Überblick über die Windows-Authentifizierung
- 10/12/2016
- 5 Minuten zu lesen
-
-
J -
e -
j -
D -
j -
+3
-
Gilt für: Windows Server (Semi-Annual Channel), Windows Server 2016
Dieses Navigationsthema für IT-Experten listet Dokumentationsressourcen für Windows-Authentifizierungs- und Anmeldetechnologien auf, die Produktevaluierungen, Einführungshandbücher, Verfahren, Design- und Bereitstellungsleitfäden, technische Referenzen und Befehlsreferenzen umfassen.
Funktionsbeschreibung
Authentifizierung ist ein Prozess zur Überprüfung der Identität eines Objekts, eines Dienstes oder einer Person. Bei der Authentifizierung eines Objekts geht es darum, zu überprüfen, ob das Objekt echt ist. Bei der Authentifizierung eines Dienstes oder einer Person geht es darum, die Echtheit der vorgelegten Anmeldeinformationen zu überprüfen.
In einem Netzwerkkontext ist Authentifizierung der Nachweis der Identität gegenüber einer Netzwerkanwendung oder -ressource. Normalerweise wird die Identität durch eine kryptographische Operation nachgewiesen, die entweder einen Schlüssel verwendet, den nur der Benutzer kennt – wie bei der Public-Key-Kryptographie – oder einen gemeinsamen Schlüssel. Die Serverseite des Authentifizierungsaustauschs vergleicht die signierten Daten mit einem bekannten kryptografischen Schlüssel, um den Authentifizierungsversuch zu validieren.
Die Speicherung der kryptografischen Schlüssel an einem sicheren zentralen Ort macht den Authentifizierungsprozess skalierbar und wartbar. Active Directory Domain Services ist die empfohlene und standardmäßige Technologie für die Speicherung von Identitätsinformationen (einschließlich der kryptografischen Schlüssel, die die Anmeldedaten des Benutzers darstellen). Active Directory ist für Standard-NTLM- und Kerberos-Implementierungen erforderlich.
Authentifizierungstechniken reichen von einer einfachen Anmeldung, bei der Benutzer auf der Grundlage von etwas identifiziert werden, das nur der Benutzer kennt – wie ein Kennwort – bis hin zu leistungsfähigeren Sicherheitsmechanismen, die etwas verwenden, das der Benutzer besitzt – wie Token, Public-Key-Zertifikate und biometrische Daten. In einer Geschäftsumgebung können Dienste oder Benutzer auf mehrere Anwendungen oder Ressourcen auf vielen Servertypen an einem einzigen Standort oder an mehreren Standorten zugreifen. Aus diesen Gründen muss die Authentifizierung Umgebungen für andere Plattformen und für andere Windows-Betriebssysteme unterstützen.
Das Windows-Betriebssystem implementiert einen Standardsatz von Authentifizierungsprotokollen, einschließlich Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Digest, als Teil einer erweiterbaren Architektur. Darüber hinaus sind einige Protokolle in Authentifizierungspaketen wie Negotiate und dem Credential Security Support Provider zusammengefasst. Diese Protokolle und Pakete ermöglichen die Authentifizierung von Benutzern, Computern und Diensten; der Authentifizierungsprozess wiederum ermöglicht es autorisierten Benutzern und Diensten, auf sichere Weise auf Ressourcen zuzugreifen.
Weitere Informationen zur Windows-Authentifizierung einschließlich
-
Windows-Authentifizierungskonzepte
-
Windows-Anmeldeszenarien
-
Windows-Authentifizierungsarchitektur
-
Sicherheit Support Provider Interface Architecture
-
Credentials Processes in Windows Authentication
-
Group Policy Settings Used in Windows Authentication
siehe die Windows Authentication Technical Overview.
Praktische Anwendungen
Die Windows-Authentifizierung wird verwendet, um zu verifizieren, dass die Informationen von einer vertrauenswürdigen Quelle stammen, sei es von einer Person oder einem Computerobjekt, wie einem anderen Computer. Windows bietet viele verschiedene Methoden, um dieses Ziel zu erreichen, wie unten beschrieben.
| Um… | Funktion | Beschreibung |
|---|---|---|
| Authentifizierung innerhalb einer Active Directory-Domäne | Kerberos | Die Microsoft Windows Server-Betriebssysteme implementieren das Authentifizierungsprotokoll Kerberos Version 5 und Erweiterungen für die Authentifizierung mit öffentlichen Schlüsseln. Der Kerberos-Authentifizierungsclient ist als Security Support Provider (SSP) implementiert und kann über das Security Support Provider Interface (SSPI) angesprochen werden. Die anfängliche Benutzerauthentifizierung ist in die Winlogon-Single-Sign-On-Architektur integriert. Das Kerberos Key Distribution Center (KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Active Directory-Verzeichnisdienstdatenbank der Domäne als Sicherheitskontodatenbank. Active Directory ist für standardmäßige Kerberos-Implementierungen erforderlich.
Weitere Ressourcen finden Sie unter Übersicht über die Kerberos-Authentifizierung. |
| Sichere Authentifizierung im Web | TLS/SSL, wie im Schannel Security Support Provider implementiert | Das Transport Layer Security (TLS)-Protokoll in den Versionen 1.0, 1.1 und 1.2, das Secure Sockets Layer (SSL)-Protokoll, Version 2.0 und 3.0, das Datagram Transport Layer Security-Protokoll, Version 1.0, und das Private Communications Transport (PCT)-Protokoll, Version 1.0, basieren auf der Kryptographie mit öffentlichen Schlüsseln. Die Secure Channel (Schannel) Protokollsuite zur Anbieterauthentifizierung stellt diese Protokolle zur Verfügung. Alle Schannel-Protokolle verwenden ein Client- und Server-Modell.
Für zusätzliche Ressourcen siehe TLS – SSL (Schannel SSP) Übersicht. |
| Authentifizierung bei einem Webdienst oder einer Anwendung | Integrierte Windows-Authentifizierung
Digest-Authentifizierung |
Für zusätzliche Ressourcen siehe Integrierte Windows-Authentifizierung und Digest-Authentifizierung und Erweiterte Digest-Authentifizierung. |
| Authentifizierung bei Legacy-Anwendungen | NTLM | NTLM ist ein Authentifizierungsprotokoll im Stil von Challenge-Response.Zusätzlich zur Authentifizierung bietet das NTLM-Protokoll optional Sitzungssicherheit – insbesondere Nachrichtenintegrität und -vertraulichkeit durch Signier- und Versiegelungsfunktionen in NTLM.
Für zusätzliche Ressourcen siehe NTLM-Übersicht. |
| Nutzen Sie die Multifaktor-Authentifizierung | Smartcard-Unterstützung
Biometrische Unterstützung |
Smartcards sind eine fälschungssichere und tragbare Möglichkeit, Sicherheitslösungen für Aufgaben wie Client-Authentifizierung, Anmeldung bei Domänen, Code-Signierung und E-Mail-Sicherung bereitzustellen.
Biometrie beruht auf der Messung eines unveränderlichen physischen Merkmals einer Person, um diese Person eindeutig zu identifizieren. Fingerabdrücke sind eines der am häufigsten verwendeten biometrischen Merkmale, und es gibt Millionen biometrischer Fingerabdruckgeräte, die in Personalcomputern und Peripheriegeräten eingebaut sind. Weitere Ressourcen finden Sie unter Smart Card Technical Reference. |
| Lokale Verwaltung, Speicherung und Wiederverwendung von Berechtigungsnachweisen | Verwaltung von Berechtigungsnachweisen
Lokale Sicherheitsautorität Passwörter |
Die Berechtigungsnachweisverwaltung in Windows gewährleistet, dass Berechtigungsnachweise sicher gespeichert werden. Anmeldeinformationen werden auf dem sicheren Desktop (für den lokalen oder Domänenzugriff), über Anwendungen oder über Websites gesammelt, damit bei jedem Zugriff auf eine Ressource die richtigen Anmeldeinformationen angezeigt werden. |
| Erweiterung des modernen Authentifizierungsschutzes auf Altsysteme | Erweiterter Schutz für die Authentifizierung | Diese Funktion verbessert den Schutz und die Handhabung von Anmeldeinformationen bei der Authentifizierung von Netzwerkverbindungen durch die integrierte Windows-Authentifizierung (IWA). |
Softwareanforderungen
Die Windows-Authentifizierung ist so konzipiert, dass sie mit früheren Versionen des Windows-Betriebssystems kompatibel ist. Verbesserungen in jeder Version sind jedoch nicht unbedingt auf frühere Versionen übertragbar. Weitere Informationen finden Sie in der Dokumentation zu bestimmten Funktionen.
Server Manager-Informationen
Viele Authentifizierungsfunktionen können mithilfe von Gruppenrichtlinien konfiguriert werden, die über den Server Manager installiert werden können. Das Feature Windows Biometric Framework wird über den Server Manager installiert. Andere Serverrollen, die von Authentifizierungsmethoden abhängig sind, wie z. B. Webserver (IIS) und Active Directory-Domänendienste, können ebenfalls mit dem Server-Manager installiert werden.
| Authentifizierungstechnologien | Ressourcen |
|---|---|
| Windows-Authentifizierung | Technischer Überblick über die Windows-Authentifizierung Enthält Themen zu Unterschieden zwischen Versionen, allgemeinen Authentifizierungskonzepten, Anmeldeszenarien, Architekturen für unterstützte Versionen und anwendbaren Einstellungen. |
| Kerberos | Überblick über die Kerberos-Authentifizierung
Überblick über die eingeschränkte Delegation Technische Referenz für die Kerberos-Authentifizierung (2003) Kerberos-Forum |
| TLS/SSL und DTLS (Schannel Security Support Provider) | TLS – SSL (Schannel SSP) Übersicht
Technische Referenz für Schannel Security Support Provider |
| Digest-Authentifizierung | Technische Referenz für Digest-Authentifizierung (2003) |
| NTLM | Übersicht über NTLM Enthält Links zu aktuellen und früheren Ressourcen |
| PKU2U | Einführung in PKU2U unter Windows |
| Smart Card | Technische Referenz für Smart Cards |
| Zertifikate | Zertifikate Schutz und Verwaltung Enthält Links zu aktuellen und früheren Ressourcen Kennwörter Übersicht |