Oversigt over Windows-godkendelse
- 10/12/2016
- 5 minutter at læse
-
- J
- e
- j
- D
- j
-
+3
Gælder for: J
+3Gælder for: Windows Server (Semi-Annual Channel), Windows Server 2016
Dette navigationsemne for it-professionelle viser dokumentationsressourcer for Windows-godkendelses- og logonteknologier, der omfatter produktevaluering, vejledninger til at komme i gang, procedurer, design- og implementeringsvejledninger, tekniske referencer og kommandoreferencer.
Funktionens beskrivelse
Godkendelse er en proces til verificering af identiteten af et objekt, en tjeneste eller en person. Når du autentificerer et objekt, er målet at verificere, at objektet er ægte. Når du autentificerer en tjeneste eller person, er målet at verificere, at de fremlagte legitimationsoplysninger er autentiske.
I en netværkskontekst er autentificering den handling at bevise identitet over for et netværksprogram eller en ressource. Typisk bevises identiteten ved hjælp af en kryptografisk operation, der enten anvender en nøgle, som kun brugeren kender – som ved offentlig nøglekryptografi – eller en delt nøgle. Serverdelen af autentifikationsudvekslingen sammenligner de signerede data med en kendt kryptografisk nøgle for at validere autentifikationsforsøget.
Lagring af de kryptografiske nøgler på et sikkert centralt sted gør autentifikationsprocessen skalerbar og vedligeholdelsesvenlig. Active Directory Domain Services er den anbefalede og standardteknologi til opbevaring af identitetsoplysninger (herunder de kryptografiske nøgler, som er brugerens legitimationsoplysninger). Active Directory er påkrævet for standard NTLM- og Kerberos-implementeringer.
Autentifikationsteknikker spænder fra en simpel logon, som identificerer brugere baseret på noget, som kun brugeren kender – f.eks. en adgangskode – til mere effektive sikkerhedsmekanismer, der bruger noget, som brugeren har – f.eks. tokens, offentlige nøglecertifikater og biometri. I et erhvervsmiljø kan tjenester eller brugere få adgang til flere programmer eller ressourcer på mange typer servere på et enkelt sted eller på tværs af flere steder. Af disse grunde skal autentificering understøtte miljøer for andre platforme og for andre Windows-operativsystemer.
Windows-operativsystemet implementerer et standardsæt af autentificeringsprotokoller, herunder Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) og Digest, som en del af en udvidelig arkitektur. Desuden er nogle protokoller kombineret i autentificeringspakker som Negotiate og Credential Security Support Provider. Disse protokoller og pakker muliggør autentificering af brugere, computere og tjenester; autentificeringsprocessen gør det igen muligt for autoriserede brugere og tjenester at få adgang til ressourcer på en sikker måde.
For yderligere oplysninger om Windows-godkendelse, herunder
Windows-godkendelseskoncepter
Windows-logon-scenarier
Windows-godkendelsesarkitektur
Sikkerhed Support Provider Interface-arkitektur
Kredentialprocesser i Windows-godkendelse
Gruppepolitikindstillinger, der anvendes i Windows-godkendelse
Se Teknisk oversigt over Windows-godkendelse.
Praktiske anvendelser
Windows-godkendelse bruges til at verificere, at oplysningerne kommer fra en pålidelig kilde, uanset om det er fra en person eller et computerobjekt, f.eks. en anden computer. Windows tilbyder mange forskellige metoder til at nå dette mål, som beskrevet nedenfor.
For at… Funktion Beskrivelse Authentificere inden for et Active Directory-domæne Kerberos Microsoft Windows Server-operativsystemerne implementerer Kerberos version 5-godkendelsesprotokollen og udvidelser til offentlig nøglegodkendelse. Kerberos-godkendelsesklienten er implementeret som en Security Support Provider (SSP) og kan tilgås via Security Support Provider Interface (SSPI). Den indledende brugergodkendelse er integreret med Winlogon-arkitekturen for enkeltlogon. Kerberos Key Distribution Center (KDC) er integreret med andre Windows Server-sikkerhedstjenester, der kører på domænecontrolleren. KDC’et bruger domænets Active Directory-katalogtjenestedatabase som sikkerhedskontodatabase. Active Directory er påkrævet for standard Kerberos-implementeringer. For yderligere ressourcer, se Oversigt over Kerberos-godkendelse.
Sikker godkendelse på nettet TLS/SSL som implementeret i Schannel Security Support Provider Transport Layer Security (TLS)-protokollen (TLS), version 1.0, 1.1 og 1.2, Secure Sockets Layer (SSL)-protokollen, version 2.0 og 3.0, Datagram Transport Layer Security-protokollen, version 1.0, og Private Communications Transport (PCT)-protokollen, version 1.0, er baseret på kryptografi med offentlige nøgler. Secure Channel (Schannel)-protokolpakken til godkendelse af udbydere indeholder disse protokoller. Alle Schannel-protokoller anvender en klient- og servermodel. For yderligere ressourcer, se TLS – SSL (Schannel SSP) Oversigt.
Autentificer dig til en webtjeneste eller et program Integreret Windows-godkendelse Digest-godkendelse
For yderligere ressourcer, se Integreret Windows-godkendelse og Digest-godkendelse og Avanceret Digest-godkendelse. Authentificering til ældre programmer NTLM NTLM er en autentificeringsprotokol i challenge-response-stil.Ud over autentificering giver NTLM-protokollen valgfrit mulighed for sessionsikkerhed – specielt meddelelsesintegritet og -fortrolighed gennem signerings- og forseglingsfunktioner i NTLM. For yderligere ressourcer, se NTLM-oversigt.
Hanvendelse af flerfaktorautentifikation Smartcard-understøttelse Biometrisk understøttelse
Smartcards er en manipulationssikker og bærbar måde at levere sikkerhedsløsninger til opgaver som klientgodkendelse, logon på domæner, kodesignering og sikring af e-mail. Biometri er baseret på måling af en uforanderlig fysisk egenskab ved en person for at identificere denne person entydigt. Fingeraftryk er en af de mest anvendte biometriske egenskaber, og der findes millioner af fingeraftryksbiometriske enheder, som er indbygget i pc’er og periferiudstyr.
For yderligere ressourcer, se Smart Card Technical Reference.
Sørg for lokal styring, lagring og genbrug af legitimationsoplysninger Håndtering af legitimationsoplysninger Lokal sikkerhedsmyndighed
Passord
Håndtering af legitimationsoplysninger i Windows sikrer, at legitimationsoplysningerne gemmes sikkert. Legitimationsoplysninger indsamles på det sikre skrivebord (for lokal eller domæneadgang), via apps eller via websteder, så de korrekte legitimationsoplysninger vises, hver gang der er adgang til en ressource. Udvider moderne autentificeringsbeskyttelse til ældre systemer Udvidet beskyttelse af autentificering Denne funktion forbedrer beskyttelsen og håndteringen af legitimationsoplysninger ved autentificering af netværksforbindelser ved hjælp af integreret Windows-autentifikation (IWA). Softwareforudsætninger
Windows Authentication er designet til at være kompatibel med tidligere versioner af Windows-operativsystemet. Forbedringer med hver version gælder dog ikke nødvendigvis for tidligere versioner. Se dokumentationen om specifikke funktioner for at få flere oplysninger.
Informationer om Server Manager
Mange autentifikationsfunktioner kan konfigureres ved hjælp af Gruppepolitik, som kan installeres ved hjælp af Server Manager. Funktionen Windows Biometric Framework installeres ved hjælp af Server Manager. Andre serverroller, som er afhængige af godkendelsesmetoder, f.eks. webserver (IIS) og Active Directory Domain Services, kan også installeres ved hjælp af Server Manager.
Autentifikationsteknologier Ressourcer Windows-autentifikation Teknisk oversigt over Windows-autentifikation
Inkluderer emner, der omhandler forskelle mellem versioner, generelle autentifikationsbegreber, logon-scenarier, arkitekturer for understøttede versioner og relevante indstillinger.Kerberos Kerberos Authentication Overview Kerberos Constrained Delegation Overview
Kerberos Authentication Technical Reference(2003)
Kerberos forum
TLS/SSL og DTLS (Schannel security support provider) TLS – SSL (Schannel SSP) Overview Schannel Security Support Provider Technical Reference
Digest Authentication Digest Authentication Technical Reference(2003) NTLM NTLM Overview
Indeholder links til nuværende og tidligere ressourcerPKU2U Introduktion af PKU2U i Windows Smart Card Teknisk reference til Smart Card Credentials Credentials Beskyttelse og administration
Indeholder links til aktuelle og tidligere ressourcerOversigt over adgangskoder
Indeholder links til aktuelle og tidligere ressourcer