July 10
Non si può \ "creare \" un privilegio attributo certificato. Il Privilege Attribute Certificate (PAC) è una funzione invocata all'interno del sistema di sicurezza di Windows quando si accede a un sistema che utilizza Kerberos. L'implementazione di Kerberos Windows 2008 di autenticazione utilizza rigorosamente la PAC e nessun altro. Kerberos è un protocollo di autenticazione di rete che utilizza la crittografia per generare i certificati attraverso un doppio sistema di autenticazione degli utenti e server.
Questo è un protocollo di autenticazione di rete. Funziona utilizzando la crittografia a chiave segreta. Creato dal Massachusetts Institute of Technology, e il MIT, che è liberamente disponibile visitando Web.MIT.edu/Kerberos. La crittografia Kerberos funziona cifrando tutte le comunicazioni tra il server e il client. Essa stabilisce la sessione crittografata dopo il client autentica contro il server con un login e una password. La chiave calcolata appositamente elaborato è un numero binario. Il processo di codifica utilizzato o cripta tutte le comunicazioni dopo l'autenticazione dell'utente. Kerberos attraversa l'aiuto di un Key Distribution Center (KDC). Questo KDC rilascia certificati di sessione temporanea, biglietti e chiavi di sessione a coloro che hanno un dominio Active Directory. Kerberos viene eseguito all'interno di ciascuno dei domini come sia il controller o la parte di Active Directory Domain Services (aggiunge).
Il Windows 2008 Kerberos utilizza la PAC strettamente con il suo sistema a doppia autenticazione. Kerberos è un sistema basato su ticket, che crea un crittografato, connessione sicura durante l'utilizzo dei biglietti. I trasferimenti certificato PAC per il cliente attraverso il Kerberos KDC. Una volta che il client autentica, o accede, Kerberos rilascia un ticket di concessione ticket (TGT), che prevede l'autenticazione futuro durante la stessa sessione. Il TGT quindi consente l'accesso alle applicazioni e / o risorse specifiche. Il PAC, che contiene le informazioni dell'utente, come ad esempio le appartenenze Security ID, gruppi dell'utente ei suoi diritti sul dominio. Perché contiene anche i dati di coloro autenticato al principio, o Kerberos, il numero di gruppi di una persona può appartenere a dovrebbe essere limitato. Queste proprietà sono specifici per la piattaforma Windows Server, PAC si applica solo a Windows PAC e Kerberos. Il certificato PAC richiede una certa certificato digitale che necessita di una firma collegato ad esso per prevenire questi tipi di attacchi. In realtà impedisce contro l'elevazione di privilegio attacchi.
Il sistema Kerberos crea il PAC quando un utente esegue l'autenticazione sul dominio o di rete. Questo è solo nel sistema Kerberos di Windows 2000, come i negozi PAC dominio Windows informazioni specifiche dell'utente. Altri sistemi Kerberos utilizzano gli stessi metodi anche se utilizzano diversi sistemi di certificazione. Se sei un amministratore di sistema, è possibile specificare alcune proprietà del PAC tuttavia; il server protegge e crea il biglietto effettivo che contiene il PAC per proteggere le informazioni. La crittografia delle informazioni sulle credenziali all'interno di una PAC permette la trasmissione sicura di tali credenziali durante un attacco di accesso PKINIT, secondo il sito di Kerberos.