Interfaz de proveedor de soporte de seguridad

La interfaz de proveedor de soporte de seguridad ( SSPI ) es un componente de la API de Windows que realiza operaciones relacionadas con la seguridad, como la autenticación .

SSPI funciona como una interfaz común para varios proveedores de soporte de seguridad (SSP): ^[1] Un proveedor de soporte de seguridad es una biblioteca de vínculos dinámicos (DLL) que hace que uno o más paquetes de seguridad estén disponibles para las aplicaciones.

Proveedores [ editar ]

Los siguientes SSP se incluyen en Windows:

NTLMSSP (msv1_0.dll): introducido en Windows NT 3.51 . Proporciona autenticación de desafío / respuesta NTLM para dominios de Windows anteriores a Windows 2000 y para sistemas que no forman parte de un dominio. ^[2]
Kerberos (kerberos.dll): introducido en Windows 2000 y actualizado en Windows Vista para admitir AES . ^[3] Realiza la autenticación para dominios de Windows en Windows 2000 y versiones posteriores. ^[4]
NegotiateSSP (secur32.dll): introducido en Windows 2000. Proporciona la capacidad de inicio de sesión único , a veces denominada Autenticación de Windows integrada (especialmente en el contexto de IIS). ^[5] Antes de Windows 7 , probaba Kerberos antes de recurrir a NTLM. En Windows 7 y versiones posteriores, se introduce NEGOExts, que negocia el uso de SSP personalizados instalados que son compatibles con el cliente y el servidor para la autenticación.
Secure Channel (schannel.dll): introducido en Windows 2000 y actualizado en Windows Vista para admitir un cifrado AES más sólido y ECC ^[6] Este proveedor utiliza registros SSL / TLS para cifrar cargas útiles de datos.
TLS / SSL : SSP de criptografía de clave pública que proporciona cifrado y comunicación segura para autenticar clientes y servidores a través de Internet. ^[7] Actualizado en Windows 7 para admitir TLS 1.2.
SSP de resumen (wdigest.dll): introducido en Windows XP . Proporciona autenticación HTTP y SASL basada en desafío / respuesta entre sistemas Windows y que no son Windows donde Kerberos no está disponible. ^[8]
CredSSP (credssp.dll): introducido en Windows Vista y disponible en Windows XP SP3. Proporciona autenticación de nivel de red y inicio de sesión único para servicios de escritorio remoto . ^[9]
Autenticación de contraseña distribuida (DPA, msapsspc.dll): introducida en Windows 2000. Proporciona autenticación de Internet mediante certificados digitales . ^[10]
Criptografía de clave pública de usuario a usuario (PKU2U, pku2u.dll): introducido en Windows 7 . Proporciona autenticación de igual a igual mediante certificados digitales entre sistemas que no forman parte de un dominio.

Comparación [ editar ]

SSPI es una variante patentada de la interfaz de programa de aplicación de servicios de seguridad genéricos (GSSAPI) con extensiones y tipos de datos muy específicos de Windows. Se envió con Windows NT 3.51 y Windows 95 con NTLMSSP . Para Windows 2000, se agregó una implementación de Kerberos 5, utilizando formatos de token que cumplen con el estándar de protocolo oficial RFC 1964 (El mecanismo GSSAPI de Kerberos 5) y que brindan interoperabilidad a nivel de cable con implementaciones de Kerberos 5 de otros proveedores.

Los tokens generados y aceptados por SSPI son en su mayoría compatibles con GSS-API, por lo que un cliente SSPI en Windows puede autenticarse con un servidor GSS-API en Unix dependiendo de las circunstancias específicas.

Una deficiencia significativa de SSPI es su falta de enlaces de canal , lo que hace imposible la interoperabilidad de GSSAPI.

Otra diferencia fundamental entre el GSSAPI definido por IETF y el SSPI de Microsoft es el concepto de " suplantación ". En este modelo, un servidor puede operar con todos los privilegios del cliente autenticado, de modo que el sistema operativo realiza todo el control de acceso.comprobaciones, por ejemplo, al abrir nuevos archivos. Si estos son menos privilegios o más privilegios que los de la cuenta de servicio original, depende completamente del cliente. En el modelo tradicional (GSSAPI), cuando un servidor se ejecuta bajo una cuenta de servicio, no puede elevar sus privilegios y tiene que realizar el control de acceso de una manera específica del cliente y de la aplicación. Las obvias implicaciones negativas de seguridad del concepto de suplantación de identidad se evitan en Windows Vista al restringir la suplantación de identidad a cuentas de servicio seleccionadas. ^{[11] La} suplantación de identidad se puede implementar en un modelo Unix / Linux utilizando las seteuidllamadas al sistema o relacionadas. Si bien esto significa que un proceso sin privilegios no puede elevar sus privilegios, también significa que para aprovechar la suplantación, el proceso debe ejecutarse en el contexto dela cuenta de usuario root .

Referencias [ editar ]

^ Paquetes SSP proporcionados por Microsoft
^ Autenticación de usuario - Seguridad (documentación del kit de recursos de Windows 2000): MSDN
^ Mejoras de Kerberos en Windows Vista: MSDN
^ Autenticación Kerberos de Windows 2000
^ "Autenticación de Windows" . Documentación de Windows Server 2008 R2 y Windows Server 2008 . Microsoft . Consultado el 5 de agosto de 2020 a través de Microsoft Docs.
^ Mejoras criptográficas TLS / SSL en Windows Vista
^ Canal seguro: paquetes SSP proporcionados por Microsoft
^ Microsoft Digest SSP: paquetes SSP proporcionados por Microsoft
^ Proveedor de servicios de seguridad de credenciales y SSO para el inicio de sesión de servicios de Terminal Server
^ Descripción técnica de DCOM: seguridad en Internet
^ Fortalecimiento del servicio de Windows: blog AskPerf

Enlaces externos [ editar ]

Referencia SSPI en MSDN
Muestras de información de SSPI y Win32
Ejemplo de uso de SSPI para la autenticación HTTP

[1] Paquetes SSP proporcionados por Microsoft

[2] Autenticación de usuario - Seguridad (documentación del kit de recursos de Windows 2000): MSDN

[3] Mejoras de Kerberos en Windows Vista: MSDN

[4] Autenticación Kerberos de Windows 2000

[5] "Autenticación de Windows" . Documentación de Windows Server 2008 R2 y Windows Server 2008 . Microsoft . Consultado el 5 de agosto de 2020 a través de Microsoft Docs.

[6] Mejoras criptográficas TLS / SSL en Windows Vista

[7] Canal seguro: paquetes SSP proporcionados por Microsoft

[8] Microsoft Digest SSP: paquetes SSP proporcionados por Microsoft

[9] Proveedor de servicios de seguridad de credenciales y SSO para el inicio de sesión de servicios de Terminal Server

[10] Descripción técnica de DCOM: seguridad en Internet

[11] Fortalecimiento del servicio de Windows: blog AskPerf

[1]

vtmiAPI y frameworks de Microsoft
Gráficos	Administrador de ventanas de escritorio Direct2D Direct3D D3D (extensiones) GDI / GDI + WPF Silverlight WinRT XAML Sistema de color de Windows Adquisición de imágenes de Windows Componente de imágenes de Windows Infraestructura de gráficos DirectX (DXGI) Plataforma de rasterización avanzada de Windows Ala
Audio	DirectMusic Sonido directo Complemento de DirectX XACT API de voz XAudio2
Multimedia	DirectX Objetos multimedia Aceleración de video Xinput Entrada directa DirectShow API de masterización de imágenes DirectX administrado Fundación de medios XNA Windows Media Video para Windows
Web	MSHTML Plataforma RSS JScript VBScript BHO XDR Gadgets de barra lateral Mecanografiado
Acceso a los datos	Componentes de acceso a datos (MDAC) ALHARACA ADO.NET ODBC OLE DB Motor de almacenamiento extensible Marco de la entidad Marco de sincronización Motor a reacción MSXML OPC
Redes	Winsock LSP Kernel de Winsock Plataforma de filtrado NDIS Rally de Windows BITS API P2P MSMQ MS MPI DirectPlay
Comunicación	API de mensajería API de telefonía WCF
Administración y gestión	Consola Win32 Host de secuencia de comandos de Windows WMI (extensiones) Potencia Shell Programador de tareas Archivos sin conexión Copia de sombra instalador de ventanas Error al reportar Registro de eventos Sistema de archivos de registro común
Modelo de componente	COM COM + ActiveX Modelo de objeto componente distribuido .NET Framework
Bibliotecas	Biblioteca de clases de marco Clases básicas de Microsoft (MFC) Biblioteca de plantillas activas (ATL) Biblioteca de plantillas de Windows (WTL)
Controladores de dispositivo	WDM WDF KMDF UMDF WDDM NDIS UAA BDA VxD
Seguridad	API de cifrado CAPICOM Windows CardSpace API de protección de datos Interfaz de proveedor de soporte de seguridad (SSPI)
.NETO	ASP.NET ADO.NET Remoting Silverlight TPL WCF WCS WPF WF
Fábricas de software	Fábrica EFx Biblioteca empresarial IU compuesta CCF LCR
IPC	MSRPC Intercambio dinámico de datos (DDE) Remoting WCF
Accesibilidad	Accesibilidad activa Automatización de UI
Soporte de texto y multilingüe	DirectWrite Marco de servicios de texto Modelo de objetos de texto Editor de métodos de entrada Paquete de interfaz de idiomas Interfaz de usuario multilingüe Darse de baja

vtmiAutenticación
API de autenticación	Autenticación BSD ( Autenticación BSD) Autenticación electrónica API de servicios de seguridad genéricos (GSSAPI) Servicio de autenticación y autorización de Java (JAAS) Módulos de autenticación conectables (PAM) Capa de seguridad y autenticación simple (SASL) Interfaz de proveedor de soporte de seguridad (SSPI) API de base de datos universal XCert (XUDA)
Protocolo de autenticacion	ACF2 AKA Autenticación basada en CAVE Protocolo de autenticación por desafío mutuo (CHAP) MS-CHAP Servicio de autenticación central (CAS) CRAM-MD5 Diámetro Protocolo de autenticación extensible (EAP) Protocolo de identidad de host (HIP) IndieAuth Kerberos Administrador de LAN Administrador de LAN de NT (NTLM) OAuth OpenID Conexión OpenID (OIDC) Protocolos de acuerdos de claves autenticados por contraseña Protocolo de autenticación de contraseña (PAP) Protocolo de autenticación extensible protegido (PEAP) Servicio de usuario de marcado de acceso remoto (RADIUS) Instalación de control de acceso a recursos (RACF) Protocolo de contraseña remota segura (SRP) TACACS Woo – Lam
Categoría Los comunes