Access Token. Oggetto associato ai processi utente generato durante la fase di logon, dopo che l’utente è stato autenticato; contengono, il SID dell’utente, SID del gruppo a cui l’utente appartiene, e l’ACL di default dell’utente.
ACE (Access Control Entry). Rappresenta una singola voce delle ACL (Access Control List) utilizzate per il controllo dell'accesso ad un oggetto del sistema (file, stampante, etc..).
ACL (Access Control List). Contengono i permessi di accesso per ogni oggetto; è una sequenza di zero o più ACE, che rappresenta la singola voce di controllo dell’accesso.
API (Application Programming Interface). Fornisce interfaccia utili alla programmazione di una applicazione.
Architettura OSI (Open System Interconnection). Standard sviluppato dalla ISO (International Standard Organization), che definisce un modello per l'architettura di rete.
Auditing. Meccanismo del sistema operativo di analizzare informazioni relative all'operazione eseguite nel sistema. Tali informazioni sono generalmente memorizzate in appositi file, detti file di log.
Autenticazione. Processo che identifica l’utente durante il logon e l’accesso a servizi di rete.
Autorizzazione. Meccanismo che si preoccupa di controllare l’accesso alle risorse dell'utente, sulla base dei permessi stabiliti ad esso associato.
CA (Certificate Authority). Autorità che si occupa di rilasciare certificati agli utenti (e non solo) che ne fanno richiesta.
Certificati. Oggetti emessi da una CA (Certificate Authority), per garantire l'autenticità dei client e server durante una comunicazione. Vedere anche Certificati a chiave pubbliche.
Certificati a chiave pubblica. Anch'essi emessi da una CA (Certificate Authority), associati alle chiavi pubbliche degli utenti. Il loro scopo è garantire l'autenticità delle chiavi pubbliche degli utenti, durante una fase di autenticazione.
Chiave a lungo termine. Chiave crittografica nota solo all’utente (e ovviamente al KDC) usata per le comunicazioni tra l’utente e il KDC. In molte implementazioni di Kerberos, tale chiave è generata a partire dalla password di logon dell’utente.
Chiave crittografica. Chiave utilizzata sia nella crittografia a chiave pubblica che nella crittografia a chiave privata, che consente la decifratura e la cifratura di un messaggio, le cui modalità dipendono dal sistema di crittografia utilizzato.
Chiave di sessione. Chiave distribuita dal KDC affinché il client e il server possano autenticarsi l'un l'altro. In particolare il client e il server memorizzano la chiave di sessione nella propria chiave a lungo termine.
Classe. Rappresentazione astratta di un oggetto di Active Directory, inclusi gli attributi dell'oggetto.
Collegamenti di sito. E' il nome dato alle connessione tra DC nella replica inter-sito.
Confidenzialità. Requisito di sicurezza che impone la privatezza dei dati memorizzati o trasmessi.
Criterio di gruppo. Insieme di impostazioni, che consentono di definire e controllare il funzionamento dei programmi e delle risorse di rete per utenti e computer all’interno di un’organizzazione.
Crittografia a chiave pubblica. Sistema di crittografia in cui ciascun utente dispone di una chiave pubblica (nota a tutti), e di una chiave privata (nota solo all'utente). Quando si vuole mandare un messaggio ad un determinato utente, tale messaggio viene cifrato con la chiave pubblica del destinatario; il messaggio cifrato verrà poi decifrato dal destinatario con la sua chiave privata.
Crittografia a chiave segreta. Sistema di crittografia in cui due utenti si scambiano messaggi cifrati con una chiave simmetrica, nota solo ai due utenti, e sui si sono accordati (vedi anche crittografia a chiave simmetrica).
Crittografia a chiave simmetrica. Sistema di crittografia in cui un messaggio viene cifrato con una chiave simmetrica, nota solo all'utente.
CRL (Certificate Revocation List). Lista firmata da una CA (Certificate Authority) contenente i certificati delle chiavi pubbliche revocate, insieme ad altre informazioni sulla revoca, quali la data e le motivazioni.
DACL (Discretionary Access Control List). Tipo di ACL che contengono i permessi di accesso agli oggetti.
Data Decryption Field (DDF). Attributo di EFS che memorizza il file dell'utente cifrato e la FEK cifrata con la chiave pubblica dell’utente.
Data Recovery Field (DRF). Attributo EFS viene memorizzato il file dell'utente cifrato e la FEK cifrata con la chiave pubblica del Recovery Agent.
DC (Domain Controller). Controller di dominio, è il server in una rete che si preoccupa di controllare l'accesso al dominio (durante il logon di un utente, o l'accesso a un servizio del dominio) a cui appartiene. Un dominio può avere diversi controller di dominio.
Directory. E' come un elenco telefonico, dove vengono memorizzate informazioni preziose, ed è organizzata gerarchicamente in modo da favorire la ricerca di un particolare dato.
DLL (Dynamic Linking Libraries). Libreria a collegamenti dinamico contenente funzioni richiamabili all'interno di una applicazione.
DNS (Domain Name System). Servizio utilizzato su Internet per la risoluzione dei nomi corrispondenti a indirizzi IP di calcolatori.
Esecutivo (o Executive). Processo in modalità kernel che offre vari servizi tra cui la gestione della memoria virtuale, l'esecuzione dei processi o thread in modalità kernel.
File Encryption Key (FEK). Chiave generata in maniera casuale con cui i file vengono cifrati nel protocollo EFS (Encrypting File System).
FTP (File Transfer Protocol). Protocollo più utilizzato per la trasmissione dei file.
Gruppi. Oggetti Active Directory (o di un computer locale) che possono contenere utenti, computer e altri gruppi. Consentono di gestire l'accesso di utenti e computer a risorse condivise.
Handle. Oggetto associato ad ogni risorsa a cui si intende accedere. Viene rilasciato al processo utente solo se ha i permessi di accesso richiesti, consentendo l'utente di accedere alla risorsa.
Header. Intestazione dei pacchetti che viaggiano su un canale di comunicazione, contenente varie informazioni relative al pacchetto.
IIS (Internet Information Server). Servizio utilizzato da Windows 2000 per la gestione servizi Internet relativi all'azienda (es. sito Internet).
Intranet. Rete privata che si basa su standard di comunicazione tipici di Internet.
Link en-to-end. Collegamento logico tra due computer che comunicano attraverso una rete. Se i due computer sono connessi direttamente, il link logico coincide con quello fisico.
KCC (Knowledge Consistency Checker). Servizio che si preoccupa di implementare il meccanismo delle replica in Active Directory. In particolare si preoccupa di stabilire le connessione tra i controller di dominio, mentre la propagazione delle informazioni di Active Directory viene eseguita dal DRA (Directory Replication Agent).
KDC (Key Distribution Center). Servizio nell’ambiente Windows 2000 che gira su tutti i controller di dominio, e funge da intermediario tra l’applicazione e le risorse di rete o servizi.
Logon. Processo durante il quale l'utente inserisce le proprie credenziale (nome account e password) per entrare nel sistema, e il sistema verifica le credenziali dell'utente, consentendone o meno l'accesso.
Microsoft Management Console (MMC). Programma fornito da Windows 2000 che consente all'amministratore di sistema, di eseguire tutte le operazioni di gestione di tutte le informazioni del computer locale.
Modalità kernel. Modalità di esecuzione in cui i processi (o thread) hanno accesso completo alle risorse hardware del calcolatore.
Modalità utente. Modalità di esecuzione in cui i processi (o thread) hanno un proprio spazio di memoria virtuale, in modo che non si disturbino tra loro. In tale modalità vengono eseguiti i processi (o thread) degli utenti.
Multitasking. Capacità fornita da un sistema operativo di eseguire contemporaneamente più task (processi o thread).
NTFS (NT File System). Rappresenta il file System utilizzato nei sistemi operativi sviluppati con tecnologia NT.
NTLM (NT LanManager). E' il protocollo di autenticazione utilizzato da Windows NT 4.0 e Windows 9x.
PIN (Personal Identification Number). Tipo particolare di password, usato insieme a telefoni cellulari e a schede magnetiche (carte di credito, smartcard).
Primo sito predefinito. Sito di default creato in Active Directory quando viene definito un DC (controller di dominio).
Processo. Programma in esecuzione, con un proprio spazio di indirizzi.
Protocollo TCP/IP. E' il protocollo di trasmissione su rete più diffuso.
Recovery Agent. E' un ruolo associato ad una persona (in genere l’amministratore di sistema) dell’organizzazione in cui viene utilizzato EFS, per eseguire le operazione di recovery dei file cifrati, quando l'utente lascia l'organizzazione o perde la sua chiave privata.
Replica intra-sito. Meccanismo di replica delle informazioni di Active Directory nel quale i DC (controller di dominio) si trovano nello stesso sito. La topologia di replica viene determinata automaticamente dal KCC.
Replica inter-sito. Meccanismo di replica delle informazioni di Active Directory nel quale i DC (controller di dominio) sono collocati in siti diversi dello stesso dominio. In tale tipo di replica, la topologia di replica non viene determinata automaticamente dal KCC.
SACL (System Access Control List). Tipo di ACL contenenti informazioni di controllo circa l'accesso agli oggetti del sistema.
Schema. Gruppo formato dalle classi di oggetti di Active Directory, insieme con gli attributi e le regole che devono essere seguite per la loro gestione.
SDK (Software Development Kit). Insieme di strumenti utili per la programmazione in un determinato ambiente (linguaggio di programmazione o sistema operativo).
Security Association (SA). E' un insieme di parametri che definiscono i servizi e i meccanismi, come le chiavi, necessarie per proteggere le comunicazioni, utilizzati durante IPSec.
SID (Security Identification). Security ID che viene assegnato univocamente. E' generato al momento della creazione dell’account utente.
Sito. E' una sottorete connessa, ovvero specifica un insieme di indirizzi IP di macchine che formeranno il sito.
Smartcard. Oggetto molto simile alle carte credito, viene usato come strumento di autenticazione per l'utente.
ST (Service Ticket). Viene assegnato ad un utente quando Biagio richiede l’utilizzo di una risorsa presentando al KDC il proprio TGT. Il KDC, verificato che l'utente ha i relativi permessi per utilizzare la risorsa concede l'ST .
TGS (Ticket-Granting Service). Servizio fornito dal KDC quando fornisce al client il ticket di sessione.
TGT (Ticket-Granting Ticket). Speciale ticket di sessione usato per la comunicazione tra KDC e client, che viene creato quanto il client manda una richiesta al KDC. Infatti questo TGT contiene una copia della chiave di sessione che il client può usare per comunicare con il KDC.
Thread. E' una porzione di un programma eseguita separatamente rispetto alle altre porzioni dello stesso programma. Tutti i thread condividono lo stesso spazio di indirizzi.
Ticket di sessione. Struttura in cui il KDC, rispondendo alla richiesta del client di comunicare con il server, mandala la chiave di sessione del server, che viene poi criptata con la chiave segreta che il KDC condivide con il server.
Timestamp. Marcatura temporale aggiunta ad un documento o un messaggio per attestarne l'istante di tempo in cui il documento o il messaggio è stato creato.
Topologia di replica. E' l'insieme delle connessioni tra tutti i controller di dominio.
Transport Layer. Strato del modello OSI che ha il compito di fornire un trasporto dei dati affidabile dal computer sorgente al computer destinazione.
Unità organizzativa. Particolare contenitore in un dominio contenente altre unità organizzative e gli oggetti del dominio, ovvero utenti, gruppi, computer. Consentono di rappresentare fedelmente la struttura gerarchica di un'azienda.
WAN (Wide Area Network). Rete di calcolatori che si estende a livello di una nazione, di un continente o dell'intero pianeta.
WINS (Windows Internet Name Service). Servizio che gira sotto Windows, sviluppato dalla Microsoft in alternativa al DNS. E' scarsamente utilizzato per via della sua difficoltà di gestione.