В этом справочном обзоре описываются основные понятия, на которых основана проверка подлинности Windows.
Проверка подлинности — это процесс проверки удостоверения объекта или пользователя. Задача проверки подлинности объекта заключается в проверке подлинности объекта. При проверке подлинности пользователя цель состоит в том, чтобы убедиться, что человек не является самозваным.
В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. Как правило, удостоверение подтверждается криптографической операцией, которая использует только ключ, известный пользователю (как с шифрованием открытого ключа) или общим ключом. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности.
Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Active Directory — это рекомендуемая технология, используемая по умолчанию для хранения сведений об удостоверениях, включая криптографические ключи, которые являются учетными данными пользователя. Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию.
КАК УБРАТЬ ПРОВЕРКУ ПОДЛИННОСТИ НА WINDOWS БЕЗ ПРОГРАММ 2019
Методы проверки подлинности варьируются от простого входа в операционную систему или вход в службу или приложение, который определяет пользователей на основе того, что знает только пользователь, например пароль, до более мощных механизмов безопасности, использующих такие механизмы безопасности, как токены, сертификаты открытого ключа, рисунки или биологические атрибуты. В бизнес-среде пользователи могут открывать множество приложений на различных типах серверов из одного или многих местоположений. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.
Проверка подлинности и авторизация: аналогия перемещения
Аналогия путешествия может помочь объяснить, как работает проверка подлинности. Для начала процесса обычно необходимо выполнить несколько подготовительных задач. Путешественник должен доказать свою истинную личность для своих ведущих властей.
Это доказательство может быть в виде подтверждения гражданства, места рождения, личного ваучера, фотографий или любого, что требуется законом принимающей страны. Удостоверение путешественника проверяется путем выдачи паспорта, который аналогичен системной учетной записи, выданной и администрируемой организацией- субъектом безопасности. Паспорт и предполагаемое назначение основаны на наборе правил и правил, выданных государственным органом.
Путешествие
Когда путешественник прибывает на международную границу, пограничный охранник просит учетные данные, и путешественник представляет свой паспорт. Процесс состоит из двух вариантов:
- Охранник проверяет подлинность паспорта, убедившись, что он был выдан органом безопасности, что местное правительство доверяет (доверяет, по крайней мере, выдавать паспорта) и проверяя, что паспорт не был изменен.
- Охранник проверяет подлинность путешественника, убедившись, что лицо соответствует лицу человека, изображенного на паспорте, и что другие необходимые учетные данные находятся в хорошем порядке.
Если паспорт окажется действительным, и путешественник докажется быть его владельцем, проверка подлинности успешна, и путешественник может быть разрешен доступ через границу.
Как узнать лицензионный Windows 10 или нет?
Транзитивное доверие между органами безопасности является основой проверки подлинности; Тип проверки подлинности, происходящий на международной границе, основан на доверии. Местное правительство не знает путешественника, но он доверяет, что принимающее правительство делает. Когда принимающее правительство выпустило паспорт, он не знал путешественника либо.
Оно доверяет агентству, которое выдало свидетельство о рождении или другую документацию. Агентство, выдавающее свидетельство о рождении, в свою очередь, доверяет врачу, подписавшему сертификат. Врач следил за рождением путешественника и штампировал сертификат с прямым доказательством личности, в данном случае с следом новорожденного. Доверие, которое передается таким образом через доверенных посредников, является транзитивным.
Транзитивное доверие является основой сетевой безопасности в архитектуре клиента или сервера Windows. Отношения доверия передаются по всему набору доменов, например в дереве доменов, и формирует связь между доменом и всеми доменами, которые доверяют данному домену. Например, если домен A имеет транзитивное доверие с доменом B, а если домен B доверяет доменУ C, домен A доверяет доменУ C.
Существует разница между проверкой подлинности и авторизацией. При проверке подлинности система доказывает, что вы являетесь тем, кто вы говорите, что вы. При авторизации система проверяет, есть ли у вас права на то, что вы хотите сделать. Чтобы принять аналогию границы к следующему шагу, просто аутентификсируя, что путешественник является правильным владельцем действительного паспорта не обязательно авторизует путешественника въехать в страну. Жители конкретной страны могут въезжать в другую страну, просто предоставляя паспорт только в тех ситуациях, когда страна, введенная в страну, предоставляет неограниченное разрешение для всех граждан этой конкретной страны для входа.
Аналогичным образом можно предоставить всем пользователям разрешения на доступ к ресурсу из определенного домена. Любой пользователь, принадлежащий этому домену, имеет доступ к ресурсу, так же, как Канада позволяет гражданам США въехать в Канаду. Однако граждане США, пытающиеся въехать в Бразилию или Индию, считают, что они не могут въехать в эти страны, просто представляя паспорт, потому что обе эти страны требуют посещения граждан США, чтобы иметь действительную визу. Таким образом, проверка подлинности не гарантирует доступ к ресурсам или авторизации для использования ресурсов.
Учетные данные
Паспорт и, возможно, связанные визы являются принятыми учетными данными для путешественника. Однако эти учетные данные могут не позволить путешественнику входить или получать доступ ко всем ресурсам в стране. Например, для участия в конференции требуются дополнительные учетные данные.
В Windows можно управлять учетными данными, чтобы владельцы учетных записей могли получать доступ к ресурсам по сети без повторного предоставления учетных данных. Этот тип доступа позволяет пользователям проходить проверку подлинности один раз системой для доступа ко всем приложениям и источникам данных, которые они имеют право на использование без ввода другого идентификатора учетной записи или пароля. Платформа Windows использует возможность использования одного удостоверения пользователя (поддерживается Active Directory) в сети путем локального кэширования учетных данных пользователя в локальном органе безопасности операционной системы (LSA). Когда пользователь входит в домен, проверка подлинности Windows пакеты прозрачно используют учетные данные для предоставления единого входа при проверке подлинности учетных данных в сетевых ресурсах. Дополнительные сведения об учетных данных см. в разделе «Процессы учетных данных» в проверке подлинности Windows.
Форма многофакторной проверки подлинности для путешественника может быть требованием нести и представлять несколько документов для проверки подлинности его личности, таких как паспорт и информация о регистрации конференции. Windows реализует эту форму или проверку подлинности с помощью смарт-карт, виртуальных смарт-карт и биометрических технологий.
Субъекты безопасности и учетные записи
В Windows любой пользователь, служба, группа или компьютер, который может инициировать действие, является субъектом безопасности. Субъекты безопасности имеют учетные записи, которые могут быть локальными для компьютера или домена.
Например, компьютеры, присоединенные к домену клиента Windows, могут участвовать в сетевом домене, взаимодействуя с контроллером домена, даже если пользователь не вошел в систему. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене.
Перед приемом сообщений с компьютера локальный центр безопасности на контроллере домена проверяет подлинность удостоверения компьютера, а затем определяет контекст безопасности компьютера так же, как и для субъекта безопасности человека. Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на определенном компьютере или пользователе, службе, группе или компьютере в сети. Например, он определяет ресурсы, например общую папку или принтер, к которым можно получить доступ, а также действия, такие как чтение, запись или изменение, которые могут выполняться пользователем, службой или компьютером в этом ресурсе. Дополнительные сведения см. в разделе «Субъекты безопасности».
Учетная запись — это средство для идентификации заявителя— пользователя или службы, запрашивающего доступ или ресурсы. Путешественник, который имеет подлинный паспорт, обладает счетом с принимающей страной. Пользователи, группы пользователей, объектов и служб могут иметь отдельные учетные записи или общие учетные записи. Учетные записи могут быть членами групп и могут быть назначены определенные права и разрешения. Учетные записи могут быть ограничены локальным компьютером, рабочей группой, сетью или членством в домене.
Встроенные учетные записи и группы безопасности, в которых они являются членами, определяются в каждой версии Windows. С помощью групп безопасности можно назначить одинаковые разрешения безопасности многим пользователям, успешно прошедшим проверку подлинности, что упрощает администрирование доступа.
Для выдачи паспортов может потребоваться, чтобы путешественник был назначен определенным группам, таким как бизнес, или турист, или правительство. Этот процесс обеспечивает согласованные разрешения безопасности для всех членов группы. Использование групп безопасности для назначения разрешений означает, что управление доступом к ресурсам остается постоянным и простым в управлении и аудите. Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности по мере необходимости, можно свести к минимуму частоту изменений списков управления доступом (ACL).
Автономные управляемые учетные записи служб и виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и службы IIS, с изоляцией собственных учетных записей домена, устраняя необходимость администратора вручную администрировать имя субъекта-службы и учетные данные для этих учетных записей. Групповые управляемые учетные записи служб появились в Windows Server 2012 и предоставляют одинаковые функциональные возможности в домене, но также расширяют эту функцию на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект.
Дополнительные сведения об учетных записях см. в следующем разделе:
- Учетные записи Active Directory
- Группы безопасности Active Directory
- Локальные учетные записи
- Учетные записи Майкрософт
- Учетные записи служб
- Специальные группы
Делегированная аутентификация
Для использования аналогии с поездками страны могут предоставлять одинаковый доступ ко всем членам официальной правительственной делегации, если делегаты хорошо известны. Это делегирование позволяет одному члену действовать над полномочиями другого члена. В Windows делегированная проверка подлинности возникает, когда сетевая служба принимает запрос проверки подлинности от пользователя и предполагает удостоверение этого пользователя, чтобы инициировать новое подключение ко второй сетевой службе. Для поддержки делегированной проверки подлинности необходимо установить внешние или серверы первого уровня, такие как веб-серверы, которые отвечают за обработку запросов на проверку подлинности клиента и внутренних или n-уровневых серверов, таких как большие базы данных, которые отвечают за хранение информации. Вы можете делегировать право на настройку делегированной проверки подлинности пользователям в организации, чтобы уменьшить административную нагрузку на администраторов.
Установив службу или компьютер как доверенный для делегирования, вы позволяете этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, выполняющего запрос, а затем получить доступ к информации для этого пользователя. Эта модель ограничивает доступ к данным на внутренних серверах только тем пользователям или службам, которые представляют учетные данные с правильными маркерами управления доступом. Кроме того, он обеспечивает доступ к аудиту этих внутренних ресурсов. Требуя доступа ко всем данным с помощью учетных данных, делегированных серверу для использования от имени клиента, вы гарантируете, что сервер не может быть скомпрометирован и что вы можете получить доступ к конфиденциальной информации, хранящейся на других серверах. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах.
Проверка подлинности в отношениях доверия между доменами
Большинство организаций с несколькими доменами имеют законное потребность в доступе к общим ресурсам, расположенным в другом домене, так же, как путешественник может путешествовать в разные регионы страны. Для управления этим доступом требуется, чтобы пользователи в одном домене также могли пройти проверку подлинности и авторизоваться для использования ресурсов в другом домене. Чтобы обеспечить возможности проверки подлинности и авторизации между клиентами и серверами в разных доменах, между двумя доменами должно быть доверие. Отношения доверия — это базовая технология, с помощью которой происходит защищенное взаимодействие Active Directory и является неотъемлемой частью сетевой архитектуры Windows Server.
Если между двумя доменами существует доверие, механизмы проверки подлинности для каждого домена доверяют проверкам подлинности, поступающим из другого домена. Отношения доверия помогают обеспечить управляемый доступ к общим ресурсам в домене ресурса — доверенном домене, проверяя, что входящие запросы проверки подлинности поступают из доверенного центра — доверенного домена. Таким образом, отношения доверия выполняют роль мостов, которые позволяют перемещаться только проверенные запросы проверки подлинности между доменами.
Способ передачи запросов проверки подлинности определенного доверия зависит от того, как оно настроено. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверенном домене или двумя способами, предоставляя доступ из каждого домена к ресурсам в другом домене. Отношения доверия также являются непереходными, в этом случае доверие существует только между двумя доменами партнеров доверия или транзитивным, в этом случае доверие автоматически распространяется на любые другие домены, которыми доверяет любой из партнеров.
Сведения о том, как работает доверие, см. в разделе «Как работают отношения доверия домена и леса».
Переход по протоколу
Переход протокола помогает конструкторам приложений, позволяя приложениям поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователей и переключившись на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений.
Дополнительные сведения о переходе протокола см. в разделе » Переход протокола Kerberos» и ограниченное делегирование.
Ограниченное делегирование
Ограниченное делегирование дает администраторам возможность указывать и применять границы доверия приложений, ограничивая область действия служб приложений от имени пользователя. Можно указать определенные службы, из которых компьютер, доверенный для делегирования, может запрашивать ресурсы. Гибкость ограничения прав авторизации для служб помогает улучшить структуру безопасности приложений, уменьшая возможности компрометации ненадежными службами.
Дополнительные сведения об ограниченном делегировании см. в обзоре ограниченного делегирования Kerberos.
Источник: learn.microsoft.com
Зачем нужна проверка подлинности Windows?
Откуда взялась и зачем нужна проверка подлинности Windows?
Здесь уже обсуждали вопросы о проверке подлинности виндовс:
комментировать
в избранное
r-rusla n [8.5K]
11 лет назад
Разработчик ПО не может придти к Вам домой, и проверить, купленный Вами софт, или скачаный и крякнутый. А так как пиратство во всем мире процветает, и правообладатели на этом терпят громадные убытки, то внедряется возможность программной проверки подлинности ПО. Как правило это специальная утилита, которая несет на «борту» список уже «черных» ключей, собирает данные о системе и установленном ключе ПО, если ключ совпадает с тем что в черном списке, ПО блокируется и об этом выводится уведомление. Если совпадений не найдено, данные все равно отправляются разработчику для анализа. В Win этим занимается Windows Genuine Advantage Validation Tool который обрабатывает LegitCheckControl.dll
автор вопроса выбрал этот ответ лучшим
комментировать
в избранное ссылка отблагодарить
Андре й0817 [97.1K]
8 лет назад
Эта проверка подлинности нужна для того, чтобы вы не пользовались пиратской копией Windows, а купили лицензию.
Я больше года работал на ноутбуке с пиратской копией и мне постоянно всплывала на экран табличка с просьбой проверить Windows на подлинность, якобы я возможно стал жертвой мошенников. Я просто закрывал эту табличку и работал дальше. Антивирусник Аваст установлен и никакие вирусы меня не беспокоили. Производительность и скорость интернета была отличная, но потом меня уговорили активировать лицензионный Windows и я пожалел, что сделал это.
Скорость интернете снизилась за счет постоянных обновлений, вирусы стали проникать через Windows.
Короче, не нужно проверять подлинность Windows, просто закрывайте табличку и всё.
Источник: www.bolshoyvopros.ru
Windows — проверяем образ на оригинальность
Многие скачивают образы операционной системы Windows из интернета и не подозревают, что образ скаченный из интернета был переделан. В него могли добавить различные программы, модифицировать операционную систему по своему усмотрению. Добавить, изменить темы оформления в лучшем случае. Но могут и добавить программы шпионы, внедрить различные вредоносные коды и программы.
В этой статье будет рассказано о том как проверить и где взять оригинальную сборку операционной системы Windows. Установка оригинального софта не только залог правильной и стабильной работы, но и в некоторых случаях продлевает срок службы вашего оборудования. Какую операционную систему ставить на свой компьютер решает каждый сам. Хотите ставьте репак скаченный с одного из файлообменника, торент трекера или ставьте оригинальный Windows.
Я не призываю всех пользоваться лицензионным программным обеспечением, это каждый решает для себя сам.
В этой статье пойдет речь о том как проверить на оригинальность образ скаченного вами Windows
Скаченный вами образ не всегда оказывается оригинальным, то есть в него вносились какие то изменения. Изменения могут быть как безобидными так и нести какую то цель, начиная от простого вируса, но чаще это троян, программа по сбору информации и как последствие кража ваших данных и финансов. Вы даже знать не будете о ее существовании, если не имеете защиту и не выполняете простые правила серфинга в интернете.
Вы скачали образ операционной системы, не важно от куда, вам нужно убедиться в оригинальности скаченного вами Windows
Первое для проверки подлинности вам необходимо установить программу которая будет считать хеш сумму вашего образа. Хеш сумма файла — это по сути код файла (своего рода отпечаток пальца) который у каждого файла свой единственный и неповторимый. Если внести изменение в файл, не важно какое, даже просто изменить одну букву в структуре файла то хеш сумма изменится.
Более доступно для понимания далеких людей от этой темы объясняет википедия:
С точки зрения математики контрольная сумма является результатом хеш-функции…
Контрольная сумма — некоторое значение, рассчитанное по набору данных путём применения определённого алгоритма и используемое для проверки целостности данных при их передаче или хранении. Также контрольные суммы могут использоваться для быстрого сравнения двух наборов данных на неэквивалентность: с большой вероятностью различные наборы данных будут иметь неравные контрольные суммы. Это может быть использовано, например, для обнаружения компьютерных вирусов. Несмотря на своё название, контрольная сумма не обязательно вычисляется путём суммирования.
Хватит теории давайте приступим к делу:
Устанавливаем программу для подсчета хеш суммы файла. Программа называется HeshTab, для этого скачиваем ее с официального сайта или тут с русскоязычного сайта. Программа совершенно бесплатна для не коммерческого использования.
Скачивайте ту версию программы которая соответствует вашей операционной системе. После скачивания установите ее.
Ни каких ярлыков программы на рабочем столе вы не увидите. Программа добавит в вашу операционную систему дополнительную функцию, для подсчета хеш суммы ваших файлов.
Для того чтоб увидеть, ту самую хеш сумму вашего файла, образа, необходимо навести курсор мыши на ваш образ и нажать правой кнопкой мыши, в появившемся меню выбрать свойства.
Перед вами откроется окно и на одной из вкладок вы увидите интересующую вас информацию.
Полученную хеш сумму необходимо сравнить с оригиналом.
Возникает вопрос где взять хеш сумму оригинального файла, образа, операционной системы
Все очень просто на этой странице официального сайта microsoft вы можете посмотреть все контрольные суммы выпущенных операционных систем. В окне продукты A-Z выберите на букву W и затем выберите необходимую операционную систему. Слева выбираете другие характеристики, интересующие вас, язык, разрядность.
Теперь осталось сравнить:
Из картинки выше вы наверное поняли как сравнить вашу хеш сумму.
Можно конечно визуально сравнить, но согласитесь это нелепо. Просто скопируйте контрольную сумму на сайте microsoft и вставьте в окно для сравнения. Если сумма совпадает то вы увидите зеленую галочку.
Недавно узнал о новом способе проверки образов microsoft на оригинальность, этот способ более удобен и доступен каждому.
Читайте о втором способе в этой статье
Надеюсь эта статья вам поможет.
Источник: propk.ru