Windows-hitelesítés áttekintése
- 10/12/2016
- 5 perc olvasás
-
-
J -
e -
j -
D -
j -
+3
Az alábbiakra vonatkozik: Windows Server (Semi-Annual Channel), Windows Server 2016
Ez az informatikai szakembereknek szóló navigációs téma a Windows hitelesítési és bejelentkezési technológiák dokumentációs forrásait sorolja fel, amelyek között termékértékelés, kezdeti útmutatók, eljárások, tervezési és telepítési útmutatók, műszaki hivatkozások és parancshivatkozások találhatók.
Tulajdonság leírása
A hitelesítés egy objektum, szolgáltatás vagy személy azonosságának ellenőrzésére szolgáló folyamat. Egy objektum hitelesítésekor a cél annak ellenőrzése, hogy az objektum valódi. Egy szolgáltatás vagy személy hitelesítésekor a cél annak ellenőrzése, hogy a bemutatott hitelesítő adatok hitelesek-e.
Hálózati környezetben a hitelesítés a személyazonosság bizonyítása egy hálózati alkalmazás vagy erőforrás számára. A személyazonosságot általában olyan kriptográfiai művelettel bizonyítják, amely vagy olyan kulcsot használ, amelyet csak a felhasználó ismer – mint a nyilvános kulcsú kriptográfia esetében -, vagy megosztott kulcsot. A hitelesítési csere kiszolgálói oldala az aláírt adatokat egy ismert kriptográfiai kulccsal hasonlítja össze a hitelesítési kísérlet érvényesítéséhez.
A kriptográfiai kulcsok biztonságos központi helyen történő tárolása skálázhatóvá és karbantarthatóvá teszi a hitelesítési folyamatot. Az Active Directory tartományi szolgáltatások az ajánlott és alapértelmezett technológia a személyazonossági adatok tárolására (beleértve a felhasználó hitelesítő adatait jelentő kriptográfiai kulcsokat is). Az Active Directory az alapértelmezett NTLM és Kerberos implementációkhoz szükséges.
A hitelesítési technikák az egyszerű bejelentkezéstől kezdve, amely a felhasználókat olyasmi alapján azonosítja, amit csak a felhasználó ismer – például egy jelszó -, a nagyobb teljesítményű biztonsági mechanizmusokig terjednek, amelyek olyasmit használnak, amivel a felhasználó rendelkezik – például tokenek, nyilvános kulcsú tanúsítványok és biometrikus adatok. Egy üzleti környezetben a szolgáltatások vagy a felhasználók többféle alkalmazást vagy erőforrást érhetnek el sokféle kiszolgálón, egy vagy több helyszínen belül. Ezen okok miatt a hitelesítésnek támogatnia kell más platformok és más Windows operációs rendszerek környezeteit.
A Windows operációs rendszer egy bővíthető architektúra részeként a hitelesítési protokollok alapértelmezett készletét valósítja meg, beleértve a Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) és Digest protokollokat. Ezenkívül egyes protokollok hitelesítési csomagokban vannak kombinálva, mint például a Negotiate és a Credential Security Support Provider. Ezek a protokollok és csomagok lehetővé teszik a felhasználók, számítógépek és szolgáltatások hitelesítését; a hitelesítési folyamat pedig lehetővé teszi, hogy az engedélyezett felhasználók és szolgáltatások biztonságos módon hozzáférjenek az erőforrásokhoz.
A Windows-hitelesítéssel kapcsolatos további információk, többek között
-
Windows-hitelesítési fogalmak
-
Windows bejelentkezési forgatókönyvek
-
Windows-hitelesítési architektúra
-
Biztonsági Support Provider Interface Architecture
-
Credentials Processes in Windows Authentication
-
Group Policy Settings Used in Windows Authentication
lásd a Windows Authentication Technical Overview.
Praktikus alkalmazások
A Windows-hitelesítés annak ellenőrzésére szolgál, hogy az információ megbízható forrásból származik-e, akár személytől, akár számítógépes objektumtól, például egy másik számítógéptől. A Windows számos különböző módszert biztosít e cél eléréséhez, amelyeket az alábbiakban ismertetünk.
| A… | Feature | Description |
|---|---|---|
| Hitelesítés egy Active Directory tartományon belül | Kerberos | A Microsoft Windows Server operációs rendszerek a Kerberos 5-ös verziójú hitelesítési protokollt és a nyilvános kulcsú hitelesítéshez szükséges kiterjesztéseket valósítják meg. A Kerberos hitelesítési ügyfél biztonsági támogató szolgáltatóként (SSP) van implementálva, és a biztonsági támogató szolgáltatói interfészen (SSPI) keresztül érhető el. A kezdeti felhasználói hitelesítés a Winlogon egyszeri bejelentkezési architektúrába van integrálva. A Kerberos kulcselosztó központ (KDC) integrálva van a tartományvezérlőn futó egyéb Windows Server biztonsági szolgáltatásokkal. A KDC a tartomány Active Directory címtárszolgáltatási adatbázisát használja biztonsági fiókadatbázisként. Az Active Directory az alapértelmezett Kerberos implementációkhoz szükséges.
További forrásokért lásd: Kerberos hitelesítés áttekintése. |
| Biztonságos hitelesítés a weben | TLS/SSL a Schannel Security Support Providerben megvalósított módon | A Transport Layer Security (TLS) protokoll 1. verziója.0, 1.1 és 1.2, a Secure Sockets Layer (SSL) protokoll 2.0 és 3.0 verziója, a Datagram Transport Layer Security protokoll 1.0 verziója és a Private Communications Transport (PCT) protokoll 1.0 verziója nyilvános kulcsú kriptográfián alapul. A Secure Channel (Schannel) szolgáltatói hitelesítési protokollcsomag biztosítja ezeket a protokollokat. Minden Schannel protokoll kliens és kiszolgáló modellt használ.
További forrásokért lásd: TLS – SSL (Schannel SSP) áttekintés. |
| Hitelesítés webszolgáltatáshoz vagy alkalmazáshoz | Integrált Windows-hitelesítés
Digeszt hitelesítés |
További forrásokért lásd: Integrált Windows-hitelesítés és Digest hitelesítés, valamint Speciális Digest hitelesítés. |
| Hitelesítés régi alkalmazásokhoz | NTLM | Az NTLM egy kihívás-válasz stílusú hitelesítési protokoll.A hitelesítésen kívül az NTLM protokoll opcionálisan biztosítja a munkamenet biztonságát – konkrétan az üzenet sértetlenségét és titkosságát az NTLM aláírási és pecsételési funkciói révén.
További forrásokért lásd: NTLM áttekintés. |
| Multifaktoros hitelesítés | Az intelligens kártya támogatása
Biometriai támogatás |
Az intelligens kártyák hamisításálló és hordozható megoldást jelentenek olyan feladatokhoz, mint az ügyfél-hitelesítés, a tartományokba való bejelentkezés, a kódaláírás és az e-mail biztonsága.
A biometria a személy egy változatlan fizikai jellemzőjének mérésére támaszkodik, hogy egyedileg azonosítsa az adott személyt. Az ujjlenyomat az egyik leggyakrabban használt biometrikus jellemző, a személyi számítógépekbe és perifériákba ágyazott ujjlenyomatos biometrikus eszközök milliói vannak. További forrásokért lásd: Smart Card Technical Reference. |
| A hitelesítő adatok helyi kezelése, tárolása és újrafelhasználása | Hitelesítő adatok kezelése
Lokális biztonsági hatóság Jelszavak |
A hitelesítő adatok kezelése a Windowsban biztosítja a hitelesítő adatok biztonságos tárolását. A hitelesítő adatokat a biztonságos asztalon (helyi vagy tartományi hozzáférés esetén), alkalmazásokon vagy webhelyeken keresztül gyűjtik, hogy a megfelelő hitelesítő adatok minden egyes erőforrás elérésekor megjelenjenek. |
| A modern hitelesítési védelem kiterjesztése a régebbi rendszerekre | Kibővített hitelesítési védelem | Ez a funkció az integrált Windows-hitelesítés (IWA) használatával fokozza a hitelesítő adatok védelmét és kezelését a hálózati kapcsolatok hitelesítésekor. |
Szoftverkövetelmények
A Windows-hitelesítés úgy lett kialakítva, hogy kompatibilis legyen a Windows operációs rendszer korábbi verzióival. Az egyes kiadásokkal járó fejlesztések azonban nem feltétlenül alkalmazhatók a korábbi verziókra. További információkért olvassa el az egyes funkciók dokumentációját.
Kiszolgálókezelővel kapcsolatos információk
Sok hitelesítési funkció konfigurálható a Csoportházirend segítségével, amely a Kiszolgálókezelő segítségével telepíthető. A Windows biometrikus keretrendszer funkció a Kiszolgálókezelő használatával telepíthető. A hitelesítési módszerektől függő egyéb kiszolgálói szerepkörök, például a webkiszolgáló (IIS) és az Active Directory tartományi szolgáltatások szintén a Kiszolgálókezelő segítségével telepíthetők.
| Hitelesítési technológiák | Források | |
|---|---|---|
| Windows-hitelesítés | Windows-hitelesítés technikai áttekintése Tartalmazza a verziók közötti különbségekkel, általános hitelesítési fogalmakkal, bejelentkezési forgatókönyvekkel, a támogatott verziók architektúráival és az alkalmazandó beállításokkal foglalkozó témákat. |
|
| Kerberos | Kerberos hitelesítés áttekintése
Kerberos korlátozott delegálás áttekintése Kerberos hitelesítés technikai referencia(2003) Kerberos fórum |
|
| TLS/SSL és DTLS (Schannel biztonsági támogató szolgáltató) | TLS – SSL (Schannel SSP) áttekintés
Schannel Security Support Provider Technical Reference |
|
| Digest authentication | Digest Authentication Technical Reference(2003) | |
| NTLM | NTLM Overview Tartalmaz linkeket a jelenlegi és korábbi forrásokra |
|
| PKU2U | A PKU2U bevezetése a Windowsban | |
| Smart Card | Smart Card Technical Reference | |
| Credentials | Credentials | . Védelem és kezelés Tartalmaz linkeket jelenlegi és korábbi forrásokra Jelszavak áttekintése |