问题标签 [local-security-authority]

我可以通过 API LsaEnumerateAccountsWithUserRight 获取用户帐户的权限。但是这个函数忽略了作为组成员身份的一部分继承的特权。msdn 文档清楚地提到了这一点

此函数返回的帐户直接通过用户帐户持有指定的权限，而不是作为组成员资格的一部分。

是否有可能在 Windows 中完成此操作？任何指导表示赞赏。

在有关 CryptProtectData 函数的文档中，Microsoft 告诉您只能使用CryptProtectData小缓冲区。

这个调用可能很慢，而且会占用内存，而且不可靠。仅用于小缓冲区。

CryptProtect/UnprotectData 通过 RPC 调用 LSA，在 LSA 中进行实际的加密或解密，并且 RPC 对可以传递的数据量有上限。加密大量数据的一般经验法则是使用对称密钥保护大容量数据，然后使用 CryptProtectData 保护对称密钥。解密只是一种逆转，您会发现更好的性能（避免昂贵的 RPC 操作）并且通常同样安全（取决于用于大数据块的对称算法）。

那么这个上限是多少呢？我可以用它来保护每个长度为 256 字节的多个密码吗？

我开发了我想用于交互式登录的自定义身份验证包。LsaApUserLogon它在函数中创建访问令牌。

当我LsaUserLogon从应用程序调用时，我可以枚举新的用户会话，但是当我使用它进行登录时（我还创建了一个自定义凭据提供程序），我可以在 Windows 事件日志中看到我已成功登录然后注销。

当我选择我的特定凭据并尝试登录时，它会进入LsaApLogonUser我的身份验证包的 API。如果我检查日志文件，LsaApLogonUser返回STATUS_SUCCESS. 但是 Windows 没有登录。离开后LsaAPLogonUser，LSA调用LsaApLogonTerminatedAPI并返回LogonUI。

当我准备的时候，TokenInformation我LookupPrivilegeValueW失败了SeInteractiveLogonRight。我不知道这对登录是否重要。

ProfileBuffer对登录很重要吗？我不知道为什么 LSA 无法登录。

我是 Lsa 的新手，遇到了这个问题。这是我的代码：

我得到的输出是0xc0000001这意味着STATUS_UNSUCCESSFUL. 在 Windows 网站上它没有提供此错误具体含义的信息。我做了一些研究，结果发现是 RPC 连接失败。我试过这个，但没有帮助。希望您能够帮助我。谢谢你。

我正在实施基于 Microsoft 白皮书“在 Windows 7 和 Windows Server 2008 R2 中使用一次性密码进行强身份验证”的 OTP 解决方案。

该白皮书相关部分的摘要是通过为 Windows CNG 子系统实现自定义密钥存储提供程序 (KSP) 来从本质上伪造智能卡读卡器的存在。但是，按照所述说明进行操作后，我无法在需要时让操作系统使用我的自定义 KSP。

在我的凭据提供程序中，我正在创建一个具有 KERB_CERTIFICATE_LOGON 和 KERB_SMARTCARD_CSP_INFO 结构的身份验证包。根据需要在 KERB_SMARTCARD_CSP_INFO 中引用了我的自定义 KSP（它也已正确注册，可以枚举，并且可以与 NCrypt API 一起使用）。但是，在 ICredentialProviderCredential::GetSerialization 返回后（甚至没有将 DLL 加载到内存中）或在我的独立测试应用程序中调用 LsaLogonUser() 期间，操作系统永远不会加载它。

该问题与 MSDN 论坛中描述的问题相同（没有任何答案），我得出了相同的结论，即问题与 KERB_SMARTCARD_CSP_INFO 的内容有关（示例用法可以在此处找到）-但是由于几乎没有文档和这种罕见情况没有一个例子，我不知道该怎么办......

具体来说，我正在尝试测试在域的 DC 中安装新的密码过滤器 DLL 所带来的开销时间量。从通过 LSA 发出密码更改请求到成功提交给安全帐户管理器所用时间的最佳方法是什么？是否已经完成了一些可能对此有用的日志记录功能？

我正在开发一个无法读取注册表的 Windows 服务。所以我期待代码解决方案来检查机器是否符合 FIPS。

.

如果您可以在图像中看到突出显示的条目。我必须从代​​码中读取该特定条目。

如何阅读安全选项“系统加密：使用符合 FIPS 的算法进行加密、拥有和签名”以编程方式。我应该在 RSOP 中的哪个位置查询？

我们拥有自己的公司范围内的证书颁发机构，用于签署 SSL 证书。大多数情况下，只要您的操作系统（在我们的例子中是 CentOS 7）注册该权限，它就可以正常工作。它存储在这里：

这允许 Firefox/chrome 信任通过它签名的 SSL 证书。

我sphinx-build -W -blinkcheck […]用来检查我的 Python 项目中的链接是否仍然有效，因为链接腐烂在文档中很糟糕。这适用于所有外部链接。

但是，当链接到我们自己的 SSL 版本的 mantis（一个错误跟踪器）时，我得到一个

错误。在我们的设置中，Mantis 仅在 https 上运行。

我如何告诉 sphinx 添加公司范围的权限？

我通常通过 tox 运行它，如下所示：

运行这个的毒物片段：

bash 脚本：

和蟒蛇脚本：

我一直致力于为 Windows 10 实现自定义身份验证包。阅读以下 Windows 文档后https://msdn.microsoft.com/en-us/library/windows/desktop/aa374731(v=vs.85).aspx #functions_implemented_by_authentication_packages 我实现了 auth 包所需的方法。我为 auth 包实现编写的代码：

我的 Def 文件：

但问题是，当我将包的 dll 放在 system32 中并在Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的注册表项值“Authentication packages”中注册包并重新启动计算机时，我的包被初始化但是当我登录，我实现的包登录方法没有被调用，尽管在会话终止时LsaApLogonTerminated被调用。我还实现了一个自定义凭据提供程序，在其中查找我的身份验证包，提供程序成功找到它，但没有调用登录例程。

谁能指导我我在这里做错了什么？

我一直致力于在 Windows 10 中引入我的自定义登录机制的 LSA auth 包。到目前为止，我已经成功注册了 auth 包并获得了 LSA 调用的 LsaLogonUserEx 方法。现在我遇到的问题是如何准备 LsaApLogOnUser 方法的 OUT 参数。

特别是 Profile 缓冲区和 Token 信息。我应该只为它们分配内存还是需要正确确定那里的值然后分配它们？