Chapter 1
第1章
Windows安全基礎

1.1 Windows認證基礎知識

1.1.1 Windows憑據

1.SSPI

SSPI（Security Support Provider Interface，安全支持提供程序接口）是Windows操作系統中用于執行各種安全相關操作的公用API。SSPI的功能比較全面，可以用來獲得身份驗證、信息完整性校驗、信息隱私保護等集成的安全服務。它是眾多安全支持提供程序的調用接口。

2.SSP

SSP（Security Support Provider，安全支持提供程序）是一個用于實現身份驗證的DDL文件。當操作系統啟動時，SSP會被加載到LSA（Local Security Authority，本地安全機構）中。SSP的主要作用是擴展Windows的身份安全驗證功能。可以這樣簡單理解：SSP就是一個DLL文件，用來實現身份認證并維持系統權限。下面介紹一下Windows系統中的常見SSP類型。

3.常見SSP類型

1）NTLM：一種Windows網絡認證協議，基于挑戰/響應（Challenge/Response）驗證機制，用于對主機進行身份驗證。

2）Kerberos：一種網絡身份驗證協議。作為一種可信任的第三方認證服務，它的主要優勢在于可以提供強大的加密和單點登錄（SSO）機制。

3）Negotiate：用于在SSPI和其他SSP之間進行安全支撐的應用程序層。當某個應用程序調入SSPI以登錄到網絡時，該應用程序會指定一個SSP來處理請求。如果指定Kerberos或NTLM SSP，則Negotiate將會分析請求并選取最佳SSP，以便基于客戶配置的安全策略處理請求。

4）安全通道：也稱SChannel，它使用SSL/TLS記錄來加密數據有效載荷，主要用于需要進行安全超文本傳輸協議（HTTP）通信的Web應用程序。

5）摘要身份驗證：基于HTTP和SASL（簡單認證與安全層）身份驗證的質詢/響應協議。

6）Cred SSP：用于傳輸安全憑據的網絡協議，通常在RDP或WinRM遠程管理中用于提供單點登錄和網絡級身份驗證。

7）分布式密碼驗證（DPA）：提供使用數字證書完成的互聯網身份驗證。

8）用戶對用戶的公開密鑰加密技術（Public Key Cryptography User-to-User，PKU2U）：在不隸屬于域的系統之間提供使用數字證書的對等身份驗證。