Security Support Provider Interface (SSPI) は、Microsoft Windowsにおいてセキュリティに関する様々な機能を提供するAPIである。
WindowsではSecurity Support Provider (SSP) と呼ばれるアプリケーションにセキュリティ機能を提供するダイナミックリンクライブラリ (DLL) が実装されており、SSPIはこれらSecurity Support Providerの共通インタフェースとして機能する[1]。 Windowsでは以下のSecurity Support Providerが提供されている。
Security Support Provider
NTLMSSP
この節には独自研究が含まれているおそれがあります。問題箇所を検証し出典を追加して、記事の改善にご協力ください。議論はノート
を参照してください。(2023年5月)SSPIは、GSSAPI(英語版)のプロプライエタリな変種であり、Windows独自のデータタイプや拡張が追加されている。
Windows NT 3.51およびWindows 95におけるNTLMSSPがその始まりであり、Windows 2000では、ケルベロス認証 (.mw-parser-output cite.citation{font-style:inherit;word-wrap:break-word}.mw-parser-output .citation q{quotes:"\"""\"""'""'"}.mw-parser-output .citation.cs-ja1 q,.mw-parser-output .citation.cs-ja2 q{quotes:"「""」""『""』"}.mw-parser-output .citation:target{background-color:rgba(0,127,255,0.133)}.mw-parser-output .id-lock-free a,.mw-parser-output .citation .cs1-lock-free a{background:url("//upload.wikimedia.org/wikipedia/commons/6/65/Lock-green.svg")right 0.1em center/9px no-repeat}.mw-parser-output .id-lock-limited a,.mw-parser-output .id-lock-registration a,.mw-parser-output .citation .cs1-lock-limited a,.mw-parser-output .citation .cs1-lock-registration a{background:url("//upload.wikimedia.org/wikipedia/commons/d/d6/Lock-gray-alt-2.svg")right 0.1em center/9px no-repeat}.mw-parser-output .id-lock-subscription a,.mw-parser-output .citation .cs1-lock-subscription a{background:url("//upload.wikimedia.org/wikipedia/commons/a/aa/Lock-red-alt-2.svg")right 0.1em center/9px no-repeat}.mw-parser-output .cs1-ws-icon a{background:url("//upload.wikimedia.org/wikipedia/commons/4/4c/Wikisource-logo.svg")right 0.1em center/12px no-repeat}.mw-parser-output .cs1-code{color:inherit;background:inherit;border:none;padding:inherit}.mw-parser-output .cs1-hidden-error{display:none;color:#d33}.mw-parser-output .cs1-visible-error{color:#d33}.mw-parser-output .cs1-maint{display:none;color:#3a3;margin-left:0.3em}.mw-parser-output .cs1-format{font-size:95%}.mw-parser-output .cs1-kern-left{padding-left:0.2em}.mw-parser-output .cs1-kern-right{padding-right:0.2em}.mw-parser-output .citation .mw-selflink{font-weight:inherit}RFC 1964) が追加された。SSPIでのケルベロス認証で用いられるトークンはGSSAPIのものとほぼ互換性があり、WindowsのSSPIクライアントはWindows以外のGSSAPIクライアントと相互に認証を行うことが可能である。
IETFによって定義されたGSSAPIとWindowsのSSPIの間には、アクセストークンの "impersonation" に関して大きな違いが存在する。このモデルでは、クライアントが「完全な」特権を持っていれば、サーバはその特権により操作を行うことが可能である。すなわち、サービスアカウントの特権レベルは接続/認証されたクライアントに依存する。GSSAPIモデルでは、サーバがサービスアカウントで実行されている場合、アカウントの特権を上昇させることができず、すべてのアクセス制御を有効にする必要がある。このようなセキュリティ上問題のある実装は、WindowsのSSPIではVista以降で解消されている[11]。
脚注^ “ ⇒SSP Packages Provided by Microsoft”. 2014年10月5日閲覧。
^ “ ⇒User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN”. 2014年10月5日閲覧。
^ “ ⇒Kerberos Enhancements in Windows Vista: MSDN”. 2014年10月5日閲覧。
^ “ ⇒Windows 2000 Kerberos Authentication”. 2014年10月5日閲覧。
^ “ ⇒Windows Authentication”. 2014年10月5日閲覧。
^ “ ⇒TLS/SSL Cryptographic Enhancements in Windows Vista”. 2014年10月5日閲覧。
^ “ ⇒Secure Channel: SSP Packages Provided by Microsoft”. 2014年10月5日閲覧。
^ “ ⇒Microsoft Digest SSP: SSP Packages provided by Microsoft”. 2014年10月5日閲覧。
^ “ ⇒Credential Security Service Provider and SSO for Terminal Services Logon”. 2014年10月5日閲覧。
^ “ ⇒DCOM Technical Overview: Security on the Internet”. 2014年10月5日閲覧。
^ “ ⇒Windows Service Hardening: AskPerf blog”. 2014年10月5日閲覧。
外部リンク
⇒SSPI(Windows)
⇒SSPI Information and Win32 samples