При установлении безопасного канала службы NetLogon компьютеров с Windows NT посылают друг другу «вызовы» и «ответы», чтобы произвести взаимную проверку подлинности. При этом используются учетные записи домена и зарегистрированных в домене Windows NT-компьютеров. Существует три типа таких записей:

- учетная запись доверия рабочей станции (WORKSTATION_TRUST_ ACCOUNT) — для проверки подлинности входящего в домен компьютера с Windows NT Workstation или отдельного сервера с Windows NT Server;

- учетная запись доверия серверу (SERVER_TRUST_ACCOUNT) — для проверки подлинности резервных контроллеров домена;

- учетная запись доверия между доменами (INTERDOMAIN_TRUST_ACCOUNT) — для проверки подлинности доверительных отношений между доменами Windows NT.

Эти учетные записи хранятся в базе данных SAM в разделе реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users и в базе данных соответствующего Windows NT-компьютера (рабочей станции, резервного контроллера домена или контроллера доверяющего домена) — в разделе реестра HKEY_LOCAL_MACHINE\Security\Policy\Secrets.

Учетные записи компьютеров, как и пользователей, включают имя и пароль. Для компьютеров имя учетной записи — это всегда имя компьютера со знаком доллара ($) на конце. Первоначальные пароли учетных записей рабочей станции с операционной системой Windows NT или отдельного сервера в домене устанавливаются такими же, как и имена этих компьютеров (в нижнем регистре и, если нужно, усеченные до 14 символов). Первоначальный пароль для учетной записи доверия между доменами задается в диалоговом окне Add Trusting Domain программы User Manager for Domains при установлении доверительных отношений со стороны доверяемого домена. Эти пароли работают до момента активизации членства соответствующего компьютера с Windows NT в домене или активизации доверительных отношений между доменами, после чего меняются автоматически каждую неделю. Процедуру смены пароля можно отключить как со стороны контроллера домена, так и со стороны рабочей станции.

Обмен сообщениями при образовании безопасного канала

Обмен сообщениями при образовании безопасного канала происходит следующим образом.

1. Windows NT-компьютер (клиент) устанавливает сеансы TCP/IP и NetBIOS с соответствующим контроллером домена (сервером), способным проверять пользователей при входе в домен.

2. Открывается анонимный доступ к ресурсу IРС$. Для этого сначала согласуется диалект протокола SMB командой SMB_COM_NEGO-TIATE. Далее открывается анонимный сеанс SMB, т.е. в запросе SMB_COM_SESSION_SETUP_ANDX указывается пустое имя пользователя и пароль, и, наконец, командой SMB_COM_TREE_CON-NECT подключается дерево с именем IРС$.

3. Клиент, используя команду SMB_COM_CREATE_ANDX протокола SMB, создает на контроллере домена именованный канал (named pipe) с именем NETLOGON. Передаваемая по нему информация будет обрабатываться службой NetLogon контроллера домена.

4. Используя именованный канал NETLOGON, клиент инициирует установление связи по механизму удаленного вызова процедур (RPC Bind), передавая серверу номера и версии интерфейсов, один из которых — Abstract Interface UUID = 12345678-1234-ABCD-EFOO-01234567CFFB — требуется самому клиенту, а другой — Transfer Interface UUID = 8A885D04-1CEB-11C9-9FE8-08002B104860 — нужен серверу для передачи. Интерфейс представляет собой обозначение некоторой библиотеки процедур, исполнение которых может быть вызвано с удаленного компьютера. Сервер подтверждает существование запрошенного интерфейса. Подтверждение содержит, в частности, имя службы, с которой устанавливается взаимодействие — в данном случае это \PIPE\lsass, т.е. подсистема локального администратора безопасности сервера.

5. Далее идет собственно образование безопасного канала, включающее удаленный вызов двух процедур. Первой клиент вызывает процедуру NetrServerReqChallenge. В качестве параметров в запросе передается имя сервера, с которым устанавливается безопасный канал, имя клиента (в данном случае имя компьютера) и «вызов клиента» — последовательность из 8 случайных байтов. Возвращаемый сервером клиенту результат работы процедуры — «вызов сервера», тоже последовательность из 8 случайных байтов, отличная от «вызова клиента». Используя оба «вызова» и хешированный пароль данного компьютера, и клиент, и сервер вычисляют так называемый ключ сеанса (session key), применяемый впоследствии для проверки подлинности передаваемой по безопасному каналу информации.

6. После этого клиент рассчитывает свой мандат (credentials), дважды шифруя свой «вызов» ключом сеанса по алгоритму DES. Мандат — 8 байтов, призванных доказать серверу, что клиент знает свой «вызов» и ключ сеанса, — посылается как один из параметров при удаленном вызове процедуры NetrServerAuthenticate2. Другие параметры этой процедуры — имена сервера, самого Windows NT-компьютера и его учетной записи в домене.

Если принятая сервером информация совпадает с рассчитанной им самим (напомним, что сервер уже знает и ключ сеанса, и «вызов клиента»), он отвечает клиенту подтверждением успешного выполнения RPC. Одновременно клиенту для проверки подлинности передается мандат сервера, рассчитанный теперь уже на основе «вызова» сервера. Клиент проверяет эту информацию, сравнивая полученные 8 байтов с рассчитанными им самим, и в случае совпадения процедура организации безопасного канала успешно завершается. Важное примечание: мандаты клиента и сервера сохраняются и в дальнейшем служат для проверки подлинности учетных записей как пользователей при их входе в домен, так и Windows NT-компьютеров — например, при смене пароля рабочей станции в домене.

Взаимная проверка подлинности Windows NT-компьютера и контроллера домена — обязательное условие последующего входа пользователей с этого компьютера в домен.