Windows セキュリティ

2014年4月をもって永らく使われてきた Windows XP について、マイクロソフトのサポートが終了しました。

やむを得ず引き続き利用する場合は「Windows XP サポート終了後に安全に XP を使うベストプラクティス１０個」をみてください。

Windows セキュリティの基本

• UAC と管理権限の昇格
  Vista 以降では UAC が有効になっていると管理者でも管理タスクを実行できません。 この記事ではまずは単純にその動作の様子を確認します。
• Windows Vista 以降のトークンの変更 ～ リンクト・トークン
  UAC の実装に伴いある状況下では、一回のログオンに対して複数のトークンが生成されます。
• 管理者権限での実行を要求する方法
  Windows の設定変更などを行う時に管理者権限での実行を促すダイアログが表示される場合があります。あれは一体どのようにすれば、表示されるのでしょうか？ ここでは簡単な例を用いて管理権限の実行を促す方法を説明します。

セキュリティディスクリプタ

• セキュリティディスクリプタとは？
  セキュリティディスクリプタは、それぞれのオブジェクトに対して OS がどのようなアクセスを許可、許可あるいは監査を行うか記述するものです。

認証

• Kerberos の概要とチケット取得の様子を目で確認した結果
  IE-IIS で Kerberos 認証を行うときに裏で実際に何が起きているのかを理解するために、イベントログやチケットの様子を確認しました。
• ディレクトリ・オブジェクト・ピッカーの利用方法
  Windows でお馴染みのユーザーやコンピュータを選択するダイアログボックス。 実はあれは API として公開されており、利用可能なものです。その使い方を説明しています。
• SID と名前の変換 ～ SID ルックアップ・ツール
  SID とユーザー名を変換するツールを作りました。その作り方を説明しています。
• 実行ユーザー名を取得する方法
  Windows のセキュリティシステムはユーザープリンシパルに基づきます。つまり、 誰がプログラムを実行しているか ということをセキュリティ設定の拠り所としています。従ってプログラムがどのユーザーアカウントで実行されているか、ということは Windows では非常に重要です。
• 偽装とは何か？
  この資料では、Windows のセキュリティを考える上で非常に大切な考え方である 「偽装」 について説明します。

SSPI の利用

• セキュリティサポートプロバイダ (SSP) の列挙
  Windows はそれぞれのセキュリティ機能を、セキュリティパッケージとして実装しています。
• SSPI を使った安全な通信
  安全な通信 (Secure Connection) はネットワークを考える上で不可欠な要素であるとともに、プログラマーにとっては非常に大きな課題です。一言で言えば、プログラミングが非常に難しい、あるいは面倒くさいのです。
• SSPI (NTLM) による暗号化通信
  このページでは NTLM セキュリティパッケージを利用して、クライアントとサーバー間でセキュリティコンテキストを確立し、データを暗号化して送受信する方法を紹介します。
• SSL 上の TCP 通信を行うサーバとクライアントの実装方法
  この資料では SSP を使って、SSL 上の TCP 通信を行う方法を示します。

Crypto API の利用

• 証明書ストアに格納されている証明書の列挙
  Crypto API を用いて証明書ストア内の情報をみる方法について、実際のコード例と共に解説します。また、簡単に証明書とは何か、ということにも触れています。