Articulo de referencia

Interfaz del proveedor de soporte de seguridad

La interfaz del proveedor de soporte de seguridad ( SSPI ) es un componente de la API de Windows que realiza operaciones relacionadas con la seguridad, como la autenticación . S...

La interfaz del proveedor de soporte de seguridad ( SSPI ) es un componente de la API de Windows que realiza operaciones relacionadas con la seguridad, como la autenticación .

SSPI funciona como una interfaz común para varios proveedores de soporte de seguridad (SSP): [ 1 ] Un proveedor de soporte de seguridad es una biblioteca de vínculos dinámicos (DLL) que pone a disposición de las aplicaciones uno o más paquetes de seguridad.

Proveedores

Los siguientes SSP están incluidos en Windows:

Comparación

SSPI es una variante propietaria de la Interfaz de Programación de Aplicaciones de Servicios de Seguridad Genéricos (GSSAPI), con extensiones y tipos de datos muy específicos de Windows. Se incluyó en Windows NT 3.51 y Windows 95 con el NTLMSSP . Para Windows 2000, se añadió una implementación de Kerberos 5, que utiliza formatos de token conformes al estándar de protocolo oficial RFC 1964 (el mecanismo GSSAPI de Kerberos 5) y proporciona interoperabilidad a nivel de red con implementaciones de Kerberos 5 de otros proveedores.

Los tokens generados y aceptados por el SSPI son en su mayoría compatibles con la API GSS, por lo que un cliente SSPI en Windows podría autenticarse con un servidor GSS-API en Unix, dependiendo de las circunstancias específicas.

Una deficiencia importante de SSPI es su falta de enlaces de canal , lo que imposibilita cierta interoperabilidad con GSSAPI.

Otra diferencia fundamental entre la GSSAPI definida por la IETF y la SSPI de Microsoft es el concepto de " suplantación ". En este modelo, un servidor puede operar con todos los privilegios del cliente autenticado, de modo que el sistema operativo realiza todas las comprobaciones de control de acceso , por ejemplo, al abrir nuevos archivos. Si estos son menos o más privilegios que los de la cuenta de servicio original depende completamente del cliente. En el modelo tradicional (GSSAPI), cuando un servidor se ejecuta bajo una cuenta de servicio, no puede elevar sus privilegios y tiene que realizar el control de acceso de una manera específica para el cliente y la aplicación. Las obvias implicaciones negativas de seguridad del concepto de suplantación se evitan en Windows Vista al restringir la suplantación a cuentas de servicio seleccionadas. [ 11 ] La suplantación se puede implementar en un modelo Unix/Linux utilizando las seteuidllamadas al sistema o relacionadas. Si bien esto significa que un proceso sin privilegios no puede elevar sus privilegios, también significa que para aprovechar la suplantación el proceso debe ejecutarse en el contexto de la cuenta de usuario root .

Referencias

  1. Paquetes SSP proporcionados por Microsoft
  2. Autenticación de usuario - Seguridad (Documentación del Kit de recursos de Windows 2000)  : MSDN
  3. Mejoras de Kerberos en Windows Vista: MSDN
  4. Autenticación Kerberos de Windows 2000
  5. "Autenticación de Windows" . Documentación de Windows Server 2008 R2 y Windows Server 2008. Microsoft. 2 de julio de 2012. Consultado el 5 de agosto de 2020 a través de Microsoft Docs.
  6. Mejoras criptográficas TLS/SSL en Windows Vista
  7. Canal seguro: Paquetes SSP proporcionados por Microsoft
  8. Resumen de Microsoft SSP: Paquetes SSP proporcionados por Microsoft
  9. Proveedor de servicios de seguridad de credenciales y SSO para inicio de sesión en servicios de terminal
  10. Descripción técnica de DCOM: Seguridad en Internet
  11. "Refuerzo de servicios de Windows: blog de AskPerf" . Archivado del original el 2 de abril de 2010. Consultado el 22 de diciembre de 2009 .
  • Referencia SSPI en MSDN
  • Información sobre SSPI y ejemplos de Win32
  • Ejemplo de uso de SSPI para autenticación HTTP