Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

38 Kapitel 2: Authentifizierung und Authentifizierungsprotokolle
Wenn sich ein Benutzer am Client anmeldet, wird dieser Vorgang wiederholt, diesmal enthalten
die Nachrichten aber Benutzerinformationen. Der Kerberos-Client sendet eine weitere
KRB_AS_REQ-Nachricht, verschlüsselt die Vorauthentifizierungsdaten aber mit einem Schlüssel,
der aus dem Kennwort des Clients abgeleitet ist – oder genauer gesagt: aus dem NT-
Hash des Clients. Der KDC prüft die Authentifizierung anhand dieser Informationen. In der
KRB_AS_REP-Nachricht empfängt der Client ein TGT, mit dem der Benutzer Kontakt zum
TGS aufnehmen kann. Das TGT umfasst Sitzungsschlüssel für das KDC sowie Sicherheits-
IDs (Security Identifier, SID) für den Benutzer und alle Gruppen, bei denen der Benutzer
Mitglied ist. Künftig verwendet der Client dann das TGT des Benutzers, wenn er Anforderungen
im Namen des Benutzers schickt.
Kerberos ist offensichtlich ein recht kompliziertes Protokoll, aber es hat sich in Windows als
bemerkenswert robust erwiesen. Es hat sich auch gezeigt, dass es erweiterbar ist, weil die
Vorauthentifizierungsdaten des Benutzers genauso gut mit einem Geheimnis verschlüsselt
werden können, das nicht von einem Kennwort abgeleitet ist. Das passiert bei der Smartcardauthentifizierung,
die wir uns als Nächstes ansehen.
Smartcardauthentifizierung
Eine Smartcard ist in den meisten Fällen ein Gerät in der Größe einer Kreditkarte, das einen
Speicherchip enthält. Diese Geräte sind vielseitig einsetzbar. Zum Beispiel werden sie verwendet,
um die Identität eines Telefons bei der GSM-Kommunikation (Global System
for Mobile) von Mobiltelefonen und den davon abgeleiteten Technologien bereitzustellen.
Smartcards können auch für die Authentifizierung in Windows verwendet werden. In diesem
Fall enthalten sie ein X.509-Zertifikat. (Kapitel 10 enthält weitere Informationen über Zertifikate.)
Das Zertifikat enthält einen privaten Schlüssel, und der zugehörige öffentliche
Schlüssel ist im Benutzerobjekt in Active Directory gespeichert.
Wenn sich der Benutzer mit einer Smartcard authentifiziert, fragt WinLogon nicht nach
einem Kennwort, sondern nach einer Geheimnummer, dem sogenannten PIN-Code. Dann
nimmt es Kontakt zum Smartcardanbieter (engl. smartcard provider) auf und übergibt ihm
den PIN-Code sowie die Vorauthentifizierungsdaten. Der Smartcardanbieter greift mithilfe
des PIN-Codes auf die Smartcard zu, um die Vorauthentifizierungsdaten zu verschlüsseln,
die der Kerberos-SSP in der KRB_AS_REQ-Nachricht verwendet. Ab diesem Punkt läuft bei
einer Smartcardanmeldung fast alles genauso ab wie bei einer normalen Kennwortanmeldung,
allerdings mit einem wichtigen Unterschied: Falls sich der Benutzer mit einer Smartcard
anmeldet, gibt er niemals ein Kennwort ein. Falls der Benutzer daher versucht, auf
irgendwelche Ressourcen zuzugreifen, die nicht mit dem Kerberos-System arbeiten können,
muss der Computer das Kennwort vom Benutzer anfordern. Um das zu vermeiden, behandelt
Windows Kennwörter bei einer Smartcardanmeldung etwas anders.
Smartcards und Kennwörter
Zu allen Konten wird auf dem Domänencontroller ein Kennworthashwert gespeichert. Sogar
wenn sich der Benutzer mit einer Smartcard anmelden muss, gibt es einen Kennworthashwert.
Wenn Sie ein Konto so konfigurieren, dass es eine Smartcardanmeldung erfordert,
erstellt der Domänencontroller ein zufälliges Kennwort, berechnet dessen Hashwert und
speichert ihn im Benutzerobjekt.