? Man kann nicht \\ " schaffen \\ " eine Privilege Attribute Certificate . Das Privilege Attribute Certificate (PAC ) ist eine Funktion innerhalb der Windows- Sicherheits-System aufgerufen werden, wenn Sie sich an einem System mit Kerberos. Die Windows 2008 Kerberos-Implementierung der Authentifizierung verwendet ausschließlich die PAC und keine andere . Kerberos ist ein Netzwerk- Authentifizierungsprotokoll, Kryptographie , um die Zertifikate durch eine doppelte Authentifizierung System von Benutzern und Servern zu erzeugen. Kerberos Fakten
Dies ist ein Netzwerk-Authentifizierungsprotokoll . Es funktioniert mit geheimen Schlüsseln . Erstellt durch das Massachusetts Institute of Technology, MIT oder ist es frei verfügbar im Internet unter Web.MIT.edu /Kerberos . Die Kerberos-Verschlüsselung funktioniert durch die Verschlüsselung der gesamten Kommunikation zwischen dem Server und dem Client. Er stellt die verschlüsselte Sitzung , nachdem der Client authentifiziert sich der Server mit einem Benutzernamen und Kennwort . Die speziell verarbeitete berechneten Schlüssel eine binäre Zahl ist . Das verwendete Verfahren kodiert oder verschlüsselt die gesamte Kommunikation , nachdem der Benutzer authentifiziert . Kerberos läuft durch die Hilfe eines Key Distribution Center ( KDC ) . Das KDC stellt temporäre Session- Zertifikate , Tickets und Session-Keys für diejenigen, die eine Active Directory- Domäne . Kerberos läuft in jeder der Domänen entweder als Controller oder den Teil der Active Directory Domain Services (addiert ) .
PAC Fakten
Windows 2008 Kerberos verwendet die PAC streng mit seiner doppelten Authentifizierungssystem . Kerberos ist ein Ticket basiertes System, das eine verschlüsselte , sichere Verbindung schafft , während Sie die Tickets . Die PAC -Zertifikat an den Client überträgt durch das Kerberos KDC . Sobald der Client authentifiziert , oder anmeldet, Kerberos ein Ticket Granting Ticket (TGT ), die Voraussetzungen für die künftige Authentifizierung während der gleichen Sitzung . Die TGT ermöglicht dann den Zugriff auf bestimmte Anwendungen und /oder Ressourcen. Die PAC , die Information der Benutzer, wie die Benutzer- ID Sicherheit , Gruppenzugehörigkeiten und seine Rechte in der Domäne enthält . Weil es enthält auch die Daten der Personen mit dem Prinzip , oder Kerberos authentifiziert , die Anzahl der Gruppen eine Person gehören kann begrenzt werden. Diese Eigenschaften sind spezifisch für die Windows Server-Plattform , PAC gilt nur für Windows- PAC und Kerberos. Der PAC Zertifikat benötigt eine bestimmte digitale Zertifikat, das eine Signatur an sie diese Attacken zu verhindern braucht . Es verhindert, dass tatsächlich gegen eine Erhöhung von Berechtigungen Angriffe .
PAC Creation
Das Kerberos-System schafft die PAC , wenn ein Benutzer authentifiziert auf der Domäne oder das Netzwerk . Dies ist nur in der Windows 2000 Kerberos-System , da die PAC speichert Windows-Domäne Benutzer -spezifischen Informationen . Andere Kerberos -Systeme verwenden die gleichen Methoden, obwohl sie unterschiedliche Systeme nutzen Zertifikat . Wenn Sie ein Systemadministrator sind, können Sie bestimmte Eigenschaften des PAC jedoch angeben , der Server sichert und schafft das eigentliche Ticket , das die PAC enthält , um die Daten zu schützen. Verschlüsselung von Anmeldeinformationen in einem PAC ermöglicht sichere Übertragung dieser Anmeldeinformationen während einer PKINIT Anmeldung Angriff , nach dem Kerberos -Website .
