В этой статье я просто перечисляю системные компоненты безопасности, которые используются в системе Windows. И даю краткое описание каждому компоненту.
Монитор безопасности (SRM)
SRM (Security reference monitor) находится в исполняющей системе (ntoskrnl.exe), это значит, что он работает в режиме ядра. Коротко говоря, этот монитор отвечает за проверку того, может ли один объект получить доступ к другому объекту.
А также этот монитор использует специальный драйвер (Ksecdd.sys) который работает в режиме ядра. Именно он реализует систему вызовов (ALPC), которая используется для обмена между CRM (режим ядра) и LSASS (пользовательский режим).
Подсистема локальной авторизации (LSASS)
LSASS (Local Security Authority Subsystem Service) — это подсистема локальной авторизации, которая работает в процессе пользовательского режима lsass.exe.
Короче говоря эта подсистема отвечает за политику безопасности локальной системы, аутентификацию и отправку сообщений в журнал событий (Event Log). У этой подсистемы есть своя база данных с настройками политик безопасности локальной системы. Хранится она в реестре HKLM\Security и защищена ACL.
Если посмотреть внимательнее на этот процесс в «Process Explorer«, то можно заметить, что он управляет несколькими службами:
SamSs (диспетчер учетных записей безопасности) — управляется базой данных пользователей на локальной машине. База данных SAM содержит имена локальных пользователей, их группы и пароли, а также другие атрибуты. Эта база данных хранится в реестре HKLM\SAM.
Netlogon (сетевой вход в систему). Обеспечивает безопасный канал связи между компьютером и контроллером домена для проверки пользователей и служб.
Keylso (изоляция ключей CNG). Хранит приватные ключи в процессе lsass.exe. Напрямую служба не связана с криптографией, но она обеспечивает долговечное хранение криптографической информации.
VaultSvc (диспетчер учетных данных). Обеспечивает защищенное хранение и извлечение учетных данных пользователей, приложений и служебных пакетов. Она необходима, например, для авторизации в Магазине Windows.
Здесь вам встретились две базы данных: Security и SAM, которые хранятся в реестре Windows. Чтобы попасть в разделы HKLM\Security и HKLM\SAM нужно открыть редактор реестра от имени локальной системы. Это можно сделать с помощью PsExec, входящего в набор Windows Sysinternals:
> PsExec.exe -s -i -d c:\Windows\regedit.exe
Служба каталогов (AD)
Служба Active Directory (AD) — это технология позволяет объединить различные объекты сети в единую систему. Она управляется одноименной базой данных. В которой хранится информация о пользователях, группах, компьютерах, а также там хранятся политики домена и привилегии пользователей.
Для реализации этой технологии, необходим специальный сервер — контроллер домена. Именно он хранит базу данных, а если таких серверов в домене несколько, то эта база реплицируется на все контроллеры домена.
А также контроллер домена выполняет функции аутентификации пользователей и устройств в сети. При попытке использовать любой из объектов (компьютер, сервер, принтер), выполняется обращение к контроллеру домена, который либо разрешает это действие, либо не разрешает.
Объекты отвечающие за вход в систему
Интерактивный диспетчер входа в систему работает в процессе winlogon.exe. Этот диспетчер отвечает за интерактивный вход в систему. Он создает первый пользовательский процесс при входе пользователя в систему.
Пользовательский интерфейс входа в систему работает в процессе logonui.exe. Он предоставляет пользователям интерфейс для аутентификации различными методами. Эти методы зависят от поставщиков учетных данных (CP).
Поставщики учетных данных (CP) — это COM-объекты. Они запускают процесс logonui.exe и могут использовать различные данные для аутентификации пользователя: логин и пароль, PIN-код смарткарты или биометрические данные.
AppLocker
Механизм AppLocker позволяет администраторам определять, какие исполняемые файлы, DLL-библиотеки и сценарии могут использоваться конкретными пользователями и группами. AppLocker состоит из драйвера Appld.sys и службы AppIDSvc, выполняемой в процессе SvcHost.exe.
