Visión general de la autenticación de Windows
- 10/12/2016
- 5 minutos para leer
-
- J
- e
- j
- D
- j
-
+3
Se aplica a: Windows Server (Canal Semestral), Windows Server 2016
Este tema de navegación para el profesional de TI enumera los recursos de documentación para las tecnologías de autenticación e inicio de sesión de Windows que incluyen la evaluación del producto, las guías de inicio, los procedimientos, las guías de diseño e implementación, las referencias técnicas y las referencias de comandos.
Descripción de la característica
La autenticación es un proceso para verificar la identidad de un objeto, servicio o persona. Cuando se autentifica un objeto, el objetivo es verificar que el objeto es genuino. Cuando se autentifica un servicio o una persona, el objetivo es verificar que las credenciales presentadas son auténticas.
En un contexto de red, la autenticación es el acto de probar la identidad a una aplicación o recurso de red. Normalmente, la identidad se demuestra mediante una operación criptográfica que utiliza una clave que sólo conoce el usuario -como en la criptografía de clave pública- o una clave compartida. El lado del servidor del intercambio de autenticación compara los datos firmados con una clave criptográfica conocida para validar el intento de autenticación.
El almacenamiento de las claves criptográficas en una ubicación central segura hace que el proceso de autenticación sea escalable y mantenible. Los servicios de dominio de Active Directory son la tecnología recomendada y por defecto para almacenar la información de identidad (incluyendo las claves criptográficas que son las credenciales del usuario). Active Directory es necesario para las implementaciones por defecto de NTLM y Kerberos.
Las técnicas de autenticación van desde un simple inicio de sesión, que identifica a los usuarios basándose en algo que sólo el usuario conoce – como una contraseña, hasta mecanismos de seguridad más potentes que utilizan algo que el usuario tiene – como tokens, certificados de clave pública y biometría. En un entorno empresarial, los servicios o los usuarios pueden acceder a múltiples aplicaciones o recursos en muchos tipos de servidores dentro de una misma ubicación o en múltiples ubicaciones. Por estas razones, la autenticación debe soportar entornos para otras plataformas y para otros sistemas operativos Windows.
El sistema operativo Windows implementa un conjunto de protocolos de autenticación por defecto, incluyendo Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL), y Digest, como parte de una arquitectura extensible. Además, algunos protocolos se combinan en paquetes de autenticación como Negotiate y Credential Security Support Provider. Estos protocolos y paquetes permiten la autenticación de usuarios, ordenadores y servicios; el proceso de autenticación, a su vez, permite a los usuarios y servicios autorizados acceder a los recursos de forma segura.
Para obtener más información sobre la autenticación de Windows, incluyendo
-
Conceptos de autenticación de Windows
-
Escenarios de inicio de sesión de Windows
-
Arquitectura de autenticación de Windows
-
Proveedor de soporte de seguridad Support Provider Interface Architecture
-
Procesos de credenciales en la autenticación de Windows
-
Configuraciones de directivas de grupo utilizadas en la autenticación de Windows
consulte la descripción técnica de la autenticación de Windows.
Aplicaciones prácticas
La Autenticación de Windows se utiliza para verificar que la información proviene de una fuente de confianza, ya sea de una persona o de un objeto informático, como otro equipo. Windows proporciona muchos métodos diferentes para lograr este objetivo como se describe a continuación.
Para… | Característica | Descripción |
---|---|---|
Autenticarse dentro de un dominio de Active Directory | Kerberos | Los sistemas operativos Microsoft Windows Server implementan el protocolo de autenticación Kerberos versión 5 y extensiones para la autenticación de clave pública. El cliente de autenticación Kerberos se implementa como un proveedor de soporte de seguridad (SSP) y se puede acceder a él a través de la interfaz del proveedor de soporte de seguridad (SSPI). La autenticación inicial del usuario se integra con la arquitectura de inicio de sesión único de Winlogon. El centro de distribución de claves Kerberos (KDC) está integrado con otros servicios de seguridad de Windows Server que se ejecutan en el controlador de dominio. El KDC utiliza la base de datos del servicio de directorio Active Directory del dominio como base de datos de cuentas de seguridad. Active Directory es necesario para las implementaciones predeterminadas de Kerberos.
Para obtener recursos adicionales, consulte Descripción general de la autenticación de Kerberos. |
Autenticación segura en la web | TLS/SSL como se implementa en el proveedor de soporte de seguridad de Schannel | El protocolo de seguridad de la capa de transporte (TLS) versiones 1.0, 1.1 y 1.2, el protocolo Secure Sockets Layer (SSL), versiones 2.0 y 3.0, el protocolo de seguridad de la capa de transporte de datagramas, versión 1.0, y el protocolo de transporte de comunicaciones privadas (PCT), versión 1.0, se basan en la criptografía de clave pública. El conjunto de protocolos de autenticación de proveedores del Canal Seguro (Schannel) proporciona estos protocolos. Todos los protocolos Schannel utilizan un modelo de cliente y servidor.
Para obtener recursos adicionales, consulte TLS – SSL (Schannel SSP) Overview. |
Autenticarse en un servicio o aplicación web | Autenticación integrada de Windows
Autenticación Digest |
Para obtener recursos adicionales, consulte Autenticación integrada de Windows y autenticación Digest, y Autenticación Digest avanzada. |
Autenticarse en aplicaciones heredadas | NTLM | NTLM es un protocolo de autenticación de estilo reto-respuesta.Además de la autenticación, el protocolo NTLM proporciona opcionalmente la seguridad de la sesión -específicamente la integridad y confidencialidad de los mensajes a través de las funciones de firma y sellado en NTLM.
Para obtener recursos adicionales, consulte Visión general de NTLM. |
Aproveche la autenticación multifactor | Soporte de tarjetas inteligentes
Soporte biométrico |
Las tarjetas inteligentes son una forma portátil y resistente a la manipulación de proporcionar soluciones de seguridad para tareas como la autenticación de clientes, el inicio de sesión en dominios, la firma de código y la seguridad del correo electrónico.
La biometría se basa en la medición de una característica física invariable de una persona para identificarla de forma exclusiva. Las huellas dactilares son una de las características biométricas más utilizadas, con millones de dispositivos biométricos de huellas dactilares que están incrustados en ordenadores personales y periféricos. Para recursos adicionales, véase Smart Card Technical Reference. |
Proporcionar gestión local, almacenamiento y reutilización de credenciales | Gestión de credenciales
Autoridad de seguridad local Contraseñas |
La gestión de credenciales en Windows garantiza que las credenciales se almacenen de forma segura. Las credenciales se recogen en el Escritorio Seguro (para el acceso local o de dominio), a través de apps o a través de sitios web para que se presenten las credenciales correctas cada vez que se accede a un recurso. |
Extender la protección de la autenticación moderna a los sistemas heredados | Protección ampliada para la autenticación | Esta característica mejora la protección y el manejo de las credenciales al autenticar las conexiones de red mediante el uso de la Autenticación integrada de Windows (IWA). |
Requisitos de software
La Autenticación de Windows está diseñada para ser compatible con las versiones anteriores del sistema operativo Windows. Sin embargo, las mejoras de cada versión no son necesariamente aplicables a las versiones anteriores. Consulte la documentación sobre características específicas para obtener más información.
Información sobre el Administrador de servidores
Muchas características de autenticación se pueden configurar mediante la directiva de grupo, que se puede instalar con el Administrador de servidores. La función Windows Biometric Framework se instala mediante el Administrador de servidores. Otros roles de servidor que dependen de los métodos de autenticación, como el servidor web (IIS) y los servicios de dominio de Active Directory, también pueden instalarse mediante el Administrador de servidores.
Tecnologías de autenticación | Recursos |
---|---|
Autenticación de Windows | Resumen técnico de la autenticación de Windows Incluye temas que abordan las diferencias entre las versiones, los conceptos generales de autenticación, los escenarios de inicio de sesión, las arquitecturas de las versiones compatibles y la configuración aplicable. |
Kerberos | Descripción general de la autenticación Kerberos
Delegación restringida Kerberos Referencia técnica de la autenticación Kerberos(2003) Foro Kerberos |
TLS/SSL y DTLS (proveedor de soporte de seguridad Schannel) | TLS – SSL (Schannel SSP) Overview
Schannel Security Support Provider Technical Reference |
Digest authentication | Digest Authentication Technical Reference(2003) |
NTLM | NTLM Overview Contiene enlaces a recursos actuales y pasados |
PKU2U | Introducción a PKU2U en Windows |
Tarjeta inteligente | Referencia técnica de la tarjeta inteligente |
Credenciales | Credenciales Protección y gestión Contiene enlaces a recursos actuales y anteriores Resumen de contraseñas |