Autenticacion y credenciales en Windows
recursos
https://learn.microsoft.com/en-us/windows/win32/secauthz/access-tokens
https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/credentials-processes-in-windows-authentication#BKMK_CrentialInputForUserLogon

Usuario de dominio mediane kerberos
Usuario local mediante ntlm
https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/credentials-processes-in-windows-authentication#BKMK_CrentialInputForUserLogon

Existen dpos tipos de autenticacion en windows

Gina: interfaz de autorizacion*
Todo esto pasa dentro de forma local
El conjunto de credenciales se guarda dentro del modulo LSA de Logonsesion, para gacer el singlesynon, de este modo si queremos consumir cualquier servicio no nos hace falta volver a autenticarnos

Logon session es una herramienta que nos permite ver que logon sesion tenemos en nuestra maquina windows
en usuario local:
Al ejecutar la herramienta aparece lo siguiente

aparecen dos logon sesion, una para privilegios de ese usuario y otro para privilegios elevados aunque parezcan que es la misma

aqui la vemos que necesita privilegios elevados

y qui con los privilegios del usuario
todo esto a sido en local mediante el protocolo ntlm( autorizacion con la sam)

con usuario dominio:
aqui observamos que se crean dos logon sesion mediante el protocolo kerberos puesto que nos identificamos ante un dominio, vemos tambien que las sesiones son interactivas, y que esta no vez no son en el mismo tiempo, la primera logonsesion es con los privilegios del usuario y la segunda de administrador
con dominio:

aquin vemos que sale la normal de administradorde forma interactiva( es decir que la credencial esta en la sam de la maquina) y otra logonsesion network(no interactiva), esto significa que es una sesion de red, significa que no esta en la maquina de forma local

nos hemos autencticado y necesitamos saber a que tenemos acceso, eso el es toen de acceso, el token valida si tenemos permisos para leer escribir o ejecutar.

un cliente tiene un toke se suplantacion sobre ese subproceso, porque no tendria sentido que tuviera el token principal para que pudiera hacer lo que quisiese
el token principal se encarga de decir que privilegios tiene en el proceso y subprocesos de este
el token de suplantacion se encarga de decir qeu privilegios tiene en relacion cliente-servidor

HERRAMIENTA PROCESS EXPLORES SYS INTERNAL
aqui vemos a la izquierda acministrador y a la derecha usuario normal
todos los token se asocian a una logon session

administrador: arriba
vemos que este token corre en un nivel de integridad alto con todos los permisos definidos que se ven abajo

usuario: nivel de integridad medio
