? Você não pode \\ " criar \\ " um Privilege Attribute Certificate . O Privilege Attribute Certificate (PAC) é uma função chamada dentro do sistema de segurança do Windows quando você faz logon em um sistema utilizando Kerberos. A implementação da autenticação Kerberos do Windows 2008 usa rigorosamente o PAC e nenhum outro. Kerberos é um protocolo de autenticação de rede que usa criptografia para gerar os certificados através de um sistema de autenticação dupla de usuários e servidores . Fatos Kerberos

Este é um protocolo de autenticação de rede. Ele funciona usando criptografia de chave secreta . Criado pelo Massachusetts Institute of Technology, ou MIT , ele está disponível livremente , visitando Web.MIT.edu /Kerberos. A criptografia Kerberos funciona criptografando todas as comunicações entre o servidor eo cliente. Estabelece a sessão criptografada depois que o cliente autentica o servidor com um login e senha. A chave calculado especialmente processado é um número binário. O processo utilizado codifica ou criptografa todas as comunicações após os autentica usuários. Kerberos é executado com a ajuda de um Centro de Distribuição de Chaves (KDC) . Este KDC emite certificados sessão temporárias , tickets e chaves de sessão para aqueles que têm um domínio do Active Directory. Kerberos é executado dentro de cada um dos domínios , como o controlador ou a parte do Active Directory Domain Services ( ADDS ) .

PAC Fatos

O Windows 2008 Kerberos usa o PAC estritamente com o seu sistema de autenticação dupla. Kerberos é um sistema baseado Ticket , o que cria uma conexão criptografada e segura durante o uso dos bilhetes. O certificado de transferência do PAC para o cliente através do KDC Kerberos . Uma vez que o cliente autentica , ou fizer logon, Kerberos emite um tíquete de concessão de ticket ( TGT ), que fornece para autenticação futuro durante a mesma sessão . O TGT então permite o acesso a aplicações e /ou recursos específicos. O PAC , que contém as informações do usuário , como o ID do usuário de segurança , os membros do grupo e os seus direitos sobre o domínio. Porque é também contém os dados de aqueles autenticado com o princípio , ou Kerberos , o número de grupos de uma pessoa pode pertencer a deve ser limitado . Estas propriedades são específicas para a plataforma Windows Server, PAC só se aplica para o Windows PAC e Kerberos. O certificado PAC requer um dado certificado digital, que precisa de uma assinatura ligada a ela para impedir que estes tipos de ataques . Na verdade, previne contra a elevação de ataques de privilégios.
PAC Criação

O sistema Kerberos cria o PAC quando um usuário se autentica no domínio ou de rede. Este é apenas no sistema Windows 2000 Kerberos, como as lojas do PAC domínio do Windows informações específicas do usuário . Outros sistemas Kerberos usar os mesmos métodos , embora eles utilizam diferentes sistemas de certificação . Se você é um administrador de sistemas, você pode especificar certas propriedades do PAC no entanto, o servidor assegura e cria o Bilhete real que contém o PAC para proteger as informações . A criptografia de informações de credenciais dentro de um PAC permite a transmissão segura de essas credenciais durante um ataque de logon PKINIT , de acordo com o site de Kerberos.