Chapter 1
第1章
Windows安全基礎(chǔ)

1.1 Windows認(rèn)證基礎(chǔ)知識

1.1.1 Windows憑據(jù)

1.SSPI

SSPI（Security Support Provider Interface，安全支持提供程序接口）是Windows操作系統(tǒng)中用于執(zhí)行各種安全相關(guān)操作的公用API。SSPI的功能比較全面，可以用來獲得身份驗證、信息完整性校驗、信息隱私保護(hù)等集成的安全服務(wù)。它是眾多安全支持提供程序的調(diào)用接口。

2.SSP

SSP（Security Support Provider，安全支持提供程序）是一個用于實現(xiàn)身份驗證的DDL文件。當(dāng)操作系統(tǒng)啟動時，SSP會被加載到LSA（Local Security Authority，本地安全機(jī)構(gòu)）中。SSP的主要作用是擴(kuò)展Windows的身份安全驗證功能。可以這樣簡單理解：SSP就是一個DLL文件，用來實現(xiàn)身份認(rèn)證并維持系統(tǒng)權(quán)限。下面介紹一下Windows系統(tǒng)中的常見SSP類型。

3.常見SSP類型

1）NTLM：一種Windows網(wǎng)絡(luò)認(rèn)證協(xié)議，基于挑戰(zhàn)/響應(yīng)（Challenge/Response）驗證機(jī)制，用于對主機(jī)進(jìn)行身份驗證。

2）Kerberos：一種網(wǎng)絡(luò)身份驗證協(xié)議。作為一種可信任的第三方認(rèn)證服務(wù)，它的主要優(yōu)勢在于可以提供強(qiáng)大的加密和單點登錄（SSO）機(jī)制。

3）Negotiate：用于在SSPI和其他SSP之間進(jìn)行安全支撐的應(yīng)用程序?qū)印．?dāng)某個應(yīng)用程序調(diào)入SSPI以登錄到網(wǎng)絡(luò)時，該應(yīng)用程序會指定一個SSP來處理請求。如果指定Kerberos或NTLM SSP，則Negotiate將會分析請求并選取最佳SSP，以便基于客戶配置的安全策略處理請求。

4）安全通道：也稱SChannel，它使用SSL/TLS記錄來加密數(shù)據(jù)有效載荷，主要用于需要進(jìn)行安全超文本傳輸協(xié)議（HTTP）通信的Web應(yīng)用程序。

5）摘要身份驗證：基于HTTP和SASL（簡單認(rèn)證與安全層）身份驗證的質(zhì)詢/響應(yīng)協(xié)議。

6）Cred SSP：用于傳輸安全憑據(jù)的網(wǎng)絡(luò)協(xié)議，通常在RDP或WinRM遠(yuǎn)程管理中用于提供單點登錄和網(wǎng)絡(luò)級身份驗證。

7）分布式密碼驗證（DPA）：提供使用數(shù)字證書完成的互聯(lián)網(wǎng)身份驗證。

8）用戶對用戶的公開密鑰加密技術(shù)（Public Key Cryptography User-to-User，PKU2U）：在不隸屬于域的系統(tǒng)之間提供使用數(shù)字證書的對等身份驗證。