Windowsin todennuksen yleiskatsaus

tammi 15, 2022
admin
  • 10/12/2016
  • 5 minuuttia aikaa
    • J
    • e
    • j
    • D
    • j
    • +3

Käytetään: Windows Server (Semi-Annual Channel), Windows Server 2016

Tässä IT-ammattilaiselle suunnatussa navigointiaiheessa luetellaan Windowsin todennus- ja kirjautumistekniikoiden dokumentaatioresursseja, joihin kuuluvat tuotearviointi, aloitusoppaat, menettelyt, suunnittelu- ja käyttöönotto-oppaat, tekniset viitetiedot ja komento-ohjeiden viitetiedot.

Ominaisuuskuvaus

Tunnistautuminen (Authentication) eli tunnistautuminen eli tunnistautuminen eli tunnistautuminen (Authentication) on prosessi, jonka avulla voidaan varmentaa jonkin kohteen, palvelun tai henkilön identiteetti. Kun objektia todennetaan, tavoitteena on varmistaa, että objekti on aito. Kun autentikoit palvelua tai henkilöä, tavoitteena on todentaa, että esitetyt tunnistetiedot ovat aitoja.

Verkkoyhteydessä autentikointi on identiteetin osoittamista verkkosovellukselle tai -resurssille. Tyypillisesti identiteetti todistetaan kryptografisella operaatiolla, jossa käytetään joko avainta, jonka vain käyttäjä tietää – kuten julkisen avaimen kryptografiassa – tai jaettua avainta. Todentamisvaihdon palvelinpuoli vertaa allekirjoitettua dataa tunnettuun kryptografiseen avaimeen todentaakseen todentamisyrityksen.

Kryptografisten avainten tallentaminen turvalliseen keskitettyyn paikkaan tekee todentamisprosessista skaalautuvan ja ylläpidettävän. Active Directory -toimialuepalvelut on suositeltu ja oletustekniikka identiteettitietojen (mukaan lukien käyttäjän tunnistetietoina olevat kryptografiset avaimet) tallentamiseen. Active Directory vaaditaan oletusarvoisiin NTLM- ja Kerberos-toteutuksiin.

Todennustekniikat vaihtelevat yksinkertaisesta sisäänkirjautumisesta, jossa käyttäjä tunnistetaan jonkin sellaisen asian perusteella, jonka vain käyttäjä tietää – kuten salasanan – tehokkaampiin turvamekanismeihin, joissa käytetään jotakin, joka käyttäjällä on – kuten poletteja, julkisen avaimen varmenteita ja biometriikkaa. Yritysympäristössä palvelut tai käyttäjät saattavat käyttää useita sovelluksia tai resursseja monenlaisilla palvelimilla yhdessä tai useissa eri paikoissa. Näistä syistä todennuksen on tuettava muiden alustojen ja muiden Windows-käyttöjärjestelmien ympäristöjä.

Windows-käyttöjärjestelmä toteuttaa laajennettavan arkkitehtuurin osana oletusarvoisen joukon todennusprotokollia, kuten Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) ja Digest. Lisäksi jotkin protokollat on yhdistetty todennuspaketeiksi, kuten Negotiate ja Credential Security Support Provider. Nämä protokollat ja paketit mahdollistavat käyttäjien, tietokoneiden ja palveluiden todennuksen; todennusprosessin ansiosta valtuutetut käyttäjät ja palvelut voivat puolestaan käyttää resursseja turvallisesti.

Lisätietoa Windows-todennuksesta, mukaan lukien

  • Windows-todennuksen käsitteet

  • Windows-kirjautumisskenaariot

  • Windows-todennuksen arkkitehtuuri

  • Turvallisuus. Support Provider Interface Architecture

  • Credentials Processes in Windows Authentication

  • Group Policy Settings Used in Windows Authentication

katso Windows Authentication Technical Overview.

Käytännön sovellukset

Windows-todennusta käytetään sen tarkistamiseen, että tiedot ovat peräisin luotetusta lähteestä, joko henkilöstä tai tietokoneen kohteesta, kuten toisesta tietokoneesta. Windows tarjoaa monia erilaisia menetelmiä tämän tavoitteen saavuttamiseksi, jotka on kuvattu alla.

To… Ominaisuus Kuvaus
Tunnistautuminen Active Directory -toimialueen sisällä Kerberos Microsin Windows Server -käyttöjärjestelmät toteuttavat Kerberos-version 5 -todennusprotokollan ja laajennukset julkisen avaimen todennukseen. Kerberos-todennusasiakas on toteutettu Security Support Provider (SSP) -palveluna, ja sitä voidaan käyttää Security Support Provider Interface (SSPI) -rajapinnan kautta. Käyttäjän alkuperäinen todennus on integroitu Winlogon-kertakirjautumisarkkitehtuuriin. Kerberos Key Distribution Center (KDC) on integroitu muihin toimialueen ohjaimessa suoritettaviin Windows Server -turvapalveluihin. KDC käyttää toimialueen Active Directory -hakemistopalvelun tietokantaa suojaustilitietokantana. Active Directory vaaditaan oletusarvoisiin Kerberos-toteutuksiin.

Lisäresursseja on osoitteessa Kerberos-todennuksen yleiskatsaus.

Turvallinen todennus verkossa TLS/SSL sellaisena kuin se on toteutettu Schannel Security Support Provider -palvelussa TLS-protokollan (Transport Layer Security, kuljetuskerroksen tietoturva) versiot 1.0, 1.1 ja 1.2, Secure Sockets Layer (SSL) -protokollan versiot 2.0 ja 3.0, Datagram Transport Layer Security -protokollan versio 1.0 ja Private Communications Transport (PCT) -protokollan versio 1.0 perustuvat julkisen avaimen salaukseen. Secure Channel (Schannel) -palveluntarjoajan todennusprotokolla tarjoaa nämä protokollat. Kaikki Schannel-protokollat käyttävät asiakas- ja palvelinmallia.

Lisäresursseja on kohdassa TLS – SSL (Schannel SSP) Yleiskatsaus.

Tunnistautuminen verkkopalveluun tai -sovellukseen Integroitu Windows-todennus

Digest-todennus

Lisäresursseja on kohdassa Integroitu Windows-todennus ja Digest-todennus sekä Edistyneempi Digest-todennus.
Todentaminen vanhoihin sovelluksiin NTLM NTLM on haaste-vastaus-tyylinen todennusprotokolla.Todentamisen lisäksi NTLM-protokolla tarjoaa valinnaisesti istuntosuojan – erityisesti viestin eheyden ja luottamuksellisuuden NTLM:n allekirjoitus- ja sinetöintitoimintojen avulla.

Lisäresursseja on kohdassa NTLM Overview.

Monitekijätodennuksen hyödyntäminen Smart-korttituki

Biometrinen tuki

Smart-kortit ovat väärentämisen kestävä ja kannettava tapa tarjota tietoturvaratkaisuja esimerkiksi asiakastodennukseen, toimialueille sisäänkirjautumiseen, koodin allekirjoittamiseen ja sähköpostin suojaamiseen.

Biometriikka perustuu henkilön muuttumattoman fyysisen ominaispiirteistön mittaamiseen, jotta henkilö voidaan tunnistaa ainutlaatuisesti. Sormenjäljet ovat yksi yleisimmin käytetyistä biometrisistä ominaisuuksista, ja miljoonia sormenjälkibiometrisiä laitteita on upotettu henkilökohtaisiin tietokoneisiin ja oheislaitteisiin.

Lisälähteitä on osoitteessa Smart Card Technical Reference.

Turvatietojen paikallinen hallinta, tallennus ja uudelleenkäyttö Turvatietojen hallinta

Local Security Authority

Salasanat

Turvatietojen hallinta Windowsissa varmistaa, että tunnistetiedot tallennetaan turvallisesti. Valtuustiedot kerätään suojatulla työpöydällä (paikallista tai toimialueen käyttöä varten), sovellusten tai verkkosivustojen kautta, jotta oikeat valtuustiedot esitetään aina, kun resurssia käytetään.
Nykyaikaisen todennussuojan laajentaminen vanhoihin järjestelmiin Todennuksen laajennettu suojaus Tämä toiminto parantaa tunnistetietojen suojausta ja käsittelyä verkkoyhteyksiä todennettaessa käyttämällä integroitua Windows-todennusta (Integrated Windows Authentication, IWA).

Ohjelmistovaatimukset

Windowsin todennusjärjestelmä on suunniteltu yhteensopivaksi aiempien Windows-käyttöjärjestelmän versioiden kanssa. Jokaisen version parannukset eivät kuitenkaan välttämättä ole sovellettavissa aiempiin versioihin. Katso lisätietoja tiettyjä ominaisuuksia koskevasta dokumentaatiosta.

Server Managerin tiedot

Monet todennusominaisuudet voidaan määrittää ryhmäkäytännön avulla, joka voidaan asentaa Server Managerin avulla. Windows Biometric Framework -ominaisuus asennetaan Server Managerin avulla. Myös muut todennusmenetelmistä riippuvaiset palvelinroolit, kuten Web Server (IIS) ja Active Directory Domain Services, voidaan asentaa Server Managerin avulla.

.

Todennustekniikat Lähteet
Windows-todennus Windows-todennuksen tekninen yleiskatsaus
Sisältää aiheita, jotka käsittelevät versioiden välisiä eroavaisuuksia, yleisiä todennuskonsepteja, kirjautumisskenaarioita, tuettujen versioiden arkkitehtuureja ja sovellettavia asetuksia.
Kerberos Kerberos-todennuksen yleiskatsaus

Kerberosin rajoitetun delegoinnin yleiskatsaus

Kerberos-todennuksen tekninen viitekehys(2003)

Kerberos-foorumi

TLS/SSL ja DTLS (Schannelin tietoturva-tukipalvelun tarjoaja) TLS – – SSL (Schannel SSP) Overview

Schannel Security Support Provider Technical Reference

Digest authentication Digest Authentication Technical Reference(2003)
NTLM NTLM Overview
Sisältää linkkejä tämänhetkisiin ja aiempiin resursseihin
PKU2U PKU2U:n esittely Windowsissa
Smart Card Smart Card Technical Reference
Credentials Credentials (valtakirjat). Protection and Management
Sisältää linkkejä nykyisiin ja aiempiin resursseihin

Passwords Overview
Sisältää linkkejä nykyisiin ja aiempiin resursseihin

Vastaa

Sähköpostiosoitettasi ei julkaista.