Non si può \\ " creare \\ " un certificato di attributo Privilege . Il certificato di attributo Privilege ( PAC ) è una funzione richiamata all'interno del sistema di sicurezza di Windows quando si accede a un sistema che utilizza Kerberos . L' implementazione di Windows 2008 Kerberos di autenticazione utilizza rigorosamente la PAC e nessun altro . Kerberos è un protocollo di autenticazione di rete che utilizza la crittografia per generare i certificati attraverso un doppio sistema di autenticazione degli utenti e server . Kerberos fatti
Questo è un protocollo di autenticazione di rete . Funziona utilizzando la crittografia a chiave segreta . Creato dal Massachusetts Institute of Technology , o MIT , è liberamente disponibile visitando Web.MIT.edu /Kerberos . La crittografia Kerberos funziona cifrando tutte le comunicazioni tra il server e il client . Essa stabilisce la sessione crittografata dopo che il client esegue l'autenticazione sul server con un login e una password . La chiave calcolata appositamente elaborato è un numero binario . Il processo utilizzato codifica o crittografa tutte le comunicazioni dopo l'autenticazione dell'utente . Kerberos viene eseguito attraverso l'aiuto di un Key Distribution Center ( KDC ) . Questi problemi KDC certificati temporanei di sessione , i biglietti e le chiavi di sessione a coloro che hanno un dominio Active Directory . Kerberos viene eseguito all'interno di ciascuno dei domini sia come il controller o la parte di Servizi di dominio Active Directory (aggiunge ) .
PAC fatti
Il Windows 2008 Kerberos utilizza la PAC strettamente con il suo sistema di doppia autenticazione . Kerberos è un sistema basato su ticket , che crea una , connessione sicura crittografata durante l'utilizzo dei biglietti . Il certificato PAC trasferisce al client attraverso il Kerberos KDC . Una volta che il client autentica , o accede , problemi di Kerberos un ticket di concessione ticket ( TGT) , che prevede l'autenticazione futuro durante la stessa sessione . Il TGT quindi consente l'accesso a specifiche applicazioni e /o risorse . La PAC , che contiene informazioni sugli utenti , come ad esempio ID di sicurezza , le appartenenze ai gruppi dell'utente e dei suoi diritti sul dominio. Perché contiene anche i dati di coloro autenticato con il principio , o Kerberos , il numero di gruppi di una persona può appartenere dovrebbero essere limitate. Queste proprietà sono specifiche per la piattaforma Windows Server , PAC si applica solo a Windows PAC e Kerberos . Il certificato PAC richiede un certo certificato digitale che necessita di una firma collegato ad esso per prevenire questi tipi di attacchi . In realtà impedisce contro elevazione di attacchi di privilegio .
PAC Creazione
Il sistema Kerberos crea il PAC quando un utente si autentica sul dominio o rete . Questo è solo nel sistema Kerberos di Windows 2000 , come negozi di informazioni specifiche dell'utente PAC dominio Windows . Altri sistemi Kerberos utilizzano gli stessi metodi , anche se essi utilizzano diversi sistemi di certificazione . Se sei un amministratore di sistema , è possibile specificare alcune proprietà del PAC tuttavia , il server mantiene e crea il biglietto effettivo che contiene il PAC per proteggere le informazioni . Crittografia delle informazioni sulle credenziali all'interno di un PAC consente la trasmissione sicura di quelle credenziali durante un attacco di accesso PKINIT , secondo il sito di Kerberos .