Authentication Authority

什么是 Authentication Authority 权限？

• 定义: Authentication Authority（身份验证机构）是 Windows 安全模型中的一个概念，表示负责验证用户或服务身份的实体。它可以是本地安全机构（Local Security Authority, LSA）或域控制器（在域环境中）。与之相关的权限是指在身份验证过程中，系统基于认证机构声明的标识（如 SID 或声明）授予的访问能力。

• 作用: 确保用户或服务在通过身份验证后获得适当的权限，以访问系统资源或执行特定任务。

• 典型场景: 用户登录、服务的身份验证、网络访问等。

---

Authentication Authority 权限的具体能力

Authentication Authority 权限的具体能力取决于上下文和身份验证后的账户身份，以下是可能的权限范围：

1. 身份验证:

   • 能力: 允许系统接受身份验证机构声明的标识（如 SID 或 Kerberos 票据中的声明），生成安全令牌。

   • 示例: 用户登录时，NT AUTHORITY\Local Security Authority 声明其身份。

2. 资源访问:

   • 默认权限:

     • 由账户的组成员身份决定。例如：

       • Domain Users：访问用户文件夹。

       • Administrators：完全控制权。

       • SYSTEM：系统级访问。

   • 限制:

     • 无独立权限，依赖验证后的账户配置。

3. 特权分配:

   • 相关特权:

     • SeTcbPrivilege（作为操作系统的一部分运行）: 允许账户被视为受信任计算基础（TCB），验证其他身份。

     • SeInteractiveLogonRight: 交互式登录。

     • SeNetworkLogonRight: 通过网络登录。

   • 默认授予: SYSTEM、Local Service、Network Service（视特权而定）。

4. 网络访问:

   • 在域环境中，身份验证机构（如域控制器）通过 Kerberos 或 NTLM 声明身份，决定网络资源访问权限。

---

可能的权限焦点：SeTcbPrivilege

如果“Authentication Authority 权限”指的是与身份验证机构高度信任相关的权限，最相关的可能是 SeTcbPrivilege：

• 定义: “Act as part of the operating system”（作为操作系统的一部分运行），允许账户执行身份验证相关的核心任务。

• 能力:

  • 生成和验证安全令牌。

  • 访问所有用户会话的凭据。

  • 模拟其他用户。

• 默认授予: SYSTEM、LOCAL SERVICE、NETWORK SERVICE。

• 限制: 极少授予普通用户，因其权限极高。

---

与常见安全组和账户的关系

• 与 SYSTEM 的对比:

  • SYSTEM: 默认拥有 SeTcbPrivilege，代表本地身份验证机构的最高权限。

  • Authentication Authority 权限: 更广义，涵盖所有验证身份的权限。

• 与 Administrators 的对比:

  • Administrators: 高权限用户组，默认无 SeTcbPrivilege。

  • Authentication Authority 权限: 可能包括特权账户的声明。

• 与 Users 的对比:

  • Users: 普通权限，依赖身份验证声明。

  • Authentication Authority 权限: 定义验证后的能力。

• 与 TrustedInstaller 的关系:

  • 无权修改受 TrustedInstaller 保护的系统文件。

---

如何管理 Authentication Authority 权限？

1. 查看相关权限:

   • 本地安全策略（secpol.msc）→ 本地策略 → 用户权限分配：

     • “作为操作系统的一部分运行”（SeTcbPrivilege）。

     • “本地登录”（SeInteractiveLogonRight）。

     • “通过网络访问此计算机”（SeNetworkLogonRight）。

2. 分配特权:

   • 为账户添加权限：

     • 在策略中点击“添加用户或组” → 输入账户名。

     • 命令行（需 ntrights 工具）：ntrights +r SeTcbPrivilege -u 用户名。

3. 检查身份验证:

   • 使用 whoami /all 查看当前用户的 SID、组和特权。

   • 事件查看器（eventvwr.msc）→ 安全日志 → 查看登录事件（Logon Type）。

4. 域环境管理:

   • 在 Active Directory 中，通过组策略（gpedit.msc）配置：

     • 路径：计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配。

   • Kerberos 声明：计算机配置 > 管理模板 > 系统 > Kerberos。

---

实际应用场景

• 本地登录: LSA 声明用户身份，授予访问权限。

• 域身份验证: 域控制器通过 Kerberos 声明用户 SID 和组，分配网络权限。

• 服务运行: SYSTEM 使用 SeTcbPrivilege 验证服务身份。

• 证书身份验证: 组织证书由 CA 声明身份，授予访问权限。

---

注意事项

• 权限动态性: Authentication Authority 权限由验证后的账户和特权决定，无固定定义。

• 安全性: 高信任特权（如 SeTcbPrivilege）需严格限制，避免被恶意利用。

• 域环境: 在 AD 中，身份验证由域控制器管理，声明更复杂。

---

总结

“Authentication Authority 权限”是指由身份验证机构（如 NT AUTHORITY 或域控制器）声明的用户或服务身份所关联的权限。它通过 SID、组成员身份和特权（如 SeTcbPrivilege）实现，权限范围由账户决定，低于 TrustedInstaller 的系统保护级别。管理上通过安全策略和 AD 配置实现，适用于本地和网络身份验证场景。