Windows protetto Impersonificazione?

Question

Nella mia applicazione WPF voglio consentire agli amministratori di testare una connessione al database utilizzando la sicurezza integrata per vari altri utenti. Quindi ho un modulo che consente all'amministratore di inserire il dominio, il nome utente e la password e quindi testarlo. Sono in grado di gestire in modo sicuro la password fino a quando chiamo LogonUser nel advapi32.dll che prende un string password

LogonUser(UserName, Domain, Password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref UserHandle) 

Ho scritto una funzione di utilità che converte il SecureString in una stringa il più sicuro possibile, e poi im chiamata sulla password nella chiamata LogonUser:

LogonUser(UserName, Domain, Helper.ConvertSafely(Password), LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref UserHandle) 

Dal momento che la firma per LogonUser prende una stringa, a meno che LogonUser sta prendendo cura della password nella sua esecuzione, potrebbe essere ancora sul mio stack di chiamate in testo normale dopo la chiamata ritorna. C'è un modo più sicuro per impersonare un utente in cui posso essere sicuro che la PW è sicura per tutto il tempo?

Fondamentalmente tutto ciò di cui ho bisogno è un WindowsImpersonationContext ma mi piacerebbe acquistarlo senza che la password sia mai stata scritta in chiaro.

Answer 1

Se l'utente che si desidera impersonare è già connesso alla macchina (ad esempio in un'altra sessione), qui è una risposta: Is it possible for a Windows service impersonate a user without a password?

Se non lo è, si dovrà fornire una password per LogonUser. E questa password dovrà risiedere almeno una piccola quantità di tempo, così com'è, in memoria perché è il modo in cui LogonUser è definito. Nota: non tutti i pacchetti auth richiedono password (come la biometrica o la smart card: Windows Authentication Overview).

Quindi, se davvero vuoi la rappresentazione, da qualche parte dovrai passare una password. In questo caso, assicurati di utilizzare il codice postlagerkarte di Microsoft per questo: Marshal.SecureStringToGlobalAllocUnicode Method sample code

Non puoi davvero fare molto di più.

Answer 2

All'interno dell'applicazione gestita è possibile utilizzare la classe SecureString per gestire le informazioni riservate. Di solito non è necessario eseguire il proprio meccanismo di stringa sicuro.

Poco prima di eseguire il pinvoke in LogonUser, si passa quindi alla copia non gestita di della password SecureString. Si utilizza il metodo Marshal.SecureStringToGlobalAllocUnicode per questo. Quindi non c'è mai un oggetto gestito nel dominio dell'app che rappresenta la password.

È possibile trovare il codice di esempio nell'articolo this.

Se si richiede ancora più sicurezza, suggerirei di disabilitare la connessione diretta al database dai client wpf. È possibile introdurre un livello intermedio. La sicurezza viene così spostata dai client a questo unico server. La comunicazione tra Client e App-Server è crittografata e solo il server delle app comunica con il database.

Answer 3

Aggiornamento:

si potrebbe implementare un crittografato app.config. È possibile farlo attraverso diversi approcci:

• Protecting Connection Information
• Windows Data Protection

Così come questo dovrebbe funzionare, è quando un amministratore inserisce le credenziali che si decrittografare i app.config modificare la chiave/valore con le nuove credenziali. Quindi, una volta inserito, crittografa nuovamente il file di configurazione.

Quindi viene esposto in minima parte, ma anche i dati vengono inseriti tramite l'incapsulamento che aiuta anche a nasconderlo.

Questo è un approccio, anche se un SecureString funzionerà è previsto un char[]. Che in alcuni casi potrebbe non essere l'ideale quando si interfaccia attraverso il advapi32.dll.