Привет,
Я работаю с поставщиком, который реализовал некоторый код, который использует пакет субаутентификации Windows LSA MSV1_0 (информация MSDN, если вам интересно: http://msdn.microsoft.com/en-us/library/aa374786(VS.85).aspx), и я пытаюсь выяснить, необходимо ли это .
Насколько я могу судить, подпрограмма и фильтр субаутентификации позволяют перехватывать или настраивать стандартную обработку событий входа LSA MSV1_0. Проблема в том, что я не понимаю, зачем продукту производителя такие возможности.
Я спросил их, и они сказали, что используют его для подражания. Продукт определенно должен выполнять олицетворение, но, основываясь на моих ограниченных знаниях win32, они могут получить необходимую им функциональность, используя обычные API аутентификации (LsaLogonUser, ImpersonateLoggedOnUser и т. Д.) Без пакета субаутентификации. Кроме того, я работал с рядом аналогичных продуктов, которые все выполняют олицетворение, и это единственный продукт, в котором используется пакет дополнительной аутентификации.
Если вам интересно, зачем мне это нужно, в предыдущей версии продукта была ошибка в пакете субаутентификации dll, которая приводила к блокировкам или синим экранам. Это заставляет меня нервничать и ставить под сомнение использование такого низкоуровневого чувствительного к ядру интерфейса. Я хотел бы вернуться к поставщику и сказать: «Нет никакого способа, которым вы могли бы нуждаться в пакете субаутов LSA для олицетворения - извлеките его», но я не уверен, что понимаю варианты использования и возможные ограничения стандартных API-интерфейсов аутентификации / олицетворения win32 достаточно хорошо, чтобы сделать это утверждение окончательно.
Итак, для гуру безопасности win32, есть ли какая-то причина, по которой вам понадобится пакет субаутентификации LSA MSV1_0, если все, что вы делали, это олицетворение?
Заранее спасибо за любые мысли!