Sichere Windows Identitätswechsel?

Question

In meiner WPF-Anwendung möchte ich Administratoren eine Datenbankverbindung mit integrierter Sicherheit für verschiedene andere Benutzer testen können. Also habe ich ein Formular, das es dem Administrator erlaubt, die Domain, den Benutzernamen und das Passwort einzugeben und es dann zu testen. Ich bin in der Lage, sicher bis das Passwort zu behandeln, bis ich LogonUser im advapi32.dll nennen, die eine string password

LogonUser(UserName, Domain, Password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref UserHandle) 

nimmt ich eine Nutzenfunktion geschrieben haben, die die Secure in einen String konvertiert so sicher wie möglich, und dann im rufenden es auf dem Passwort in dem Logonuser Aufruf:

LogonUser(UserName, Domain, Helper.ConvertSafely(Password), LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref UserHandle) 

Da die Signatur für Logonuser einen String, es sei denn, Logonuser in seiner Ausführung der richtige Pflege des Passworts nehmen, könnte es auf meinem Call-Stack im Klartext sein noch nach Der Anruf kehrt zurück. Gibt es einen sichereren Weg, sich als ein Benutzer auszugeben, in dem ich vertraulich sein kann, dass das PW die ganze Zeit sicher ist?

Grundsätzlich brauche ich nur WindowsImpersonationContext, aber ich möchte es ohne das Passwort jemals im Klartext erwerben.

Answer 1

Wenn der Benutzer, den Sie ausgeben möchten, bereits auf dem Rechner angemeldet ist (zum Beispiel in einer anderen Sitzung), hier ist eine Antwort: Is it possible for a Windows service impersonate a user without a password?

Wenn er nicht, werden Sie ein Passwort zu Logonuser bieten müssen. Und dieses Passwort muss mindestens eine kleine Menge Zeit haben, so wie es im Speicher ist, weil LogonUser so definiert ist. Beachten Sie, dass nicht alle Auth-Pakete Passwörter benötigen (wie Biometrie oder Smartcard: Windows Authentication Overview).

Also, wenn Sie wirklich Identitätswechsel wollen, irgendwo müssen Sie ein Passwort herumreichen. Verwenden Sie in diesem Fall den Code der postlagerkarte von Microsoft: Marshal.SecureStringToGlobalAllocUnicode Method sample code

Sie können nicht viel mehr tun.

Answer 2

In Ihrer verwalteten Anwendung können Sie die SecureString-Klasse verwenden, um mit vertraulichen Informationen umzugehen. In der Regel ist es nicht erforderlich, einen eigenen sicheren String-Mechanismus zu erstellen.

Kurz bevor Sie in LogonUser einpinnen, übergeben Sie die unverwaltete Kopie von das SecureString-Passwort. Sie verwenden hierzu die Methode Marshal.SecureStringToGlobalAllocUnicode. Daher gibt es in Ihrer App-Domain nie ein verwaltetes Objekt, das das Kennwort darstellt.

Sie finden Beispielcode in this Artikel.

Wenn Sie noch mehr Sicherheit benötigen, würde ich vorschlagen, direkte Datenbankverbindung von Ihren wpf-Clients zu verbieten. Sie können eine mittlere Stufe einführen. Die Sicherheit wird somit von den Clients auf diesen einen Server verlagert. Die Kommunikation zwischen Client und App-Server ist verschlüsselt und nur der App-Server spricht mit der Datenbank.

Answer 3

Update:

Sie könnten eine verschlüsselte app.config implementieren. verschiedene Ansätze tun dies durch Sie können:

• Protecting Connection Information
• Windows Data Protection

So, wie dies funktionieren würde, ist, wenn ein Administrator die Berechtigungsnachweise fügt würden Sie entschlüsseln die app.config ändern Sie den Schlüssel/Wert mit den neuen Anmeldeinformationen. Sobald es eingefügt ist, verschlüsselt es die Konfigurationsdatei erneut.

So ist es minimal ausgesetzt, aber auch die Daten werden durch Kapselung eingefügt, die hilft, es auch zu verbergen.

Dies ist ein Ansatz, obwohl ein SecureString funktioniert, erwartet es eine char[]. Was in einigen Fällen nicht ideal sein kann, wenn es über die advapi32.dll Schnittstelle angeschlossen wird.