Que contiennent les jetons d’accès ?

cadena, mot de passe, sécurity, security, password

Que contiennent les jetons d’accès ?

Contenu d’un jeton d’accès

Un jeton d’accès est recréé chaque fois qu’une entité de sécurité est authentifiée (ouvre une session) et contient les informations suivantes utilisées pour accéder aux ressources:

• le SID du compte de l’utilisateur.
• Une liste des SID des groupes de sécurité comprenant l’utilisateur et les privilèges détenus par l’utilisateur et les groupes de sécurité de l’utilisateur. Cette liste inclut les SID pour les groupes de sécurité basés sur le domaine et pour les groupes de sécurité locaux.
• le SID de l’utilisateur ou du groupe de sécurité qui devient le propriétaire par défaut de l’utilisateur.
• le SID du groupe principal de l’utilisateur.
• Les listes de contrôle d’accès discrétionnaire (DACL) par défaut que le système d’exploitation applique aux objets créés par l’utilisateur.
• Une liste des privilèges associés au compte de l’utilisateur.
• La source qui a provoqué la création de l’accès, telle que Session Manager ou LAN Manager
• Un pointeur de valeur pour l’accès à l’aide de l’initiative de l’aide à l’aide de l’initiative de l’emploi et de l’impédimentation. comme contexte de sécurité pour un client du service.
Une valeur qui indique dans quelle mesure un service peut adopter la sécurité d’un client représenté par ce jeton d’accès.
• Statistiques sur le jeton d’accès utilisé en interne par le système d’exploitation.
• Une liste facultative d’identificateurs de sécurité (SID) ajoutés à un jeton d’accès par un processus afin de restreindre l’utilisation du jeton.
• Un identifiant de session indiquant si le jeton est associé à une session cliente des services Terminal Server. (L’ID de session permet également une commutation rapide, car il contient une liste de privilèges.)

 

Une copie du jeton d’accès est attachée à chaque thread et processus exécuté par l’utilisateur.

 

Le moniteur de référence de sécurité (SRM) compare ensuite les descripteurs de sécurité du jeton avec les ID de sécurité de chaque fichier, dossier, imprimante ou application à laquelle l’utilisateur tente d’accéder. De cette manière, le jeton d’accès fournit un contexte de sécurité pour les actions du principal de sécurité sur l’ordinateur.

 

 

Texte de remplacement généré par une machine : Access Tokens Physical Structure Access Token User Group 1 510 Group n 510 Privilege 1 Privilege n Default Owner Primary Group Default Discretionary Access Control List (DACL) Source Type Irrpersonation Level Statistics Restricting SID 1 Restricting SID n TS Session ID Session Reference SandBox Inert Audit Policy Origin An access token contains a complete description of the security context for a process or thread, including the information in the following table.

 

 

Outils

  • Consoles AD
  • WhoamI
  • Ntrights.exe: Ntrights (inclus dans le kit de ressources technique de Windows Server 2000

 

 

Access Token Privileges

 Privilege Name Equivalent Security Policy User Right Setting Description
SeCreateTokenPrivilege Create a token object Allows a process to create an access token.
SeAssignPrimaryTokenPrivilege Replace a process-level token Allows a process that has this privilege to replace the access token associated with a process.
SeImpersonatePrivilege Impersonate a client after authentication Allows a process to impersonate.

To find more information about Show Privilege, see Windows Server 2003 Resource Kit Tools Help in the Tools and Settings Collection.

 

Entrées de registre des jetons d’accès

Les informations fournies ici sont fournies à titre de référence pour le dépannage ou la vérification de l’application des paramètres requis. Il est recommandé de ne pas modifier directement le registre à moins qu’il n’y ait pas d’autre alternative. Les modifications apportées au registre ne sont pas validées par l’éditeur du registre ou par Windows avant leur application. Par conséquent, des valeurs incorrectes peuvent être stockées. Cela peut entraîner des erreurs irrémédiables dans le système. Lorsque cela est possible, au lieu d’éditer directement le registre, utilisez la stratégie de groupe ou d’autres outils Windows tels que MMC pour effectuer des tâches. Si vous devez modifier le registre, soyez extrêmement prudent.

Les paramètres de registre suivants qui affectent les jetons d’accès ne peuvent pas être modifiés à l’aide de la stratégie de groupe ou d’autres outils Windows.

 

EveryoneIncludesAnonymous

Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\

Version compatibility

EveryoneIncludesAnonymous is supported for Windows Server 2003 XP.

This registry setting controls whether the Everyone SID is included in the access token generated for an anonymous user.

EveryoneIncludesAnonymous Settings

 

Setting Effect
0 (default) Do not include the Everyone SID in the access token generated for an anonymous user.
1 Include the Everyone SID in the access token generated for an anonymous user.

 

RestrictAnonymous

Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\

Version compatibility

RestrictAnonymous is supported for Windows Server 2003, Windows XP, and Windows 2000.

This registry setting restricts anonymous users from displaying lists of users, and from viewing security permissions.

RestrictAnonymous Settings

Setting Effect
0 (default) Anonymous users are not restricted. Rely on default permissions.
1 Do not allow enumeration of Security Accounts Manager (SAM) accounts and shares.
2 In Windows 2000, do not include the Everyone SID in the access token generated for an Anonymous user.

Not supported in Windows Server 2003.

 

Results of Anonymous User Settings

Anonymous User: Windows 2000

Restrict Anonymous Setting Can Enumerate Local SAM Accounts and Shares? Can Access Other Securable Objects If:
0 Yes Anonymous or Everyone is granted access by the object’s access control list (ACL).
1 No Anonymous or Everyone is granted access by the object’s ACL.
2 No Anonymous is explicitly granted access by the object’s ACL.

Anonymous User: Windows Server 2003 and Windows XP

 

Restrict Anonymous Setting EveryoneIncludesAnonymous Setting Can Enumerate Local SAM Accounts and Shares? Can Access Other Securable Objects If:
0 0 Yes Anonymous is explicitly granted access by the object’s ACL.
0 1 Yes Anonymous or Everyone is granted access by the object’s ACL.
1 0 No Anonymous is explicitly granted access by the object’s ACL.
1 1 No Anonymous or Everyone is granted access by the object’s ACL.

Effets des paramètres utilisateur anonymes entrés dans le registre d’un contrôleur de domaine

Capacité des utilisateurs anonymes à énumérer les informations de compte

Il n’y a pas de SAM local sur un contrôleur de domaine. Ainsi, RestrictAnonymous ne contrôle pas la capacité des utilisateurs anonymes à énumérer les informations de compte. Au lieu de cela, l’accès aux informations de compte est contrôlé par les ACL des objets de compte dans Active Directory.

Capacité des utilisateurs anonymes à énumérer les ressources partagées

Les utilisateurs anonymes ne pourront pas énumérer de ressources ou de canaux partagés si RestrictAnonymous est défini sur égal à 1.

Possibilité pour les utilisateurs anonymes d’accéder aux données Active Directory sur les contrôleurs de domaine Windows 2000

 

Restrict Anonymous Setting Pre-Windows 2000 Compatible Access Security Group Membership Access to Any Active Directory Data
0 or 1 No No
0 or 1 Yes Yes, if Everyone is a member of this group.
2 No No
2 Yes No
2 Yes, Anonymous must be explicitly a member. Yes

Ability of Anonymous Users to Access Active Directory Data on Windows Server 2003 Domain Controllers

 

EveryoneIncludesAnonymous Setting Pre-Windows 2000 Compatible Access Security Group Membership Access to Any Active Directory Data
0 No No
0 Yes Yes, if Anonymous is also a member of this group.
1 Yes Yes, even if Anonymous is not a member of this group as long as Everyone is a member of this group.

Note

  • Both Everyone and Anonymous are members of Pre-Windows 2000 Compatible Access group by default in Windows Server 2003.

 

Paramètres de stratégie de groupe des jetons d’accès

Le tableau suivant répertorie et décrit les paramètres de stratégie de groupe associés aux jetons d’accès.

Paramètres de stratégie de groupe associés aux jetons d’accès

Group Policy Setting Description
User Rights Assignment:

  • Create a token object
  • Replace a process level token
 

Changes to these settings control:

  • Calling APIs to create tokens.
  • Whether a process can replace a token.
 

Audit Policy:

  • Audit policy change
  • Audit privilege use
  • Audit process tracking
 

Changes to this setting will:

  • Generate audits when rights are assigned with one of the tools discussed earlier.
  • Enable audit privilege use. Will log when SeAssignPrimaryTokenPrivilege was used.
  • Create an audit for assigning a primary token that contains the two processes involved and the identity of the token assigned.
 

Security Options:

  • Network access: Let Everyone permissions apply to anonymous users
 

Changes to this setting will affect whether Everyone is in the token for anonymous users.

 

Access Tokens WMI Classes

The following table lists and describes the WMI classes that are associated with access tokens.

 Class Name Namespace Version Compatibility
Win32_TokenGroups \root\cimv2 Windows Server 2003

Windows XP

\root\cimv2 Windows Server 2003

Windows XP

 

Autres articles concernant le jeton d’accès

Que contiennent les jetons d’accès?

Comment fonctionne les jetons d’accès ?

Calcul de la taille d’un jeton d’accès

Taille de jeton d’accès : compter le nombre de groupe

Configuration registre en script PowerShell pour modifier la taille des jetons

Comment modifier la taille des jetons en lot ?

Script PowerShell pour lire la taille de son jeton d’accès

Script PowerShell checkMaxtokenSize

Liste de liens utiles concernant la taille des jetons d’accès

securité

logo2 itconsult

Laisser un commentaire