Autentifikace

K lokálnímu systému se uživatel přihlašuje uživatelským jménem a heslem, nikoli SIDem. Odlišení uživatelů uživatelskými jmény postačuje, protože jeden správce uživatelských účtů (SAM) může vést pouze jeden účet určitého názvu. Vzdálená autentifikace probíhá také uživatelským jménem a heslem a i v tomto případě takové rozlišení

postačuje, poněvadž správce uživatelských účtů, ke kterému se přistupuje vzdáleně, taktéž může vést pouze jeden účet určitého názvu. Na systémech Windows není uživatelské jméno citlivé na velikost písmen, naopak heslo je CASE-SENSITIVE.

Ve skupinovém uspořádání, o kterém pojednává tento seriál, nelze běžnou cestou ACL NTFS a ACL sdílení obohacovat o ACEs objektů zabezpečení neznámých (SID, pro který není známo jméno objektu) lokálnímu systému (serveru sdílení). Hrubou silou by tam neznámé SIDy sice protlačit možné bylo, ale nemělo by to pražádný význam pro sdílení, protože vzdálená autentifikace nehledí na SID. Z uvedeného vyplývá, že server musí vést uživatelské účty všech uživatelů, pro něž má být rozlišen přístup ke sdílení.

Klient, pokud se jedná o systém Windows 2000/XP, se vůči serveru při přístupu ke sdílenému prostředku implicitně ověřuje tím uživatelským jménem a tím heslem, pod kterým je v klientském systému uživatel, který ke sdílenému prostředku přistoupil. Pokud takové ověření nebude úspěšné, klientský systém uživatele vyzve k zadání přihlašovacích údajů (platných ve vzdáleném systému). Aby byl výklad úplný, tak ještě doplním, že přihlašovací údaje lze zadat explicitně ještě před pokusem o přístup ke sdílenému prostředku. V takovém případě uživatelské jméno a heslo, které charakterizuje lokální přihlášení uživatele k systému (ve sdílení vystupujícímu jako klient), nebude posláno do sítě (tento díl se nezabývá ochranou hesla přenášeného po síti). Podstatné je, že na klientu a serveru nemusí existovat stejný uživatelský účet se stejným heslem, aby klient s libovolným lokálním uživatelským jménem a heslem mohl být úspěšně ověřen serverem. Dokonce klient nemusí být ani platforma Windows; postačuje mu znalost komunikačních protokolů používaných serverem.

Pro názornost jednoduchý příklad:

Možné situace:

Uvedené SIDy jsou velmi zjednodušené (pouze pro vytvoření představy, že SID pro uživatele je vždy jiný). Ve sloupci Lokální přihlášení je uživatelské jméno, pod nímž je uživatel úspěšně přihlášen k systému, který ve sdílení vystupuje jako klientský. Typ přístupu implicitní znamená, že uživatel před přístupem ke sdílení nezadal přihlašovací údaje; explicitní znamená, že zadal. Přístup údaji je uživatelské jméno/heslo, kterým se klient ověřuje vůči serveru (u implicitního typu přístupu je stejné jako přihlašovací údaje na klientovi). Výsledek předpokládá standardní nastavení, ve kterém není povolen anonymní přístup ani zjednodušené sdílení, všechny zobrazené účty povolené s hesly, jejichž platnosti dosud nevypršely, a umožnění vzdáleného přihlášení všem zobrazeným účtům na straně serveru. Členství určuje zabudované objekty zabezpečení, jejichž členem je přistupující entita.

Relace (session) je v kontextu tohoto seriálu logický kanál mezi klientem a serverem. Relace je reprezentována záznamy v paměti klienta i serveru. Vedení relace ulehčuje serveru tím, že nemusí při zpracovávání každého požadavku ověřovat uživatele proti SAM; klientu pomáhá tak, že nemusí serveru odesílat přihlašovací údaje (credentials) při každém požadavku. V relacích je vedeno vždy to uživatelské jméno, které bylo uvedeno v požadavku na navázání relace, nezávisle na výsledném uděleném přístupu (výsledný udělený přístup nemusí odpovídat právům účtu na serveru, vzhledem k němuž proběhlo přihlášení). Navazování, monitorování a ukončování relací bude věnována pozornost v jiné části. Vzhledem k doposud vysvětlené problematice nepodstatné, leč pro vysvětlení dalších situací významné, je pořadí vykonávání činností serveru při pokusu o přístup ke sdílené složce (navazování relace):

1. Pokus o autentizaci uživatele v SAM (řídí se pravidly, která teprve budou postupně odtajňována) a přidělení práv vytvářené relaci. V případě neúspěchu odmítnutí navázání relace.
2. Ověření existence sdílení, ke kterému se přistupuje. V případě neexistence odmítnutí navázání relace.
3. Ověření, jestli se jedná o administrátorské sdílení. Pokud ano a pokud ověřený uživatel není členem skupiny Administrators ani Backup Operators, odmítnutí navázání relace.

Všimněte si, že server při navazování relace nehledí na oprávnění sdílení sdílení, ke kterému klient přistupuje. Omlouvám se, že doposud jsem oprávnění sdílení popisoval nepřesně (bylo by takřka nemožné se v textu zorientovat). Oprávnění sdílení neovlivňuje navazování relací, nýbrž omezuje až samotné požadavky směrované na obsah sdílené složky. Proto je požadavek na navázání relace s platným uživatelským jménem a heslem v SAM serveru na sdílení, ke kterému nemá přistupující uživatel žádná výsledná efektivní práva, úspěšný. Relace bude navázána, ale veškeré požadavky na přístup k obsahu sdílené složky odmítány.

Důležitou vlastností serveru je omezení použití prázdných hesel. Implicitně se mohou uživatelé s prázdnými hesly k systému Windows XP přihlašovat pouze lokálně. Restrikci konfiguruje položka LimitBlankPasswordUse v klíči HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA (0 - prázdná hesla neomezena, 1 - prázdná hesla omezena). Nastavení můžeme změnit také v Místním nastavení zabezpečení (secpol.msc) v sekci Místní zásady (Local Policies) | Možnosti zabezpečení (Security Options) změnou položky Účty: Omezit použití prázdného hesla místního účtu pouze pro přihlášení ke konzole (Accounts: Limit local account use of blank passwords to console logon only). Konzola Místní nastavení zabezpečení však není přítomna na systémech Windows XP Home Edition. Na systémech Windows 2000 restrikce neexistuje (testováno na Service Packu 4) a v době psaní tohoto dílu autor seriálu neznal cestu, jíž by bylo možné totožného efektu docílit.

Další "feature" serveru pouze systému Windows XP je zjednodušené sdílení:

• Tato implicitně nastavená zásada zajistí úspěšnou autentizaci kombinaci libovolného neprázdného uživatelského jména a libovolného hesla, pokud je na serveru povolen účet Guest, má nastaveno prázdné heslo (implicitní nastavení) a je mu umožněno bezpečnostními politikami (zásadami) serveru vzdálené přihlášení.
• Ať už jsou přihlašovací údaje jakékoli, byť úspěšné pro libovolného uživatele v SAM serveru, přidělená práva jsou pouze na úrovni účtu Guest; s touto povolenou zásadou není možné rozlišení vzdáleného přístupu a administrátorská sdílení nemohou být přístupná (pokud Guest není členem skupiny Administrators nebo Backup Operators, což je z bezpečnostního hlediska nemyslitelné).
• Ověřený uživatel při zjednodušeném sdílení je považován za člena zabudovaného objektu zabezpečení Everyone, ale ne Authenticated Users ani ANONYMOUS LOGON.
• Zjednodušené sdílení je aktivní, nemá-li položka ForceGuest v klíči HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA hodnotu 0 na systémech Windows XP Professional; zásadu lze konfigurovat editací registru nebo v Možnostech složky (Folder Options) na kartě Zobrazení (View) položkou Použít zjednodušené sdílení souborů (doporučeno) (Use simple file sharing (Recommended)). Na systémech Windows XP Home Edition je zjednodušené sdílení povoleno vždy a standardní cestou nelze toto nastavení změnit.