Windows-hitelesítés áttekintése

jan 15, 2022
admin
  • 10/12/2016
  • 5 perc olvasás
    • J
    • e
    • j
    • D
    • j
    • +3

Az alábbiakra vonatkozik: Windows Server (Semi-Annual Channel), Windows Server 2016

Ez az informatikai szakembereknek szóló navigációs téma a Windows hitelesítési és bejelentkezési technológiák dokumentációs forrásait sorolja fel, amelyek között termékértékelés, kezdeti útmutatók, eljárások, tervezési és telepítési útmutatók, műszaki hivatkozások és parancshivatkozások találhatók.

Tulajdonság leírása

A hitelesítés egy objektum, szolgáltatás vagy személy azonosságának ellenőrzésére szolgáló folyamat. Egy objektum hitelesítésekor a cél annak ellenőrzése, hogy az objektum valódi. Egy szolgáltatás vagy személy hitelesítésekor a cél annak ellenőrzése, hogy a bemutatott hitelesítő adatok hitelesek-e.

Hálózati környezetben a hitelesítés a személyazonosság bizonyítása egy hálózati alkalmazás vagy erőforrás számára. A személyazonosságot általában olyan kriptográfiai művelettel bizonyítják, amely vagy olyan kulcsot használ, amelyet csak a felhasználó ismer – mint a nyilvános kulcsú kriptográfia esetében -, vagy megosztott kulcsot. A hitelesítési csere kiszolgálói oldala az aláírt adatokat egy ismert kriptográfiai kulccsal hasonlítja össze a hitelesítési kísérlet érvényesítéséhez.

A kriptográfiai kulcsok biztonságos központi helyen történő tárolása skálázhatóvá és karbantarthatóvá teszi a hitelesítési folyamatot. Az Active Directory tartományi szolgáltatások az ajánlott és alapértelmezett technológia a személyazonossági adatok tárolására (beleértve a felhasználó hitelesítő adatait jelentő kriptográfiai kulcsokat is). Az Active Directory az alapértelmezett NTLM és Kerberos implementációkhoz szükséges.

A hitelesítési technikák az egyszerű bejelentkezéstől kezdve, amely a felhasználókat olyasmi alapján azonosítja, amit csak a felhasználó ismer – például egy jelszó -, a nagyobb teljesítményű biztonsági mechanizmusokig terjednek, amelyek olyasmit használnak, amivel a felhasználó rendelkezik – például tokenek, nyilvános kulcsú tanúsítványok és biometrikus adatok. Egy üzleti környezetben a szolgáltatások vagy a felhasználók többféle alkalmazást vagy erőforrást érhetnek el sokféle kiszolgálón, egy vagy több helyszínen belül. Ezen okok miatt a hitelesítésnek támogatnia kell más platformok és más Windows operációs rendszerek környezeteit.

A Windows operációs rendszer egy bővíthető architektúra részeként a hitelesítési protokollok alapértelmezett készletét valósítja meg, beleértve a Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) és Digest protokollokat. Ezenkívül egyes protokollok hitelesítési csomagokban vannak kombinálva, mint például a Negotiate és a Credential Security Support Provider. Ezek a protokollok és csomagok lehetővé teszik a felhasználók, számítógépek és szolgáltatások hitelesítését; a hitelesítési folyamat pedig lehetővé teszi, hogy az engedélyezett felhasználók és szolgáltatások biztonságos módon hozzáférjenek az erőforrásokhoz.

A Windows-hitelesítéssel kapcsolatos további információk, többek között

  • Windows-hitelesítési fogalmak

  • Windows bejelentkezési forgatókönyvek

  • Windows-hitelesítési architektúra

  • Biztonsági Support Provider Interface Architecture

  • Credentials Processes in Windows Authentication

  • Group Policy Settings Used in Windows Authentication

lásd a Windows Authentication Technical Overview.

Praktikus alkalmazások

A Windows-hitelesítés annak ellenőrzésére szolgál, hogy az információ megbízható forrásból származik-e, akár személytől, akár számítógépes objektumtól, például egy másik számítógéptől. A Windows számos különböző módszert biztosít e cél eléréséhez, amelyeket az alábbiakban ismertetünk.

A… Feature Description
Hitelesítés egy Active Directory tartományon belül Kerberos A Microsoft Windows Server operációs rendszerek a Kerberos 5-ös verziójú hitelesítési protokollt és a nyilvános kulcsú hitelesítéshez szükséges kiterjesztéseket valósítják meg. A Kerberos hitelesítési ügyfél biztonsági támogató szolgáltatóként (SSP) van implementálva, és a biztonsági támogató szolgáltatói interfészen (SSPI) keresztül érhető el. A kezdeti felhasználói hitelesítés a Winlogon egyszeri bejelentkezési architektúrába van integrálva. A Kerberos kulcselosztó központ (KDC) integrálva van a tartományvezérlőn futó egyéb Windows Server biztonsági szolgáltatásokkal. A KDC a tartomány Active Directory címtárszolgáltatási adatbázisát használja biztonsági fiókadatbázisként. Az Active Directory az alapértelmezett Kerberos implementációkhoz szükséges.

További forrásokért lásd: Kerberos hitelesítés áttekintése.

Biztonságos hitelesítés a weben TLS/SSL a Schannel Security Support Providerben megvalósított módon A Transport Layer Security (TLS) protokoll 1. verziója.0, 1.1 és 1.2, a Secure Sockets Layer (SSL) protokoll 2.0 és 3.0 verziója, a Datagram Transport Layer Security protokoll 1.0 verziója és a Private Communications Transport (PCT) protokoll 1.0 verziója nyilvános kulcsú kriptográfián alapul. A Secure Channel (Schannel) szolgáltatói hitelesítési protokollcsomag biztosítja ezeket a protokollokat. Minden Schannel protokoll kliens és kiszolgáló modellt használ.

További forrásokért lásd: TLS – SSL (Schannel SSP) áttekintés.

Hitelesítés webszolgáltatáshoz vagy alkalmazáshoz Integrált Windows-hitelesítés

Digeszt hitelesítés

További forrásokért lásd: Integrált Windows-hitelesítés és Digest hitelesítés, valamint Speciális Digest hitelesítés.
Hitelesítés régi alkalmazásokhoz NTLM Az NTLM egy kihívás-válasz stílusú hitelesítési protokoll.A hitelesítésen kívül az NTLM protokoll opcionálisan biztosítja a munkamenet biztonságát – konkrétan az üzenet sértetlenségét és titkosságát az NTLM aláírási és pecsételési funkciói révén.

További forrásokért lásd: NTLM áttekintés.

Multifaktoros hitelesítés Az intelligens kártya támogatása

Biometriai támogatás

Az intelligens kártyák hamisításálló és hordozható megoldást jelentenek olyan feladatokhoz, mint az ügyfél-hitelesítés, a tartományokba való bejelentkezés, a kódaláírás és az e-mail biztonsága.

A biometria a személy egy változatlan fizikai jellemzőjének mérésére támaszkodik, hogy egyedileg azonosítsa az adott személyt. Az ujjlenyomat az egyik leggyakrabban használt biometrikus jellemző, a személyi számítógépekbe és perifériákba ágyazott ujjlenyomatos biometrikus eszközök milliói vannak.

További forrásokért lásd: Smart Card Technical Reference.

A hitelesítő adatok helyi kezelése, tárolása és újrafelhasználása Hitelesítő adatok kezelése

Lokális biztonsági hatóság

Jelszavak

A hitelesítő adatok kezelése a Windowsban biztosítja a hitelesítő adatok biztonságos tárolását. A hitelesítő adatokat a biztonságos asztalon (helyi vagy tartományi hozzáférés esetén), alkalmazásokon vagy webhelyeken keresztül gyűjtik, hogy a megfelelő hitelesítő adatok minden egyes erőforrás elérésekor megjelenjenek.
A modern hitelesítési védelem kiterjesztése a régebbi rendszerekre Kibővített hitelesítési védelem Ez a funkció az integrált Windows-hitelesítés (IWA) használatával fokozza a hitelesítő adatok védelmét és kezelését a hálózati kapcsolatok hitelesítésekor.

Szoftverkövetelmények

A Windows-hitelesítés úgy lett kialakítva, hogy kompatibilis legyen a Windows operációs rendszer korábbi verzióival. Az egyes kiadásokkal járó fejlesztések azonban nem feltétlenül alkalmazhatók a korábbi verziókra. További információkért olvassa el az egyes funkciók dokumentációját.

Kiszolgálókezelővel kapcsolatos információk

Sok hitelesítési funkció konfigurálható a Csoportházirend segítségével, amely a Kiszolgálókezelő segítségével telepíthető. A Windows biometrikus keretrendszer funkció a Kiszolgálókezelő használatával telepíthető. A hitelesítési módszerektől függő egyéb kiszolgálói szerepkörök, például a webkiszolgáló (IIS) és az Active Directory tartományi szolgáltatások szintén a Kiszolgálókezelő segítségével telepíthetők.

.

Hitelesítési technológiák Források
Windows-hitelesítés Windows-hitelesítés technikai áttekintése
Tartalmazza a verziók közötti különbségekkel, általános hitelesítési fogalmakkal, bejelentkezési forgatókönyvekkel, a támogatott verziók architektúráival és az alkalmazandó beállításokkal foglalkozó témákat.
Kerberos Kerberos hitelesítés áttekintése

Kerberos korlátozott delegálás áttekintése

Kerberos hitelesítés technikai referencia(2003)

Kerberos fórum

TLS/SSL és DTLS (Schannel biztonsági támogató szolgáltató) TLS – SSL (Schannel SSP) áttekintés

Schannel Security Support Provider Technical Reference

Digest authentication Digest Authentication Technical Reference(2003)
NTLM NTLM Overview
Tartalmaz linkeket a jelenlegi és korábbi forrásokra
PKU2U A PKU2U bevezetése a Windowsban
Smart Card Smart Card Technical Reference
Credentials Credentials . Védelem és kezelés
Tartalmaz linkeket jelenlegi és korábbi forrásokra

Jelszavak áttekintése
Tartalmaz linkeket jelenlegi és korábbi forrásokra

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.