Windowsin todennuksen yleiskatsaus
- 10/12/2016
- 5 minuuttia aikaa
-
-
J -
e -
j -
D -
j -
+3
-
Käytetään: Windows Server (Semi-Annual Channel), Windows Server 2016
Tässä IT-ammattilaiselle suunnatussa navigointiaiheessa luetellaan Windowsin todennus- ja kirjautumistekniikoiden dokumentaatioresursseja, joihin kuuluvat tuotearviointi, aloitusoppaat, menettelyt, suunnittelu- ja käyttöönotto-oppaat, tekniset viitetiedot ja komento-ohjeiden viitetiedot.
Ominaisuuskuvaus
Tunnistautuminen (Authentication) eli tunnistautuminen eli tunnistautuminen eli tunnistautuminen (Authentication) on prosessi, jonka avulla voidaan varmentaa jonkin kohteen, palvelun tai henkilön identiteetti. Kun objektia todennetaan, tavoitteena on varmistaa, että objekti on aito. Kun autentikoit palvelua tai henkilöä, tavoitteena on todentaa, että esitetyt tunnistetiedot ovat aitoja.
Verkkoyhteydessä autentikointi on identiteetin osoittamista verkkosovellukselle tai -resurssille. Tyypillisesti identiteetti todistetaan kryptografisella operaatiolla, jossa käytetään joko avainta, jonka vain käyttäjä tietää – kuten julkisen avaimen kryptografiassa – tai jaettua avainta. Todentamisvaihdon palvelinpuoli vertaa allekirjoitettua dataa tunnettuun kryptografiseen avaimeen todentaakseen todentamisyrityksen.
Kryptografisten avainten tallentaminen turvalliseen keskitettyyn paikkaan tekee todentamisprosessista skaalautuvan ja ylläpidettävän. Active Directory -toimialuepalvelut on suositeltu ja oletustekniikka identiteettitietojen (mukaan lukien käyttäjän tunnistetietoina olevat kryptografiset avaimet) tallentamiseen. Active Directory vaaditaan oletusarvoisiin NTLM- ja Kerberos-toteutuksiin.
Todennustekniikat vaihtelevat yksinkertaisesta sisäänkirjautumisesta, jossa käyttäjä tunnistetaan jonkin sellaisen asian perusteella, jonka vain käyttäjä tietää – kuten salasanan – tehokkaampiin turvamekanismeihin, joissa käytetään jotakin, joka käyttäjällä on – kuten poletteja, julkisen avaimen varmenteita ja biometriikkaa. Yritysympäristössä palvelut tai käyttäjät saattavat käyttää useita sovelluksia tai resursseja monenlaisilla palvelimilla yhdessä tai useissa eri paikoissa. Näistä syistä todennuksen on tuettava muiden alustojen ja muiden Windows-käyttöjärjestelmien ympäristöjä.
Windows-käyttöjärjestelmä toteuttaa laajennettavan arkkitehtuurin osana oletusarvoisen joukon todennusprotokollia, kuten Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) ja Digest. Lisäksi jotkin protokollat on yhdistetty todennuspaketeiksi, kuten Negotiate ja Credential Security Support Provider. Nämä protokollat ja paketit mahdollistavat käyttäjien, tietokoneiden ja palveluiden todennuksen; todennusprosessin ansiosta valtuutetut käyttäjät ja palvelut voivat puolestaan käyttää resursseja turvallisesti.
Lisätietoa Windows-todennuksesta, mukaan lukien
-
Windows-todennuksen käsitteet
-
Windows-kirjautumisskenaariot
-
Windows-todennuksen arkkitehtuuri
-
Turvallisuus. Support Provider Interface Architecture
-
Credentials Processes in Windows Authentication
-
Group Policy Settings Used in Windows Authentication
katso Windows Authentication Technical Overview.
Käytännön sovellukset
Windows-todennusta käytetään sen tarkistamiseen, että tiedot ovat peräisin luotetusta lähteestä, joko henkilöstä tai tietokoneen kohteesta, kuten toisesta tietokoneesta. Windows tarjoaa monia erilaisia menetelmiä tämän tavoitteen saavuttamiseksi, jotka on kuvattu alla.
| To… | Ominaisuus | Kuvaus |
|---|---|---|
| Tunnistautuminen Active Directory -toimialueen sisällä | Kerberos | Microsin Windows Server -käyttöjärjestelmät toteuttavat Kerberos-version 5 -todennusprotokollan ja laajennukset julkisen avaimen todennukseen. Kerberos-todennusasiakas on toteutettu Security Support Provider (SSP) -palveluna, ja sitä voidaan käyttää Security Support Provider Interface (SSPI) -rajapinnan kautta. Käyttäjän alkuperäinen todennus on integroitu Winlogon-kertakirjautumisarkkitehtuuriin. Kerberos Key Distribution Center (KDC) on integroitu muihin toimialueen ohjaimessa suoritettaviin Windows Server -turvapalveluihin. KDC käyttää toimialueen Active Directory -hakemistopalvelun tietokantaa suojaustilitietokantana. Active Directory vaaditaan oletusarvoisiin Kerberos-toteutuksiin.
Lisäresursseja on osoitteessa Kerberos-todennuksen yleiskatsaus. |
| Turvallinen todennus verkossa | TLS/SSL sellaisena kuin se on toteutettu Schannel Security Support Provider -palvelussa | TLS-protokollan (Transport Layer Security, kuljetuskerroksen tietoturva) versiot 1.0, 1.1 ja 1.2, Secure Sockets Layer (SSL) -protokollan versiot 2.0 ja 3.0, Datagram Transport Layer Security -protokollan versio 1.0 ja Private Communications Transport (PCT) -protokollan versio 1.0 perustuvat julkisen avaimen salaukseen. Secure Channel (Schannel) -palveluntarjoajan todennusprotokolla tarjoaa nämä protokollat. Kaikki Schannel-protokollat käyttävät asiakas- ja palvelinmallia.
Lisäresursseja on kohdassa TLS – SSL (Schannel SSP) Yleiskatsaus. |
| Tunnistautuminen verkkopalveluun tai -sovellukseen | Integroitu Windows-todennus
Digest-todennus |
Lisäresursseja on kohdassa Integroitu Windows-todennus ja Digest-todennus sekä Edistyneempi Digest-todennus. |
| Todentaminen vanhoihin sovelluksiin | NTLM | NTLM on haaste-vastaus-tyylinen todennusprotokolla.Todentamisen lisäksi NTLM-protokolla tarjoaa valinnaisesti istuntosuojan – erityisesti viestin eheyden ja luottamuksellisuuden NTLM:n allekirjoitus- ja sinetöintitoimintojen avulla.
Lisäresursseja on kohdassa NTLM Overview. |
| Monitekijätodennuksen hyödyntäminen | Smart-korttituki
Biometrinen tuki |
Smart-kortit ovat väärentämisen kestävä ja kannettava tapa tarjota tietoturvaratkaisuja esimerkiksi asiakastodennukseen, toimialueille sisäänkirjautumiseen, koodin allekirjoittamiseen ja sähköpostin suojaamiseen.
Biometriikka perustuu henkilön muuttumattoman fyysisen ominaispiirteistön mittaamiseen, jotta henkilö voidaan tunnistaa ainutlaatuisesti. Sormenjäljet ovat yksi yleisimmin käytetyistä biometrisistä ominaisuuksista, ja miljoonia sormenjälkibiometrisiä laitteita on upotettu henkilökohtaisiin tietokoneisiin ja oheislaitteisiin. Lisälähteitä on osoitteessa Smart Card Technical Reference. |
| Turvatietojen paikallinen hallinta, tallennus ja uudelleenkäyttö | Turvatietojen hallinta
Local Security Authority Salasanat |
Turvatietojen hallinta Windowsissa varmistaa, että tunnistetiedot tallennetaan turvallisesti. Valtuustiedot kerätään suojatulla työpöydällä (paikallista tai toimialueen käyttöä varten), sovellusten tai verkkosivustojen kautta, jotta oikeat valtuustiedot esitetään aina, kun resurssia käytetään. |
| Nykyaikaisen todennussuojan laajentaminen vanhoihin järjestelmiin | Todennuksen laajennettu suojaus | Tämä toiminto parantaa tunnistetietojen suojausta ja käsittelyä verkkoyhteyksiä todennettaessa käyttämällä integroitua Windows-todennusta (Integrated Windows Authentication, IWA). |
Ohjelmistovaatimukset
Windowsin todennusjärjestelmä on suunniteltu yhteensopivaksi aiempien Windows-käyttöjärjestelmän versioiden kanssa. Jokaisen version parannukset eivät kuitenkaan välttämättä ole sovellettavissa aiempiin versioihin. Katso lisätietoja tiettyjä ominaisuuksia koskevasta dokumentaatiosta.
Server Managerin tiedot
Monet todennusominaisuudet voidaan määrittää ryhmäkäytännön avulla, joka voidaan asentaa Server Managerin avulla. Windows Biometric Framework -ominaisuus asennetaan Server Managerin avulla. Myös muut todennusmenetelmistä riippuvaiset palvelinroolit, kuten Web Server (IIS) ja Active Directory Domain Services, voidaan asentaa Server Managerin avulla.
| Todennustekniikat | Lähteet |
|---|---|
| Windows-todennus | Windows-todennuksen tekninen yleiskatsaus Sisältää aiheita, jotka käsittelevät versioiden välisiä eroavaisuuksia, yleisiä todennuskonsepteja, kirjautumisskenaarioita, tuettujen versioiden arkkitehtuureja ja sovellettavia asetuksia. |
| Kerberos | Kerberos-todennuksen yleiskatsaus
Kerberosin rajoitetun delegoinnin yleiskatsaus Kerberos-todennuksen tekninen viitekehys(2003) Kerberos-foorumi |
| TLS/SSL ja DTLS (Schannelin tietoturva-tukipalvelun tarjoaja) | TLS – – SSL (Schannel SSP) Overview
Schannel Security Support Provider Technical Reference |
| Digest authentication | Digest Authentication Technical Reference(2003) |
| NTLM | NTLM Overview Sisältää linkkejä tämänhetkisiin ja aiempiin resursseihin |
| PKU2U | PKU2U:n esittely Windowsissa |
| Smart Card | Smart Card Technical Reference |
| Credentials | Credentials (valtakirjat). Protection and Management Sisältää linkkejä nykyisiin ja aiempiin resursseihin Passwords Overview |