Tác giả:
Lê Đình Tiến Lâm
Lê Đình Tiến Lâm
- Windows 2000 thì cung cấp 3 nhóm thành viên cũng được điều khiển bởi Administators: Users, Power User, Administrators. Những nhóm đó là những thành viên được điều khiển bởi HĐH hay Domain là chứng n hận User. Nó cũng giống như nhóm Everyone nhưng loại bỏ User: Anonymous & Guest. Khác với Everyone của Windows NT 4.0, nhóm chứng nhận người dùng (User) không sử dụng quyền (Permission) chỉ định. Chỉ có những nhóm được điều khiển bởi Administrator, những User chính, Power Users, và là thành viên của nhóm Administrator mới chỉ định quyền hạn.
- Dưới đây là mô hình đặc trưng cho LAN/MAN trên hệ thống Windows 2000:
- Ở đây máy trạm (client) gửi những chứng nhận (password của user) đòi hỏi thời gian đóng dấu tới KDC (Key Distribution Center) ở trong Domain liên quan một TGT (Ticket Grant Ticket).
- KDC sẽ trích xuất User giống nhau từ cơ sở dữ liệu của nó và giải mã yêu cầu đó, ghi chú thời gian đóng dấu yêu cầu trước đây mang lại một tài khoản người dùng giải mã thành công.
- KDC sẽ gửi trả lại một TGT, chứa đựng những thông tin về Session Key (mã hóa user & password) & chứng nhận bảo mật (SID) xác định người dùng & nhóm trong những thứ đó.
- Client sử dụng ticket đó để truy cập thông tin cũng như tài nguyên mạng.
Ghi chú:
- Client gửi thời gian đóng dấu mà TGT có htể không nhận được trên đường đi và sử dụng về sau. Những Ticket được phát sinh và giữ lại trên cùng một Domain. Những thẻ đó là hữu hạn, được bắt đầu & hết hạn của Session ghi chú trên đó, địa chỉ Client & chứng nhận quyền truy cập được mã hóa trên đó.- Để hiểu được những thiết lập của Windows Session, chúng ta xem nó như định nghĩa của Null Session trong Windows.
- Chúng ta đã thấy đựoc vai trò của việc chứng nhận – Session Server/ KDC trong việc đãm bảo chỉ có những User đã được chứng thực mới có quyền truy cập lại những tài nguyên đặc biệt. “Cái gì sẽ xảy ra nếu như không có việc chứng thực một phiên làm việc trên mạng? “ Nó sẽ không có cách nào cho server có thể xác định ai là người bắt đầu tài nguyên bị đánh cắp hay tài nguyên bị truy cập. Phiên làm việc này đã được biết đến như một Null Session.
- Mục đích của việc chứng thực này là thiết lập một sự bảo mật cho sự giao tiếp & nhà cung cấp tài nguyên chỉ chứng nhận những User khi kết thúc sự giao tiếp đó.
- Với một chứng nhận mạng rỗng, nó sẽ không có cách nào thiết lập đựoc những khóa bảo mật Sesssion. Nhưng kể từ khi có một vài biể hiện mà người sử dụng nặc danh (Anonymous User) cho phép truy cập tài nguyên mạng (như Administator chia sẽ tài nguyên mạng cho các người dùng ở nhiều Domain khác nhau) một cách đứng đắn. windows đã xây dựng một cơ chế cho Null User (hoặc một chứng nhận mạng rỗng thông qua việc kết nối được biết đến như Null Session).
Ghi chú:
- Một Null Session làm ột kết nối không an toàn (không chứng thực), không kiểm chứng sự đồng nhất. Không có User & Password được cung cấp trong sự thiết lập của một Session. Không có một cái gì được trao đổi khi thiết lập một Null Session. Từ đây nó không thể làm được gì cho hệ thống, để gửi những mã hóa, những thông tin hay thay mặt user dưới Null Session.- Khi LSA được yêu cầu để tạo ra dấu hiệu cho client từ xa kết nối thông qua Null Session, nó phát sinh ra một biểu hiện với User SID của S-1-5-7 (the null log on session) & user nặc danh đăng nhập. chúng ta sớm nhận ra rằng nhóm Everyone bao gồm tất cả những biểu hiện và Null Session được phân lọai như đăng nhập mạng. nó cho phép những Null User truy cập đến những tập tin hệ thống được chia sẽ trên mạng.
(còn tiếp)