Továrna EFx Podniková knihovna Složené uživatelské rozhraní CCF Mozkomíšní mozek
IPC	MSRPC Dynamická výměna dat (DDE) Vzdálená komunikace WCF
Přístupnost	Aktivní přístupnost Automatizace uživatelského rozhraní
Textové a vícejazyčné Podpěra, podpora	DirectWrite Rámec textových služeb Model textového objektu Editor vstupních metod Language Interface Pack Vícejazyčné uživatelské rozhraní Odhlásit

Ověření
Ověřovací API	Ověření BSD (BSD Auth) eAuthentication Obecné zabezpečení API služby (GSSAPI) Služba Java Authentication and Authorization Service (JAAS) Zásuvné ověřovací moduly (PAM) Jednoduché ověřování a vrstva zabezpečení (SASL) Rozhraní poskytovatele podpory zabezpečení (SSPI) XCert Universal Database API (XUDA)
Ověřovací protokol	ACF2 AKA Ověřování na základě CAVE Protokol autentizace Challenge-Handshake (CHAP) MS-CHAP Centrální ověřovací služba (CAS) CRAM-MD5 Průměr Extensible Authentication Protocol (EAP) Protokol identity hostitele (BOKY) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Dohoda s klíčem ověřeným heslem protokoly Protokol pro ověření hesla (PAP) Protected Extensible Authentication Protocol (PEAP) Dial Access Dial In User Service (POLOMĚR) Zařízení pro řízení přístupu k prostředkům (RACF) Zabezpečený protokol vzdáleného hesla (SRP) TACACY Woo – Lam
Kategorie Commons