Открыть сервис

Windows-аутентификация

Windows-аутентификация — это процесс проверки подлинности учётной записи пользователя или компьютера при попытке получения доступа к ресурсам, управляемым операционной системой Microsoft Windows. Она является фундаментальным компонентом системы безопасности Windows, обеспечивающим идентификацию субъекта (пользователя, службы, устройства) и подтверждение его права на доступ к объектам (файлам, папкам, принтерам, сетевым ресурсам). Механизмы аутентификации в Windows включают как локальные методы (проверка на отдельном компьютере), так и сетевые протоколы, используемые в доменной среде Active Directory.

История развития

Ранние версии Windows (Windows NT 3.1 — Windows 2000)

Первая версия Windows, основанная на ядре NT (Windows NT 3.1, 1993 год), внедрила архитектуру безопасности, которая стала основой для всех последующих версий. В ней использовался протокол NTLM (NT LAN Manager), разработанный как замена более уязвимому LM (LAN Manager). NTLM обеспечивал аутентификацию с помощью хешей паролей и работал в одноранговых сетях и доменах Windows NT.

Эпоха Active Directory (Windows 2000 — Windows Server 2008)

С выходом Windows 2000 была представлена служба каталогов Active Directory, которая интегрировала аутентификацию с протоколом Kerberos. Kerberos стал основным протоколом для доменных сред, обеспечивая более высокую безопасность и производительность по сравнению с NTLM. NTLM остался в качестве резервного протокола для совместимости с устаревшими системами.

Современные версии (Windows 7 и новее)

Начиная с Windows 7 и Windows Server 2008 R2, Microsoft усилила требования к безопасности, в том числе отключив по умолчанию LM-хеши и ограничив использование NTLM. В Windows 10 и Windows 11 появились новые механизмы, такие как Windows Hello (биометрическая аутентификация) и Credential Guard (защита учётных данных от кражи).

Основные протоколы и механизмы

NTLM (NT LAN Manager)

NTLM — это протокол аутентификации запрос-ответ, использующий хеширование паролей. Он работает в три этапа:

  1. Клиент отправляет запрос на аутентификацию серверу.
  2. Сервер генерирует случайное число (nonce) и отправляет его клиенту.
  3. Клиент вычисляет хеш пароля, комбинирует его с nonce и отправляет результат серверу, который проверяет его, сравнивая с собственным вычислением.

NTLM уязвим к атакам типа «передача хеша» (pass-the-hash), что делает его менее безопасным, чем Kerberos. В современных версиях Windows его использование рекомендуется только для совместимости с устаревшими приложениями.

Kerberos

Kerberos — это сетевой протокол аутентификации, основанный на билетах и симметричных ключах. Он является стандартом для доменов Active Directory и работает следующим образом:

  1. Клиент обращается к центру распределения ключей (KDC), который является частью контроллера домена.
  2. KDC выдаёт билет для получения билета (TGT — Ticket-Granting Ticket), зашифрованный мастер-ключом клиента.
  3. Клиент использует TGT для запроса билета для конкретного сервиса (ST — Service Ticket).
  4. Сервис проверяет билет, используя свой секретный ключ, и предоставляет доступ.

Kerberos обеспечивает взаимную аутентификацию (клиент и сервер проверяют друг друга) и устойчив к атакам перехвата и подмены.

Windows Hello

Windows Hello — это биометрический метод аутентификации, представленный в Windows 10. Он позволяет пользователям входить в систему с помощью отпечатка пальца, распознавания лица или радужной оболочки глаза. Данные биометрии хранятся локально на устройстве в зашифрованном виде и не передаются по сети. Windows Hello использует технологию Trusted Platform Module (TPM) для защиты ключей.

Credential Guard

Credential Guard — это функция, впервые появившаяся в Windows 10 Enterprise и Windows Server 2016. Она изолирует хеши паролей и билеты Kerberos в виртуализированном контейнере, защищённом с помощью Hyper-V. Это предотвращает кражу учётных данных даже в случае компрометации операционной системы.

Типы аутентификации

Локальная аутентификация

Локальная аутентификация выполняется на отдельном компьютере без участия сетевых служб. Учётные данные хранятся в локальной базе SAM (Security Account Manager). При входе в систему Windows сравнивает введённый пароль с хешем, хранящимся в SAM. Этот метод используется в рабочих группах и на изолированных компьютерах.

Сетевая аутентификация

Сетевая аутентификация применяется при доступе к ресурсам на других компьютерах или серверах. Она может быть:

Веб-аутентификация

Windows поддерживает аутентификацию через веб-браузеры, например, с помощью протокола OAuth или SAML, интегрированного с Active Directory Federation Services (AD FS). Это позволяет пользователям входить в облачные сервисы, такие как Microsoft 365, используя корпоративные учётные записи.

Компоненты системы аутентификации

Security Account Manager (SAM)

SAM — это база данных, хранящаяся в реестре Windows (файл %SystemRoot%\system32\config\SAM). Она содержит хеши паролей локальных учётных записей. SAM защищена от прямого доступа, но может быть атакована с помощью утилит для извлечения хешей (например, Mimikatz).

Local Security Authority (LSA)

LSA — это подсистема Windows, отвечающая за проверку подлинности учётных записей. Она обрабатывает запросы на вход, управляет политиками безопасности и взаимодействует с другими компонентами, такими как Kerberos и NTLM.

Active Directory (AD)

Active Directory — это служба каталогов, используемая в доменных средах. Она хранит информацию о пользователях, компьютерах, группах и политиках безопасности. Контроллеры домена, на которых развёрнута AD, выполняют роль KDC для протокола Kerberos.

Безопасность и уязвимости

Атаки на NTLM

NTLM подвержен атакам «передача хеша» (pass-the-hash), при которых злоумышленник, получив хеш пароля, может использовать его для аутентификации без знания исходного пароля. Для защиты рекомендуется отключить NTLM в доменах и использовать Kerberos.

Атаки на Kerberos

Kerberos уязвим к атакам типа «золотой билет» (Golden Ticket), когда злоумышленник, получив доступ к мастер-ключу KDC (KRBTGT), может создать неограниченное количество билетов TGT. Для защиты необходимо регулярно менять пароль учётной записи KRBTGT и использовать инструменты мониторинга.

Кража учётных данных

Утилиты, такие как Mimikatz, могут извлекать хеши паролей и билеты из памяти LSA. Credential Guard и Windows Hello снижают риск таких атак, изолируя учётные данные.

Применение

Корпоративные сети

В корпоративных средах Windows-аутентификация используется для управления доступом к файловым серверам, принтерам, базам данных и другим ресурсам. Active Directory позволяет централизованно управлять учётными записями и политиками.

Облачные сервисы

Windows-аутентификация интегрируется с облачными платформами, такими как Microsoft Azure, через Azure Active Directory (Azure AD). Это обеспечивает единый вход (SSO) для пользователей, работающих с приложениями Microsoft 365.

Персональные компьютеры

На домашних компьютерах Windows-аутентификация используется для входа в систему, защиты файлов и управления учётными записями пользователей. Windows Hello упрощает процесс входа с помощью биометрии.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →