인프라/window & hyper-v

윈도우에서 SSPI와 CredSSP

김 숨 2023. 8. 17. 22:00

 SSPI(Security Support Provider Interface)

보안 지원 제공자 인터페이스

  • 사용자를 인증하는 메커니즘을 정의, 사용자가 자신이 누구라고 주장하는지 확인하거나 최소한 특정 사용자 계정과 관련된 비밀(암호)을 알고 있는지 확인.
  • 인증과 같은 다양한 보안 관련 동작을 수행하기 위해 마이크로소프트 윈도우 시스템에 쓰이는 윈도우 API 중 하나
  • 응용 프로그램이 보안 시스템에 대한 인터페이스를 변경하지 않고도 컴퓨터나 네트워크에서 사용할 수 있는 다양한 보안 모델을 사용할 수 있도록 지원
  • 여러 보안 지원 제공자(SSP)의 공통 인터페이스 역할을 합니다.
  • NTLM, 커버로스(Kerberos), CredSSP, DAP 등이 있습니다. 
 

SSPI

The Security Support Provider Interface, SSPI for short, defines the mechanics of authenticating a user -- of verifying that he is who he claims to be, or at the very least, that he knows a secret (the password) associated with a particular user account. N

web.archive.org

 

SSPI Model - Win32 apps

Security Support Provider Interface (SSPI) allows an application to use various security models available on a computer or network without changing the interface to the security system.

learn.microsoft.com

CredSSP(Credential Security Support Provider)

CredSSP 프로토콜 

CredSSP는 SSPI 프레임워크 내의 특정 보안 공급자. 인증 프로세스 중에 자격 증명을 안전하게 처리하는 데 중점을 둔다.

  • 자격 증명 위임: CredSSP를 사용하면 원격 인증 중에 사용자의 자격 증명이 클라이언트에서 서버로 안전하게 전달
  • 원격 데스크톱 서비스: Windows 환경에서 CredSSP는 RDS(원격 데스크톱 서비스)와 연결되는 경우가 많은데, 원격 데스크톱 세션에 연결할 때 인증 프로세스를 보호하는 역할
  •  Single Sign-On: CredSSP는 Single Sign-On 시나리오를 지원하므로 사용자는 한 번 로그인하면 반복 인증 없이 다양한 서비스에 액세스할 수 있습니다.

 

요약하면 SSPI는 애플리케이션 간 보안 관련 상호 작용을 관리하는 Windows의 더 광범위한 프레임워크이며, CredSSP는 일반적으로 원격 데스크톱 시나리오와 관련된 인증 중 자격 증명을 안전하게 처리하는 데 중점을 두는 SSPI 내의 특정 공급자입니다.

 

Kerberos와의 차이점?

Kerberos 인증 프로토콜과 마찬가지로 CredSSP는 클라이언트에서 서버로 자격 증명을 위임할 수 있지만 완전히 다른 메커니즘과 사용 편의성 및 보안 특성을 사용

CredSSP를 사용하면 정책에서 자격 증명을 위임하도록 지정하면 Kerberos 위임과 달리 사용자에게 자격 증명을 묻는 메시지가 표시됩니다.

 

 

 

[MS-CSSP]: Credential Security Support Provider (CredSSP) Protocol

Specifies the Credential Security Support Provider (CredSSP) Protocol, which enables an application to securely delegate a user's credentials

learn.microsoft.com

 

 

Credential Security Service Provider and SSO for Terminal Services Logon

Table of contents Credential Security Service Provider and SSO for Terminal Services Logon Article 07/25/2008 In this article --> Overview Authentication protocols are implemented in Windows by security service providers. Windows Vista introduces a new au

learn.microsoft.com

기억해야 할 Kerberos 이중 홉 지점 |매우 중요 | (linkedin.com)