Группа сотрудников Microsoft, ответственная за подсистему аутентификации (Windows Authentication Team) работает над базовыми компонентами аутентификации, такими как LSA, а также над протоколами аутентификации Kerberos, SSL, NTLM и Digest…
Группа состоит из 5-ти program manager-ов, 10-ти разработчиков и 11 тестеров. Кроме того, в группе работает проектировщик (architect) Пол Лич (Paul Leach), который занимает должность главного инженера (Distinguished engineer) в Microsoft (это высшая техническая должность этой корпорации). Пол работает в группе аутентификации с начала 90-х годов. Кроме Пола в этой команде работают другие проектировщики, такие как Батлер Лэмпсон (Butler Lampson), которые обеспечивают поддержку и управление при разработке долгосрочных проектов. Батлер Лэмпсон - обладатель премии Microsoft Technical and Turing. Он знаменит благодаря работе, связанной с распределенными системами аутентификации, которая называется «Аутентификация в Распределенных Системах: Теория и Практика».
Сегодня команда работает над внедрением новых возможностей в систему аутентификации Windows Vista. К основным нововведениям относятся:
GINA (Graphical Identification and Authentication) заменена на Диспетчер Учетных данных (Credential Provider) В предыдущих версиях ОС тонкая настройка интерактивного входа пользователя выполнялась путем создания собственной GINA. Помимо простого сбора аутентификационной информации и получения из нее UI, GINA выполняла и ряд других функций. Именно поэтому, создание собственной GINA – весьма трудоемкая задача, обычно требующая PSS (Служб поддержки продукта Microsoft) для успешной реализации. Часто использование собственной GINA приводило к неожиданным последствиям, таким как невозможность быстрого переключения пользователей или невозможность доступа с помощью смарт-карт. В Windows Vista, GINA была заменена на новый, модульный Диспетчер Учетных данных, который проще перепрограммировать.
Новый Диспетчер обеспечения безопасности учетных данных (Credential Security Service Provider, CredSSP) Диспетчер обеспечения безопасности учетных данных это новый компонент, который доступен в Windows через интерфейс Поставщика поддержки безопасности (Security Support Provider, SSP). CredSSP позволяет приложению передавать учетные записи пользователей от клиента (используется SSP на стороне клиента) на целевой сервер (используется SSP на стороне сервера).
Хотя CredSSP был изначально предназначен для удовлетворения требований Сервера Терминалов, сегодня он активно используется веб-службами и доступен для любого встроенного или стороннего приложения через интерфейс SSP. Службами Терминалов CredSSP используется для обеспечения единой регистрации (Single Sign-On, SSO).
Мастер архивации и восстановления имен пользователей и паролей Для сохранения паролей и имен пользователей, в Windows Vista включен мастер по архивированию и восстановлению, который позволяет пользователям заархивировать требуемые имена пользователей и пароли для последующего их хранения. Благодаря новой возможности, пользователи могут восстанавливать имена и пароли на любых компьютерах с ОС Windows Vista. Восстановление имен и паролей из файла архива приведет к замене всех существующих на данный момент в компьютере учетных записей пользователей.
Улучшения в SSL/TLS Microsoft добавила поддержку новых SSL и TLS расширений, которые позволяют использовать алгоритмы шифрования AES и ECC. Поддержка AES не присутствует в ОС Microsoft Windows 2000 и Windows Server 2003, а ведь данный алгоритм стал государственным стандартом шифрования в США. С целью ускорения шифрования больших объемов информации, в ОС были добавлены модули, обеспечивающие поддержку AES.
Поддержка алгоритма шифрования ECC для защищенных каналов (Schannel) Криптография, основанная на эллиптических кривых, известная как ECC – это ассиметричный метод шифрования, т.е. использующий открытый ключ. ECC, будучи основанным на теории эллиптических кривых, использовался для создания эффективных и небольших по длине ключей. ECC отличается от других алгоритмов тем, что последние используют очень большие простые числа для создания ключей, в то время как ECC использует уравнение эллиптической кривой для генерации ключей.
В Windows Vista Поставщик поддержки безопасности для защищенных каналов (Schannel SSP) содержит модуль поддержки ECC-криптографии. Сегодня рассматриваются вопросы по поводу включения ECC в TLS.
Повышение продуктивности шифрования в защищенных каналах Windows Vista предлагает Открытый Криптографический Интерфейс (Open Cryptographic Interface, OCI) и инструменты повышения продуктивности шифрования для защищенных каналов. Microsoft рекомендует правительственным организациям использовать эти инструменты для замены верхнего уровня функционирования Schannel (что-то вроде уровней модели OSI) на произвольный набор криптоалгоритмов. Теперь у организаций есть возможность самостоятельного формирования набора криптоалгоритмов, которые впоследствии можно будет подключить к Schannel.
Поддержка AES протоколом Kerberos Windows Vista позволяет использовать шифрование AES вместе с протоколом аутентификации Kerberos. По сравнению с Windows XP произошли следующие изменения: - Протокол Kerberos в базовой конфигурации будет поддерживать AES для шифрования TG-билетов, сеансовых ключей. - Механизм Generic Security Services (GSS)-Kerberos будет поддерживать AES. Теперь AES может использоваться для защиты взаимодействий типа клиент/сервер в ОС Windows Vista.
Поддержка аутентификации для контроллеров домена филиалов В Windows Vista включены изменения для поддержки аутентификации контроллеров доменов (DC) филиалов организации на сервере Windows Longhorn. Изменения затронули и Центр Распределения Ключей (Key Distribution Center, KDC). Теперь он способен выпускать билеты только для пользователей филиалов и направлять другие запросы в hub DC.
Гибкая поддержка аутентификации при помощи смарт-карт Хотя в Microsoft Windows Server 2003 и включена поддержка смарт-карт, типы сертификатов, которые могут содержать смарт-карты, сильно ограничены строгими требованиями. Во-первых, каждый сертификат должен иметь имя главного пользователя (user principal name, UPN), с которым он ассоциируется, а также содержать в поле extended key usage, (EKU) smartcard logon OID (Идентификатор объекта). Необходимо добавить, что каждый сертификат требует, чтобы цифровая подпись использовалась вместе с шифрованием.
Для улучшения развертывания смарт-карт в организации, Microsoft произвела изменения в операционной системе Windows c целью поддержки различных видов сертификатов. Теперь пользователи смогут использовать смарт-карты с сертификатами, свободными от соответствия вышеописанным требованиям.
Время последнего входа в систему Эта функция отображает время последнего удачного входа в систему вместе с числом неудачных попыток входа в момент успешного входа в систему (т.е при входе в систему появится сообщение о времени последнего удачного входа в систему и числа неудачных попыток этого последнего входа). Эта политика позволит пользователю определить использовалась ли его учетная запись без его ведома или же нет.
Источник: http://blogs.msdn.com/windowsvistasecurity/ Перевод: Иван К.