Windows Authenticatie Overzicht

jan 15, 2022
admin
  • 10/12/2016
  • 5 minuten om te lezen
    • J
    • e
    • j
    • D
    • j
    • +3

Geldt voor: Windows Server (Semi-Annual Channel), Windows Server 2016

Dit navigatieonderwerp voor de IT-professional geeft een overzicht van documentatiebronnen voor Windows-authenticatie- en -aanmeldingstechnologieën die productevaluatie, aan de slag-gidsen, procedures, ontwerp- en implementatiegidsen, technische referenties en opdrachtreferenties omvatten.

Featurebeschrijving

Authenticatie is een proces voor het verifiëren van de identiteit van een object, service of persoon. Wanneer u een object authentiseert, is het doel te verifiëren dat het object echt is. Wanneer u een dienst of persoon authenticeert, is het doel om te verifiëren dat de voorgelegde referenties authentiek zijn.

In een netwerkcontext is authenticatie de handeling van het bewijzen van de identiteit aan een netwerktoepassing of -bron. Gewoonlijk wordt de identiteit bewezen door een cryptografische operatie waarbij ofwel een sleutel wordt gebruikt die alleen de gebruiker kent – zoals bij openbare-sleutelcryptografie – of een gedeelde sleutel. De serverzijde van de authenticatie-uitwisseling vergelijkt de ondertekende gegevens met een bekende cryptografische sleutel om de authenticatiepoging te valideren.

Het opslaan van de cryptografische sleutels op een veilige centrale locatie maakt het authenticatieproces schaalbaar en onderhoudbaar. Active Directory Domain Services is de aanbevolen en standaardtechnologie voor het opslaan van identiteitsinformatie (inclusief de cryptografische sleutels die de referenties van de gebruiker vormen). Active Directory is vereist voor standaard NTLM en Kerberos implementaties.

Authenticatietechnieken variëren van een eenvoudige logon, die gebruikers identificeert op basis van iets dat alleen de gebruiker weet – zoals een wachtwoord, tot meer krachtige beveiligingsmechanismen die gebruik maken van iets dat de gebruiker heeft – zoals tokens, publieke sleutel certificaten, en biometrische kenmerken. In een bedrijfsomgeving kunnen diensten of gebruikers toegang hebben tot meerdere toepassingen of bronnen op vele soorten servers op één locatie of op meerdere locaties. Om deze redenen moet authenticatie omgevingen voor andere platforms en voor andere Windows-besturingssystemen ondersteunen.

Het Windows-besturingssysteem implementeert een standaardset authenticatieprotocollen, waaronder Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL), en Digest, als onderdeel van een uitbreidbare architectuur. Daarnaast worden sommige protocollen gecombineerd in authenticatiepakketten, zoals Negotiate en de Credential Security Support Provider. Deze protocollen en pakketten maken authenticatie van gebruikers, computers en diensten mogelijk; het authenticatieproces stelt geautoriseerde gebruikers en diensten op hun beurt in staat om op een veilige manier toegang te krijgen tot bronnen.

Voor meer informatie over Windows-authenticatie, waaronder

  • Windows-authenticatieconcepten

  • Windows-aanmeldscenario’s

  • Windows-authenticatiearchitectuur

  • Security Support Provider Interface Architecture

  • Credentials Processes in Windows Authentication

  • Group Policy Settings Used in Windows Authentication

zie het technisch overzicht van Windows Authentication.

Praktische toepassingen

Windows-authenticatie wordt gebruikt om te verifiëren dat de informatie afkomstig is van een betrouwbare bron, hetzij van een persoon of een computerobject, zoals een andere computer. Windows biedt veel verschillende methoden om dit doel te bereiken, zoals hieronder beschreven.

Om… Feature Description
Authenticatie binnen een Active Directory-domein Kerberos De Microsoft Windows Server-besturingssystemen implementeren het Kerberos versie 5-authenticatieprotocol en extensies voor openbare-sleutelauthenticatie. De Kerberos authenticatieclient is geïmplementeerd als een Security Support Provider (SSP) en kan worden benaderd via de Security Support Provider Interface (SSPI). De initiële gebruikersauthenticatie is geïntegreerd met de Winlogon architectuur voor eenmalige aanmelding. Het Kerberos Key Distribution Center (KDC) is geïntegreerd met andere Windows Server-beveiligingsdiensten die op de domeincontroller draaien. Het KDC gebruikt de Active Directory directoryservicedatabase van het domein als database voor de beveiligingsaccounts. Active Directory is vereist voor standaard Kerberos-implementaties.

Voor aanvullende bronnen, zie Kerberos Authentication Overview.

Veiligde authenticatie op het web TLS/SSL zoals geïmplementeerd in de Schannel Security Support Provider Het Transport Layer Security (TLS) protocol versies 1.0, 1.1, en 1.2, Secure Sockets Layer (SSL) protocol, versies 2.0 en 3.0, Datagram Transport Layer Security protocol versie 1.0, en het Private Communications Transport (PCT) protocol, versie 1.0, zijn gebaseerd op openbare sleutel cryptografie. De Secure Channel (Schannel) provider authenticatie protocol suite voorziet in deze protocollen. Alle Schannel-protocollen maken gebruik van een client- en servermodel.

Voor aanvullende bronnen, zie TLS – SSL (Schannel SSP) Overview.

Authenticatie bij een webdienst of toepassing Integrale Windows-authenticatie

Digest-authenticatie

Voor aanvullende bronnen, zie Geïntegreerde Windows-authenticatie en Digest-authenticatie, en Geavanceerde Digest-authenticatie.
Authenticatie bij legacy-toepassingen NTLM NTLM is een authenticatieprotocol in de stijl van een challenge-response.Naast authenticatie voorziet het NTLM-protocol optioneel in sessiebeveiliging, met name in integriteit en vertrouwelijkheid van berichten door middel van teken- en verzegelfuncties in NTLM.

Zie voor aanvullende bronnen NTLM Overview.

Gebruik multifactorauthenticatie Smart card-ondersteuning

Biometrische ondersteuning

Smart cards zijn een fraudebestendige en draagbare manier om beveiligingsoplossingen te bieden voor taken als clientauthenticatie, aanmelden bij domeinen, code signing en het beveiligen van e-mail.

Biometrie is gebaseerd op het meten van een onveranderlijk fysiek kenmerk van een persoon om die persoon op unieke wijze te identificeren. Vingerafdrukken zijn een van de meest gebruikte biometrische kenmerken, met miljoenen vingerafdruk biometrische apparaten die zijn ingebed in personal computers en randapparatuur.

Voor aanvullende bronnen, zie Smart Card Technical Reference.

Bied lokaal beheer, opslag en hergebruik van referenties Credentiebeheer

Lokale beveiligingsautoriteit

Wachtwoorden

Credentiebeheer in Windows zorgt ervoor dat referenties veilig worden opgeslagen. De referenties worden verzameld op het beveiligde bureaublad (voor lokale of domeintoegang), via apps of via websites, zodat bij elke toegang tot een bron de juiste referenties worden weergegeven.
Uitbreiden van moderne authenticatiebescherming naar legacy-systemen Uitgebreide bescherming voor authenticatie Deze functie verbetert de bescherming en afhandeling van geloofsbrieven bij het authenticeren van netwerkverbindingen door geïntegreerde Windows-authenticatie (IWA) te gebruiken.

Softwarevereisten

Windows Authenticatie is ontworpen om compatibel te zijn met eerdere versies van het Windows-besturingssysteem. Verbeteringen in elke versie zijn echter niet noodzakelijk van toepassing op eerdere versies. Raadpleeg de documentatie over specifieke functies voor meer informatie.

Serverbeheerinformatie

Veel authenticatiefuncties kunnen worden geconfigureerd met Groepsbeleid, dat kan worden geïnstalleerd met Serverbeheer. De Windows Biometric Framework-functie wordt geïnstalleerd met Server Manager. Andere serverrollen die afhankelijk zijn van verificatiemethoden, zoals Web Server (IIS) en Active Directory Domain Services, kunnen ook worden geïnstalleerd met Server Manager.

Authenticatietechnologieën Bronnen
Windows-authenticatie Technisch overzicht Windows-authenticatie
Bevat onderwerpen die ingaan op verschillen tussen versies, algemene authenticatieconcepten, aanmeldingsscenario’s, architecturen voor ondersteunde versies en toepasselijke instellingen.
Kerberos Kerberos Authentication Overview

Kerberos Constrained Delegation Overview

Kerberos Authentication Technical Reference(2003)

Kerberos forum

TLS/SSL and DTLS (Schannel security support provider) TLS -. SSL (Schannel SSP) Overview

Schannel Security Support Provider Technical Reference

Digest Authentication Digest Authentication Technical Reference(2003)
NTLM NTLM Overview
Bevat links naar huidige en vroegere bronnen
PKU2U Inleiding tot PKU2U in Windows
Smart Card Technische referentie voor smartcards
Credentials Credentials Bescherming en beheer
Bevat links naar huidige en vroegere bronnen

Wachtwoordenoverzicht
Bevat links naar huidige en vroegere bronnen

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.