Non puoi \"create\" un certificato di attributo di privilegio. Il privilegio Attribute Certificate (PAC) è una funzione richiamata all'interno del sistema di sicurezza di Windows quando si accede a un sistema che utilizza Kerberos. L'implementazione Kerberos di Windows 2008 di autenticazione non utilizza rigorosamente la PAC e nessun altro. Kerberos è un protocollo di autenticazione di rete che utilizza la crittografia per generare i certificati tramite un sistema di doppia autenticazione di utenti e server.
Fatti di Kerberos
Si tratta di un protocollo di autenticazione di rete. Funziona utilizzando la crittografia a chiave segreta. Creata dal Massachusetts Institute of Technology, o MIT, è liberamente disponibile visitando Web.MIT.edu/Kerberos. La crittografia Kerberos funziona crittografando tutte le comunicazioni tra il server e il client. Esso stabilisce la sessione crittografata dopo che il client viene autenticato sul server con un login e una password. La chiave calcolata appositamente trasformata è un numero binario. Il processo utilizzato codifica o crittografa tutte le comunicazioni dopo aver autenticato l'utente. Kerberos viene eseguito attraverso l'aiuto di un centro di distribuzione chiavi (KDC). Questo KDC emette certificati di sessione temporanea, biglietti e chiavi di sessione a coloro che hanno un dominio di Active Directory. Kerberos viene eseguito all'interno di ciascuno dei domini come il controller o la parte di Active Directory Domain Services (ADDS).
Fatti di PAC
Il Kerberos di Windows 2008 utilizza la PAC strettamente con il suo sistema di doppia autenticazione. Kerberos è un sistema di Ticket basato, che crea una connessione criptata e sicura durante l'utilizzo i biglietti. Il certificato di PAC trasferisce al client tramite Kerberos KDC. Una volta che il client viene autenticato, o registri, Kerberos invia un Ticket di concessione Ticket (TGT) che fornisce per l'autenticazione futuro durante la stessa sessione. Il TGT quindi consente l'accesso ad applicazioni specifiche e/o risorse. La PAC, che contiene informazioni di utente, ad esempio ID di protezione dell'utente, le appartenenze ai gruppi e i suoi diritti sul dominio. Perché contiene anche i dati di quelli autenticati con il principio, o Kerberos, il numero di una persona può appartenere a gruppi dovrebbe essere limitato. Queste proprietà sono specifiche per la piattaforma Windows Server, PAC si applica solo a Windows PAC e Kerberos. Il certificato di PAC richiede un certo certificato digitale che ha bisogno di una firma collegata ad esso per evitare questi tipi di attacchi. Esso impedisce di fatto contro l'elevazione del privilegio attacchi.
Creazione di PAC
Il sistema Kerberos crea la PAC quando un utente si autentica sul dominio o rete. Questo è solo nel sistema di Kerberos di windows 2000, come le informazioni del PAC archivi utente-specifiche di dominio di Windows. Altri sistemi di Kerberos utilizzano gli stessi metodi, anche se utilizzano sistemi di certificato diverso. Se sei un amministratore di sistemi, tuttavia è possibile specificare alcune proprietà del PAC; il server protegge e crea il biglietto effettivo che contiene il PAC per proteggere le informazioni. Crittografia delle informazioni sulle credenziali all'interno di un PAC consente la trasmissione sicura di tali credenziali durante un attacco di accesso PKINIT, secondo il sito di Kerberos.