Windows Security

Windows内核中有几个核心组件和数据库用于安全。

• SRM，Security reference monitor。在%SystemRoot%\System32\Ntoskrnl.exe中的组件，负责定义表示一个安全上下文的access token数据结构，在对象上和操作特权（用户权限）执行安全访问检查，以及生成安全审核消息。
• LSASS，Local Security Authority subsystem，一个用户进程，%SystemRoot%\System32\Lsass.exe。负责本地系统安全策略（比如允许什么用户登陆，密码策略，把特权分配给用户和用户组，和系统安全审计计设置），用户验证，以及发送安全审核消息给系统事件。Lsasrv.dll（Local Security Authority service）是LSASS加载的库，实现了大多数安全功能。
• LSASS策略数据库，数据库中包括本地系统安全策略设置。数据库保存在注册表中HKLM\SECURITY下的ACL保护区域。数据库包括什么域委托进行登陆验证，谁具有访问系统的权限，它们怎么访问系统（交互式，网络还是服务），谁有特权，执行什么类型的安全审核。
• SAM，Security Accounts Manager，一个服务，负责管理包含本地用户名称和用户组的数据库。由%SystemRoot%\System32\Samsrv.dll实现，并由Lsass.exe进程加载。
• SAM 数据库，存储用户和用户组，以及密码和其他属性。在域控制服务器上，SAM不存储域定义的用户账号，但是存储系统的管理员恢复账号。此数据在HKLM\SAM下。
• AD，Active Directory，目录服务，保存域信息。域是把一组计算机作为一个整体管理。AD存储用户，用户组，以及各个域内的计算机。AD server实现在%SystemRoot%\System32Ntdsa.dll中，由LSASS.exe加载。
• Authentication packages，身份认证包。这些dll实现了Windows认证策略，同时运行在LSASS进程和客户端进程中。认证dll负责通过用户名和密码是否匹配来认证用户，如果匹配，则返回信息给LSASS，然后LSASS生成一个token。
• Winlogon，Inteactive logon manager，用户模式进程，运行在%SystemRoot%\System32\Winlogon.exe。负责响应SAS，以及管理交互登陆。当用户登陆后，Winlogon创建用户的第一个进程。
• LogonUI，Logon user interface，用户模式进程，运行在%SystemRoot%\System32\logonUI.exe，给用户呈现一个登陆界面，让用户可以登陆到系统中。LogonUI使用CP查询用户。
• CP，Credential providers，运行在LogonUI中的com对象。获取用户名和密码，智能卡的PIN，或者生物数据（比如指纹）。标准的CP是%SystemRoot%\System32\authui.dll和%SystemRoot%\System32\SmartcardCredentialProvider.dll。
• Netlogon，Network logon service，windows服务，%SystemRoot%\System32\Netlogon.dll，为域控服务器搭建安全channel。
• KSecDD，Kernel Security Device Driver，内核模式的library，实现了高级本地过程调用（ALPC）接口，包括EFS（加密文件系统）。KSecDD在%SystemRoot%\System32\Drivers\Ksecdd.sys中。
• AppLocker，允许管理员指定某个用户或组可以执行文件，dll和脚本。AppLocker包括一个驱动：%SystemRoot%\System32\Drivers\AppId.sys和一个服务，%SystemRoot%\System32\AppIdSvc。运行在SvcHost进程中。