使用LOGON32_LOGON_NETWORK_CLEARTEXT的令牌委托

Question

使用明文有多安全？

我们有以下情况：

Web服务器A正在使用Win32 LogonUser。然后，它需要在服务器B上调用asmx方法。

如果使用的登录类型是LOGON32_LOGON_INTERACTIVE，则工作正常。但是，客户拒绝这一点，因为它需要交互式访问。

如果我们使用LOGON32_LOGON_NETWORK，这就不允许对远程服务器进行令牌委托，我们得到401 (按照MSDN的预期)。

试图使用DuplicateToken将令牌“升级”为交互式的尝试失败。这一尝试是以本条为基础的，其中指出：

“当您请求交互式登录时，LogonUser返回一个允许您在模拟时创建进程的主令牌。当您请求网络登录时，LogonUser返回一个模拟令牌，该令牌可用于访问本地资源，但不用于创建进程。如果需要，可以通过调用Win32 DuplicateToken函数将模拟令牌转换为主令牌。”

但是，如果我们像在LOGON32_LOGON_NETWORK_CLEARTEXT中所说的那样使用这条旧线，那么委托就会起作用。但是使用它有多安全呢？根据MSDN：

此登录类型保留身份验证包中的名称和密码，允许服务器在模拟客户端的同时连接到其他网络服务器。服务器可以接受客户端的明文凭据，调用LogonUser，验证用户是否可以通过网络访问系统，还可以与其他服务器通信。

这种格式中使用的凭据对嗅探器是否是可见的(我们使用的是Windows集成安全性，有时使用SSL，但并不总是如此)。

请给我建议。

Answer 1

我也有同样的问题，虽然我还没有找到明确的答案，但我已经做了一些调查和阅读，这是我的结论(欢迎更正)：

理想的/最安全的用例是，如果您的代码看起来像这个伪代码：

success = LogonUser(username, domain, password,
    LOGON32_LOGON_NETWORK_CLEARTEXT, provider, out token)
if (success) {
    StartImpersonation(token)
    remoteConnection = AuthenticateToRemoteServer()
    StopImpersonation()
    CloseHandle(token)

    // continue to use remoteConnection
}

当您关闭LogonUser会话的句柄时，与其关联的明文凭据将被销毁(我还没有找到对此的引用，但对我来说，它们没有意义)。因此，在令牌的生存期中，有一个用户凭据的副本，并用于对远程服务器进行身份验证。但是您的应用程序已经具有明文(变量username、domain和password)中的内存凭据，因此这并不会带来额外的安全风险。

使用Windows身份验证的远程服务器的任何身份验证都将使用NTML或Kerberos，而且这两种协议都不会在线路上发送凭据，因此这并不重要。如果远程服务器要求进行基本身份验证，我不能确定会发生什么，但我认为它更有可能失败，而不是发送您的凭据。

如果您需要更长时间地保存令牌，文档确实声明凭据存储在明文(某处)中。我对一个测试进程进行了转储，无法在转储文件中找到它们，所以我不知道这是否意味着它们存储在内核内存中。我会有点担心，如果我必须保持这个令牌在很长一段时间。