Přehled ověřování systému Windows

Led 15, 2022
admin
  • 10/12/2016
  • 5 minut čtení
    • J
    • e
    • j
    • D
    • j
    • +3

Týká se: Toto navigační téma pro IT profesionály uvádí zdroje dokumentace k technologiím ověřování a přihlašování systému Windows, které zahrnují hodnocení produktů, průvodce pro začátek, postupy, průvodce návrhem a nasazením, technické odkazy a odkazy na příkazy.

Popis funkce

Ověřování je proces ověřování identity objektu, služby nebo osoby. Při ověřování objektu je cílem ověřit, zda je objekt pravý. Při ověřování služby nebo osoby je cílem ověřit, že předložená pověření jsou pravá.

V síťovém kontextu je ověřování akt prokázání identity síťové aplikace nebo prostředku. Typicky se totožnost prokazuje kryptografickou operací, která používá buď klíč, který zná pouze uživatel – jako v případě kryptografie s veřejným klíčem -, nebo sdílený klíč. Na straně serveru se při výměně autentizace porovnávají podepsaná data se známým kryptografickým klíčem, aby se ověřil pokus o autentizaci.

Uložení kryptografických klíčů v bezpečném centrálním umístění umožňuje škálovatelnost a údržbu procesu autentizace. Doporučenou a výchozí technologií pro ukládání informací o identitě (včetně kryptografických klíčů, které představují pověření uživatele) je Active Directory Domain Services. Služba Active Directory je vyžadována pro výchozí implementace NTLM a Kerberos.

Techniky ověřování sahají od jednoduchého přihlášení, které identifikuje uživatele na základě něčeho, co zná pouze uživatel – například hesla, až po výkonnější bezpečnostní mechanismy, které používají něco, co má uživatel – například tokeny, certifikáty veřejných klíčů a biometrické údaje. V podnikovém prostředí mohou služby nebo uživatelé přistupovat k více aplikacím nebo prostředkům na mnoha typech serverů v rámci jednoho místa nebo na více místech. Z těchto důvodů musí ověřování podporovat prostředí pro jiné platformy a pro jiné operační systémy Windows.

Operační systém Windows implementuje v rámci rozšiřitelné architektury výchozí sadu ověřovacích protokolů, včetně Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) a Digest. Některé protokoly jsou navíc sdruženy do ověřovacích balíčků, například Negotiate a Credential Security Support Provider. Tyto protokoly a balíčky umožňují ověřování uživatelů, počítačů a služeb; proces ověřování následně umožňuje autorizovaným uživatelům a službám bezpečný přístup ke zdrojům.

Další informace o ověřování systému Windows včetně

  • Koncepce ověřování systému Windows

  • Scénáře přihlašování k systému Windows

  • Architektura ověřování systému Windows

  • Zabezpečení. Architektura rozhraní poskytovatele podpory

  • Pověřovací procesy v ověřování systému Windows

  • Nastavení zásad skupiny používané v ověřování systému Windows

viz Technický přehled ověřování systému Windows.

Praktické použití

Ověřování systému Windows se používá k ověření, že informace pocházejí z důvěryhodného zdroje, ať už od osoby nebo počítačového objektu, například jiného počítače. Systém Windows poskytuje mnoho různých metod k dosažení tohoto cíle, jak je popsáno níže.

K dosažení tohoto cíle je třeba… Funkce Popis
Ověřování v rámci domény Active Directory Kerberos Operační systémy Microsoft Windows Server implementují ověřovací protokol Kerberos verze 5 a rozšíření pro ověřování pomocí veřejného klíče. Klient ověřování Kerberos je implementován jako poskytovatel podpory zabezpečení (SSP) a lze k němu přistupovat prostřednictvím rozhraní poskytovatele podpory zabezpečení (SSPI). Počáteční ověřování uživatelů je integrováno s architekturou jednotného přihlášení Winlogon. Centrum distribuce klíčů Kerberos (KDC) je integrováno s ostatními službami zabezpečení systému Windows Server spuštěnými na řadiči domény. KDC používá databázi adresářové služby Active Directory domény jako databázi bezpečnostních účtů. Pro výchozí implementace systému Kerberos je vyžadována služba Active Directory.

Další zdroje naleznete v části Přehled ověřování Kerberos.

Zabezpečené ověřování na webu TLS/SSL implementované v nástroji Schannel Security Support Provider Protokol TLS (Transport Layer Security) verze 1.0, 1.1 a 1.2, protokol SSL (Secure Sockets Layer) verze 2.0 a 3.0, protokol Datagram Transport Layer Security verze 1.0 a protokol PCT (Private Communications Transport) verze 1.0 jsou založeny na kryptografii s veřejným klíčem. Sada protokolů pro ověřování poskytovatele Secure Channel (Schannel) poskytuje tyto protokoly. Všechny protokoly Schannel používají model klienta a serveru.

Další zdroje naleznete v části Přehled protokolu TLS – SSL (Schannel SSP).

Ověření webové služby nebo aplikace Integrované ověřování systému Windows

Ověřování pomocí číslic

Další zdroje naleznete v části Integrované ověřování systému Windows a ověřování pomocí číslic a Pokročilé ověřování pomocí číslic.
Ověřování pro starší aplikace NTLM NTLM je ověřovací protokol ve stylu výzva-odpověď.Kromě ověřování protokol NTLM volitelně zajišťuje zabezpečení relace – konkrétně integritu a důvěrnost zpráv prostřednictvím funkcí podepisování a pečetění v protokolu NTLM.

Další zdroje naleznete v části Přehled protokolu NTLM.

Využití vícefaktorového ověřování Podpora chytrých karet

Podpora biometrických údajů

Chytré karty představují přenosný způsob řešení zabezpečení úloh, jako je ověřování klientů, přihlašování k doménám, podepisování kódů a zabezpečení elektronické pošty.

Biometrické údaje spočívají v měření neměnné fyzické charakteristiky osoby za účelem její jednoznačné identifikace. Otisky prstů jsou jednou z nejčastěji používaných biometrických charakteristik, přičemž miliony biometrických zařízení pro snímání otisků prstů jsou zabudovány v osobních počítačích a periferních zařízeních.

Další zdroje naleznete v Technické referenci k čipovým kartám.

Zajistit místní správu, ukládání a opakované použití pověření Správa pověření

Místní bezpečnostní autorita

Hesla

Správa pověření v systému Windows zajišťuje bezpečné uložení pověření. Pověření jsou shromažďována na zabezpečené ploše (pro místní nebo doménový přístup), prostřednictvím aplikací nebo webových stránek, takže při každém přístupu k prostředku jsou prezentována správná pověření.
Rozšíření moderní ochrany ověřování na starší systémy Rozšířená ochrana pro ověřování Tato funkce zvyšuje ochranu a zpracování pověření při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA).

Požadavky na software

Ověřování systému Windows je navrženo tak, aby bylo kompatibilní s předchozími verzemi operačního systému Windows. Vylepšení s každou verzí však nemusí nutně platit pro předchozí verze. Další informace naleznete v dokumentaci ke konkrétním funkcím.

Informace o Správci serveru

Mnoho funkcí ověřování lze nakonfigurovat pomocí zásad skupiny, které lze nainstalovat pomocí Správce serveru. Funkce Windows Biometric Framework se instaluje pomocí Správce serveru. Pomocí Správce serveru lze nainstalovat i další serverové role, které jsou závislé na metodách ověřování, například webový server (IIS) a službu Active Directory Domain Services.

.

Technologie ověřování Zdroje
Ověřování systému Windows Technický přehled ověřování systému Windows
Obsahuje témata zabývající se rozdíly mezi verzemi, obecnými koncepty ověřování, scénáři přihlašování, architekturami pro podporované verze a použitelnými nastaveními.
Kerberos Přehled ověřování Kerberos

Přehled omezeného delegování Kerberos

Technická reference ověřování Kerberos(2003)

Fórum Kerberos

TLS/SSL a DTLS (poskytovatel podpory zabezpečení Schannel) TLS -. Přehled SSL (Schannel SSP)

Technická reference poskytovatele podpory zabezpečení kanálu

Digest autentizace Technická reference Digest autentizace(2003)
NTLM Přehled NTLM
Obsahuje odkazy na aktuální a minulé zdroje
PKU2U Představení PKU2U v systému Windows
Chytrá karta Technická reference k chytré kartě
Pověřovací údaje Pověřovací údaje Ochrana a správa
Obsahuje odkazy na aktuální a minulé zdroje

Přehled hesel
Obsahuje odkazy na aktuální a minulé zdroje

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.