使用协议转换－防御提示.docVIP

　　使用协议转换 － 防御提示～教育资源库 　　本文示例源代码或素材下载 目录 　　权限的难题 　　将高权限进行分解 　　内核对象和句柄 　　内核对象和 ACL 　　一个示例网关 　　安全注意事项 　　随着 icrosoftreg; 文件服务器的名称。 　　图 1为协议转换配置帐户 　　顺便提一下，您可能对我在普通用户帐户上能显示 Delegation 选项卡感到奇怪。这是因为我已经为该用户帐户分配了服务主体名称 (SPN)，这将告诉 Active Directoryreg; 帐户是用于一项服务而非一个用户。Delegation 选项卡将只为至少分配了一个 SPN 的安全主体而显示，这就是为什么正常情况下您只能在计算机帐户中查看它的原因。如果您尚不确定什么是 SPN，请参阅什么是服务主体名称。 　　权限的难题 　　协议转换的确是一项很不错的功能，但这种无需知道用户的密码即可为其创建登录会话的基本能力就有些令人担忧。从技术上来讲，您甚至无需被授予协议转换权限就可做到这一点；任何人都可以使用 S4U2Self Kerberos 扩展来为 = c:; 　　Console.)); }　　假设，她正通过将其权限暂时升级到域管理员级别来攻击本地计算机中的安全帐户数据库。 　　很显然，如果攻击得逞，后果是很严重的。但这是绝对不可能的。您可以看到，虽然这个黑客能够成功执行最初几行代码，但她执行 S4U 登录时所收到的安全令牌权限非常弱，不会支持用户模拟。她对 File.ReadAllText 的调用将失败，因为她所收到的管理员帐户令牌只可用于识别管理员，而不能模拟管理员。 　　只有具有更高权限的用户才可以使用 WindowsIdentity 中的 S4U 登录构造函数来获得可成功用于模拟的令牌。在后台，此构造函数调用的 Win32reg; 123456下一页 友情提醒：，特别！API (LsaLogonUser) 将检查调用进程的标识是否含有 SeTcbPrivilege，默认情况下，SYSTEM 是包含 SeTcbPrivilege 的。这是 icrosoft . Frame.Security.AccessControl 以及如何使用 + 来承载运行高权限的进程。 　　内核对象和句柄 　　每个 运行的服务中自动承载您的组件。另外，您不必为该服务编写任何代码。请不要忘记 + 中内置的基于角色的安全功能，它将使您能够限制对组件中登录方法的访问，这样一来，只允许被授权运行您的网关的安全主体使用登录服务。 　　构建 LogonService 程序集后，我通过运行 RegSvcs.exe 将其放入 + 目录，打开组件服务管理工具并找到 LogonService 的 + 服务器包。为了将其加入到以 SYSTEM 运行的服务中，所要做的是为该包生成属性表，打开激活选项卡，选中以 NT 服务运行应用程序复选框。完成上述操作后，返回到标识选项卡，现在，该选项卡中的本地系统标识选项已处于可用状态。通过选择该选项，完成对登录服务的配置，将其以 SYSTEM 来运行。 　　内核对象和 ACL 　　需要牢记的另一件关于 Windoe.Security.AccessControl 中的类进行了扩展以支持在令牌中读取和写入 ACL。我记得以前曾经对此进行过介绍，不过我仍然要对开发 AccessControl 命名空间的 Wi 上一页123456下一页 友情提醒：，特别！ndo TokenRights : int { 　　AssignPrimary　　　 = 0x0001, 　　Duplicate　　　　　 = 0x0002, 　　Impersonate　　　　 = 0x0004, 　　Query　　　　　　　 = 0x0008, 　　QuerySource　　　　 = 0x0010, 　　AdjustPrivileges　　= 0x0020, 　　AdjustGroups　　　　= 0x0040, 　　AdjustDefault　　　 = 0x0080, 　　AdjustSessionId　　 = 0x0100, 　　Read　　　　　　= 0 　　aximumAlloSecurity = 0 } public class TokenAccessRule : AccessRule { 　　public TokenAccessRule(IdentityReference identity, 　　　　TokenRights tokenRights, AccessControlType aceType) 　　　　: base(identity, (int)tokenRight