Windows Vista – Autenticação e Autorização
As tecnologias de segurança do Windows Vista endereçam requisitos fundamentais de segurança que ajuda as empresas conhecer as necessidades complexas, que é baseado nos seguintes princípios:
Para ajudar a assegura que os usuários e computadores autorizados têm acesso aos seus recursos, é necessário identificá-los na rede. Isto envolve em manter as informações dos usuários e computadores, preferivelmente em um único local, e de fácil acesso para poder manter suas informações. O nome do usuário geralmente é um identificador único.
Autenticação é o meio de verificar a identidade de um objeto ou usuário. Quando autenticado um objeto, procura-se verificar se o objeto é legitimo. Quando autenticado um usuário, procura-se verificar se não e nenhum impostor.
O processo de autenticação valida os dados do usuário ou computador com as informações no banco de dados. A autenticação inclui dados como o nome do usuário, senha, e outras informações. Após o computador autenticar o usuário ou computador, o Sistema Operacional verifica os privilégios que são designados para a conta do usuário. O computador usa e as informações da conta do usuário no Banco de dados para criar o Access Token, na qual é usado para determinar os direitos de acesso do usuário ou computador durante a sessão.
Autorização e Controle de Acesso
O computador valida os direitos de acesso a um recurso dado baseado em Listas de Controle de Acesso (ACLs) associado com o recurso. O computador compara o conteúdo do Access Token ao conteúdo da ACL para determinar os direitos do usuário ao recurso.
Após o logon, o sistema autentica o usuário, cria o Access Token contendo o Security Identifier (SID) do usuário, e o SIDs de todos os grupos de ao qual ele pertence. O sistema usa o Access Token para determinar se concede o acesso para acessar o recursos do sistema.
Single sign-on (SSO) faz dele a possibilidade do usuário acessar seus recursos na rede sem precisar entrar com a credencial novamente. Sem o SSO, forca o usuário a digitar múltiplas senhas ou a redigitar a credencial no momento que precisar acessa recurso, tornando-se ineficiente e não agradável.
Arquitetura de Autenticação
Empresas implementam recursos adicionais para ter uma autenticação forte, como biometria ou one-time password tokens. Em outras versões do Windows, recursos adicionais de autenticação exigiam dos desenvolvedores a reescrever o Graphical Identification and Authentication (GINA) interface.
No Windows Vista, a arquitetura de logon foi completamente rescrita para facilitar o desenvolvimento de um novo recurso. O novo security service provider, chamado Credential Security Service Provider (CredSSP), esta avaliado através do Security Support Provider Interface (SSPI) no Windows. Para suportar novos tipos de credencial, desenvolvedores precisam somente escrever o credential provider, e agora desenvolvedores facilmente podem implementar novos métodos de autenticação na arquitetura existente.
No Windows Vista, o processo de autenticação local inicia quando o usuário pressiona CTRL + ALT + DEL, que é chamado secure attention sequence, o processo de Winlogon registra esta seqüência durante a inicialização e mantém os outros programas e processos para ser usado por ele.
1. O Winlogon e CredSSP coletam as informações e então passa para o Local Security Authority (LSA).
2. Durante o logon local, o LSA verifica a identidade do usuário com as informações no banco de dados do Security Accounts Manager (SAM) e então retorna o Access Token do usuário para Winlogon. Durante o logon no Domínio, o LSA do computador local escolhe o protocolo apropriado de autenticação para enviar as credenciais para o Controlador de Domínio para validação. O sistema retorna as informações do Controlador de Domínio para o Winlogon, que então usa para criar o Access Token.
3. Após o Winlogon validar o usuário, é criando um novo processo, no qual é chamado explorer.exe.
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Em breve novos artigos sobre segurança no Windows Vista serão publicados no site winsec.org
Vitor Nakano atua a 10 anos na área de infra-estrutura e segurança voltada à plataforma Microsoft e mentor do site www.winsec.org.
Atualmente é o coordenador do Setor de Segurança da Informação e Arquitetura do Grupo EcoRodovias, responsável pela implantação de importantes projetos de infra-estrutura e segurança e possui certificações Microsoft deste 2002. Em 2008 foi nomeado MVP na categoria Windows Security.