1

问候,

我正在与一个供应商合作,该供应商已经实现了一些使用 Windows LSA MSV1_0 子身份验证包的代码(如果您有兴趣,可以使用 MSDN 信息:http: //msdn.microsoft.com/en-us/library/aa374786 (VS.85 ).aspx ),我试图弄清楚是否有必要。

据我所知,子身份验证例程和过滤器允许挂钩或自定义标准 LSA MSV1_0 登录事件处理。问题是我不明白为什么供应商的产品需要这些功能。

我问过他们,他们说他们用它来进行模仿。该产品确实需要进行模拟,但根据我有限的 win32 知识,他们可以使用普通的身份验证 API(LsaLogonUser、ImpersonateLoggedOnUser 等)在没有 subauthentication 包的情况下获得所需的功能。此外,我使用过许多类似的产品,它们都进行模拟,这是唯一使用子身份验证包的产品。

如果您想知道为什么我会在意,该产品的早期版本在子身份验证包 dll 中有一个错误,会导致锁定或蓝屏。这让我相当紧张,并让我质疑使用这种低级、内核敏感的接口。我想回到供应商那里说“你不可能需要一个 LSA 子身份验证包来模拟 - 把它拿出来”,但我不确定我是否了解标准 win32 身份验证的用例和可能的限制/impersonation API 足以明确提出该声明。

那么,对于那里的 win32 安全专家,如果您所做的只是模拟,是否有任何理由需要LSA MSV1_0 子身份验证包?

提前感谢您的任何想法!

4

1 回答 1

1

我不相信包裹只是为了模仿。在您提供的链接中,没有任何与“冒充”相关的内容

我认为您可能有子身份验证包来在扩展级别验证用户,例如检查指纹,或询问用户更多详细信息,如 DOB、安全问题等。

该软件包,我相信不是内核模式服务,所以不存在蓝屏问题。

于 2010-02-02T12:40:19.697 回答