Schéma operačního systému a bezpečnostního podsystému
Strukturu operačního systému MS Windows zachycuje následující obrázek. Bezpečnostní podsystém je nejčastěji charakterizován pomocí čtyř jeho složek:
- LSA - Local Security Authority.
- SAM - Security Accounts Manager.
- SRM - Security Reference Monitor.
- Přihlašovací proces.
Základní části bezpečnostního podsystému Windows
Security reference monitor (SRM)
Část exekutivy Windows 2000 (\Winnt\System32\Ntoskrnl.exe), která řídí přístup k objektům operačního systému, zpracovává uživatelská práva (user rights) a generuje zprávy auditu.
Podsystém Local security authority (Lsass)
Proces běžící v uživatelském režimu (\Winnt\System32\Lsass.exe), který zodpovídá za místní bezpečnostní politiku (patří sem např. možnost přihlásit se k počítači, politika účtů, privilegia uživatelských a skupinových účtů, nastavení parametrů auditu), autentizaci uživatelů a zasílání auditních zpráv do odpovídajících log souborů. Většinu těchto funkcí implementuje knihovna Lsasrv (\Winnt\System32\Lsasrv.dll).
Databáze politiky Lsass
Databáze obsahující nastavení místní bezpečnostní politiky. Je součástí registru (HKLM\SECURITY). Obsahuje informaci o důvěryhodných doménách, o tom, kdo se může přihlásit k systému a jak (interaktivně, ze sítě), o přiřazení uživatelských práv a nastavení auditu. Také jsou v ní uložená tzv. úspěšná kešovaná přihlášení, pokud ovšem nebylo zakázáno jejich ukládání.
Služba Security Accounts Manager (SAM)
Služba spravuje databázi obsahující lokální uživatelské a skupinové účty. Služba SAM je implementována jako knihovna \Winnt\System32\Samsrv.dll a běží v rámci procesu Lsass.
Databáze SAM
Databáze, která obsahuje definované lokální uživatelské a skupinové účty spolu s jejich hesly a dalšími atributy. Databáze je součástí registru (HKLM\SAM), na disku ji lze najít ve \winnt\system32\config.
Aktivní adresář (Active Directory, AD)
Adresářová služba využívající databázi, která obsahuje informace o objektech domény. Doména je skupina počítačů, která je administrována jako jeden celek prostřednictvím společně sdílených objektů. Typickým objektem aktivního adresáře je uživatel, počítač, skupina a organizační jednotka. Také informace o heslech a uživatelských právech je uložena v aktivním adresáři, kde se spolu s ostatním objekty replikuje mezi speciálně vyčleněnými počítači – tzv. řadiči domény. Proces serveru aktivního adresáře je implementován ve \Winnt\System32\Ntdsa.dll a běží v rámci procesu Lsass.
Autentizační balíky
Jsou to DLL knihovny běžící v kontextu Lsass procesu, které implementují autentizační politiku Windows 2000. Autentizační balík kontroluje, zda je v pořádku uživatelem zadané jméno a heslo, a pokud ano, poskytne procesu Lsass podrobnou informaci o uživateli.
Přihlašovací proces (Winlogon)
Proces běžící v uživatelském režimu (\Winnt\System32\Winlogon.exe), který odpovídá na stisk kláves CTRL+ALT+DEL (jedná se o tzv. SAS, Security Attention Sequence) a řídí interaktivní přihlašování. Winlogon také po úspěšném přihlášení vytváří proces reprezentující uživatelské rozhraní (user shell, typicky se jedná o Explorer).
Grafická identifikace a autentizace (GINA)
DLL knihovna běžící v rámci procesu Winlogon, jejímž prostřednictvím Winlogon získá jméno účtu a heslo případně PIN čipové karty. Standardní GINA je \Winnt\System32\Msgina.dll.
Služba síťového přihlášení (Netlogon)
Služba (\Winnt\System32\Netlogon.dll), která běží uvnitř Lsass a odpovídá na přihlašovací požadavky ze sítě. Autentizace se pak provede podobně jako u interaktivního (lokálního) přihlášení. Služba Netlogon je také schopna lokalizovat řadiče v doméně.
Kernel Security Device Driver (KSecDD)
Knihovna funkcí implementujících LPC rozhraní (LPC – Local Procedure Call), které využívají ostatní bezpečnostní moduly bežící v režimu jádra. Například šifrovaný souborový systém (EFS – Encrypting File System) ji využívá pro komunikaci s Lsass. Ovladač KSecDD je obsažen ve \Winnt\System32\Drivers\Ksecdd.sys.
Spolupráci jednotlivých částí bezpečnostního podsystému při přihlašování uživatele je znázorněna na následujícím obrázku: