Oversigt over Windows-godkendelse

jan 15, 2022
admin
  • 10/12/2016
  • 5 minutter at læse
    • J
    • e
    • j
    • D
    • j
    • +3

Gælder for: J

  • +3
  • Gælder for: Windows Server (Semi-Annual Channel), Windows Server 2016

    Dette navigationsemne for it-professionelle viser dokumentationsressourcer for Windows-godkendelses- og logonteknologier, der omfatter produktevaluering, vejledninger til at komme i gang, procedurer, design- og implementeringsvejledninger, tekniske referencer og kommandoreferencer.

    Funktionens beskrivelse

    Godkendelse er en proces til verificering af identiteten af et objekt, en tjeneste eller en person. Når du autentificerer et objekt, er målet at verificere, at objektet er ægte. Når du autentificerer en tjeneste eller person, er målet at verificere, at de fremlagte legitimationsoplysninger er autentiske.

    I en netværkskontekst er autentificering den handling at bevise identitet over for et netværksprogram eller en ressource. Typisk bevises identiteten ved hjælp af en kryptografisk operation, der enten anvender en nøgle, som kun brugeren kender – som ved offentlig nøglekryptografi – eller en delt nøgle. Serverdelen af autentifikationsudvekslingen sammenligner de signerede data med en kendt kryptografisk nøgle for at validere autentifikationsforsøget.

    Lagring af de kryptografiske nøgler på et sikkert centralt sted gør autentifikationsprocessen skalerbar og vedligeholdelsesvenlig. Active Directory Domain Services er den anbefalede og standardteknologi til opbevaring af identitetsoplysninger (herunder de kryptografiske nøgler, som er brugerens legitimationsoplysninger). Active Directory er påkrævet for standard NTLM- og Kerberos-implementeringer.

    Autentifikationsteknikker spænder fra en simpel logon, som identificerer brugere baseret på noget, som kun brugeren kender – f.eks. en adgangskode – til mere effektive sikkerhedsmekanismer, der bruger noget, som brugeren har – f.eks. tokens, offentlige nøglecertifikater og biometri. I et erhvervsmiljø kan tjenester eller brugere få adgang til flere programmer eller ressourcer på mange typer servere på et enkelt sted eller på tværs af flere steder. Af disse grunde skal autentificering understøtte miljøer for andre platforme og for andre Windows-operativsystemer.

    Windows-operativsystemet implementerer et standardsæt af autentificeringsprotokoller, herunder Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) og Digest, som en del af en udvidelig arkitektur. Desuden er nogle protokoller kombineret i autentificeringspakker som Negotiate og Credential Security Support Provider. Disse protokoller og pakker muliggør autentificering af brugere, computere og tjenester; autentificeringsprocessen gør det igen muligt for autoriserede brugere og tjenester at få adgang til ressourcer på en sikker måde.

    For yderligere oplysninger om Windows-godkendelse, herunder

    • Windows-godkendelseskoncepter

    • Windows-logon-scenarier

    • Windows-godkendelsesarkitektur

    • Sikkerhed Support Provider Interface-arkitektur

    • Kredentialprocesser i Windows-godkendelse

    • Gruppepolitikindstillinger, der anvendes i Windows-godkendelse

    Se Teknisk oversigt over Windows-godkendelse.

    Praktiske anvendelser

    Windows-godkendelse bruges til at verificere, at oplysningerne kommer fra en pålidelig kilde, uanset om det er fra en person eller et computerobjekt, f.eks. en anden computer. Windows tilbyder mange forskellige metoder til at nå dette mål, som beskrevet nedenfor.

    For at… Funktion Beskrivelse
    Authentificere inden for et Active Directory-domæne Kerberos Microsoft Windows Server-operativsystemerne implementerer Kerberos version 5-godkendelsesprotokollen og udvidelser til offentlig nøglegodkendelse. Kerberos-godkendelsesklienten er implementeret som en Security Support Provider (SSP) og kan tilgås via Security Support Provider Interface (SSPI). Den indledende brugergodkendelse er integreret med Winlogon-arkitekturen for enkeltlogon. Kerberos Key Distribution Center (KDC) er integreret med andre Windows Server-sikkerhedstjenester, der kører på domænecontrolleren. KDC’et bruger domænets Active Directory-katalogtjenestedatabase som sikkerhedskontodatabase. Active Directory er påkrævet for standard Kerberos-implementeringer.

    For yderligere ressourcer, se Oversigt over Kerberos-godkendelse.

    Sikker godkendelse på nettet TLS/SSL som implementeret i Schannel Security Support Provider Transport Layer Security (TLS)-protokollen (TLS), version 1.0, 1.1 og 1.2, Secure Sockets Layer (SSL)-protokollen, version 2.0 og 3.0, Datagram Transport Layer Security-protokollen, version 1.0, og Private Communications Transport (PCT)-protokollen, version 1.0, er baseret på kryptografi med offentlige nøgler. Secure Channel (Schannel)-protokolpakken til godkendelse af udbydere indeholder disse protokoller. Alle Schannel-protokoller anvender en klient- og servermodel.

    For yderligere ressourcer, se TLS – SSL (Schannel SSP) Oversigt.

    Autentificer dig til en webtjeneste eller et program Integreret Windows-godkendelse

    Digest-godkendelse

    For yderligere ressourcer, se Integreret Windows-godkendelse og Digest-godkendelse og Avanceret Digest-godkendelse.
    Authentificering til ældre programmer NTLM NTLM er en autentificeringsprotokol i challenge-response-stil.Ud over autentificering giver NTLM-protokollen valgfrit mulighed for sessionsikkerhed – specielt meddelelsesintegritet og -fortrolighed gennem signerings- og forseglingsfunktioner i NTLM.

    For yderligere ressourcer, se NTLM-oversigt.

    Hanvendelse af flerfaktorautentifikation Smartcard-understøttelse

    Biometrisk understøttelse

    Smartcards er en manipulationssikker og bærbar måde at levere sikkerhedsløsninger til opgaver som klientgodkendelse, logon på domæner, kodesignering og sikring af e-mail.

    Biometri er baseret på måling af en uforanderlig fysisk egenskab ved en person for at identificere denne person entydigt. Fingeraftryk er en af de mest anvendte biometriske egenskaber, og der findes millioner af fingeraftryksbiometriske enheder, som er indbygget i pc’er og periferiudstyr.

    For yderligere ressourcer, se Smart Card Technical Reference.

    Sørg for lokal styring, lagring og genbrug af legitimationsoplysninger Håndtering af legitimationsoplysninger

    Lokal sikkerhedsmyndighed

    Passord

    Håndtering af legitimationsoplysninger i Windows sikrer, at legitimationsoplysningerne gemmes sikkert. Legitimationsoplysninger indsamles på det sikre skrivebord (for lokal eller domæneadgang), via apps eller via websteder, så de korrekte legitimationsoplysninger vises, hver gang der er adgang til en ressource.
    Udvider moderne autentificeringsbeskyttelse til ældre systemer Udvidet beskyttelse af autentificering Denne funktion forbedrer beskyttelsen og håndteringen af legitimationsoplysninger ved autentificering af netværksforbindelser ved hjælp af integreret Windows-autentifikation (IWA).

    Softwareforudsætninger

    Windows Authentication er designet til at være kompatibel med tidligere versioner af Windows-operativsystemet. Forbedringer med hver version gælder dog ikke nødvendigvis for tidligere versioner. Se dokumentationen om specifikke funktioner for at få flere oplysninger.

    Informationer om Server Manager

    Mange autentifikationsfunktioner kan konfigureres ved hjælp af Gruppepolitik, som kan installeres ved hjælp af Server Manager. Funktionen Windows Biometric Framework installeres ved hjælp af Server Manager. Andre serverroller, som er afhængige af godkendelsesmetoder, f.eks. webserver (IIS) og Active Directory Domain Services, kan også installeres ved hjælp af Server Manager.

    Autentifikationsteknologier Ressourcer
    Windows-autentifikation Teknisk oversigt over Windows-autentifikation
    Inkluderer emner, der omhandler forskelle mellem versioner, generelle autentifikationsbegreber, logon-scenarier, arkitekturer for understøttede versioner og relevante indstillinger.
    Kerberos Kerberos Authentication Overview

    Kerberos Constrained Delegation Overview

    Kerberos Authentication Technical Reference(2003)

    Kerberos forum

    TLS/SSL og DTLS (Schannel security support provider) TLS – SSL (Schannel SSP) Overview

    Schannel Security Support Provider Technical Reference

    Digest Authentication Digest Authentication Technical Reference(2003)
    NTLM NTLM Overview
    Indeholder links til nuværende og tidligere ressourcer
    PKU2U Introduktion af PKU2U i Windows
    Smart Card Teknisk reference til Smart Card
    Credentials Credentials Beskyttelse og administration
    Indeholder links til aktuelle og tidligere ressourcer

    Oversigt over adgangskoder
    Indeholder links til aktuelle og tidligere ressourcer

    Skriv et svar

    Din e-mailadresse vil ikke blive publiceret.