Windows Authenticatie Overzicht
- 10/12/2016
- 5 minuten om te lezen
-
-
J -
e -
j -
D -
j -
+3
-
Geldt voor: Windows Server (Semi-Annual Channel), Windows Server 2016
Dit navigatieonderwerp voor de IT-professional geeft een overzicht van documentatiebronnen voor Windows-authenticatie- en -aanmeldingstechnologieën die productevaluatie, aan de slag-gidsen, procedures, ontwerp- en implementatiegidsen, technische referenties en opdrachtreferenties omvatten.
Featurebeschrijving
Authenticatie is een proces voor het verifiëren van de identiteit van een object, service of persoon. Wanneer u een object authentiseert, is het doel te verifiëren dat het object echt is. Wanneer u een dienst of persoon authenticeert, is het doel om te verifiëren dat de voorgelegde referenties authentiek zijn.
In een netwerkcontext is authenticatie de handeling van het bewijzen van de identiteit aan een netwerktoepassing of -bron. Gewoonlijk wordt de identiteit bewezen door een cryptografische operatie waarbij ofwel een sleutel wordt gebruikt die alleen de gebruiker kent – zoals bij openbare-sleutelcryptografie – of een gedeelde sleutel. De serverzijde van de authenticatie-uitwisseling vergelijkt de ondertekende gegevens met een bekende cryptografische sleutel om de authenticatiepoging te valideren.
Het opslaan van de cryptografische sleutels op een veilige centrale locatie maakt het authenticatieproces schaalbaar en onderhoudbaar. Active Directory Domain Services is de aanbevolen en standaardtechnologie voor het opslaan van identiteitsinformatie (inclusief de cryptografische sleutels die de referenties van de gebruiker vormen). Active Directory is vereist voor standaard NTLM en Kerberos implementaties.
Authenticatietechnieken variëren van een eenvoudige logon, die gebruikers identificeert op basis van iets dat alleen de gebruiker weet – zoals een wachtwoord, tot meer krachtige beveiligingsmechanismen die gebruik maken van iets dat de gebruiker heeft – zoals tokens, publieke sleutel certificaten, en biometrische kenmerken. In een bedrijfsomgeving kunnen diensten of gebruikers toegang hebben tot meerdere toepassingen of bronnen op vele soorten servers op één locatie of op meerdere locaties. Om deze redenen moet authenticatie omgevingen voor andere platforms en voor andere Windows-besturingssystemen ondersteunen.
Het Windows-besturingssysteem implementeert een standaardset authenticatieprotocollen, waaronder Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL), en Digest, als onderdeel van een uitbreidbare architectuur. Daarnaast worden sommige protocollen gecombineerd in authenticatiepakketten, zoals Negotiate en de Credential Security Support Provider. Deze protocollen en pakketten maken authenticatie van gebruikers, computers en diensten mogelijk; het authenticatieproces stelt geautoriseerde gebruikers en diensten op hun beurt in staat om op een veilige manier toegang te krijgen tot bronnen.
Voor meer informatie over Windows-authenticatie, waaronder
-
Windows-authenticatieconcepten
-
Windows-aanmeldscenario’s
-
Windows-authenticatiearchitectuur
-
Security Support Provider Interface Architecture
-
Credentials Processes in Windows Authentication
-
Group Policy Settings Used in Windows Authentication
zie het technisch overzicht van Windows Authentication.
Praktische toepassingen
Windows-authenticatie wordt gebruikt om te verifiëren dat de informatie afkomstig is van een betrouwbare bron, hetzij van een persoon of een computerobject, zoals een andere computer. Windows biedt veel verschillende methoden om dit doel te bereiken, zoals hieronder beschreven.
| Om… | Feature | Description |
|---|---|---|
| Authenticatie binnen een Active Directory-domein | Kerberos | De Microsoft Windows Server-besturingssystemen implementeren het Kerberos versie 5-authenticatieprotocol en extensies voor openbare-sleutelauthenticatie. De Kerberos authenticatieclient is geïmplementeerd als een Security Support Provider (SSP) en kan worden benaderd via de Security Support Provider Interface (SSPI). De initiële gebruikersauthenticatie is geïntegreerd met de Winlogon architectuur voor eenmalige aanmelding. Het Kerberos Key Distribution Center (KDC) is geïntegreerd met andere Windows Server-beveiligingsdiensten die op de domeincontroller draaien. Het KDC gebruikt de Active Directory directoryservicedatabase van het domein als database voor de beveiligingsaccounts. Active Directory is vereist voor standaard Kerberos-implementaties.
Voor aanvullende bronnen, zie Kerberos Authentication Overview. |
| Veiligde authenticatie op het web | TLS/SSL zoals geïmplementeerd in de Schannel Security Support Provider | Het Transport Layer Security (TLS) protocol versies 1.0, 1.1, en 1.2, Secure Sockets Layer (SSL) protocol, versies 2.0 en 3.0, Datagram Transport Layer Security protocol versie 1.0, en het Private Communications Transport (PCT) protocol, versie 1.0, zijn gebaseerd op openbare sleutel cryptografie. De Secure Channel (Schannel) provider authenticatie protocol suite voorziet in deze protocollen. Alle Schannel-protocollen maken gebruik van een client- en servermodel.
Voor aanvullende bronnen, zie TLS – SSL (Schannel SSP) Overview. |
| Authenticatie bij een webdienst of toepassing | Integrale Windows-authenticatie
Digest-authenticatie |
Voor aanvullende bronnen, zie Geïntegreerde Windows-authenticatie en Digest-authenticatie, en Geavanceerde Digest-authenticatie. |
| Authenticatie bij legacy-toepassingen | NTLM | NTLM is een authenticatieprotocol in de stijl van een challenge-response.Naast authenticatie voorziet het NTLM-protocol optioneel in sessiebeveiliging, met name in integriteit en vertrouwelijkheid van berichten door middel van teken- en verzegelfuncties in NTLM.
Zie voor aanvullende bronnen NTLM Overview. |
| Gebruik multifactorauthenticatie | Smart card-ondersteuning
Biometrische ondersteuning |
Smart cards zijn een fraudebestendige en draagbare manier om beveiligingsoplossingen te bieden voor taken als clientauthenticatie, aanmelden bij domeinen, code signing en het beveiligen van e-mail.
Biometrie is gebaseerd op het meten van een onveranderlijk fysiek kenmerk van een persoon om die persoon op unieke wijze te identificeren. Vingerafdrukken zijn een van de meest gebruikte biometrische kenmerken, met miljoenen vingerafdruk biometrische apparaten die zijn ingebed in personal computers en randapparatuur. Voor aanvullende bronnen, zie Smart Card Technical Reference. |
| Bied lokaal beheer, opslag en hergebruik van referenties | Credentiebeheer
Lokale beveiligingsautoriteit Wachtwoorden |
Credentiebeheer in Windows zorgt ervoor dat referenties veilig worden opgeslagen. De referenties worden verzameld op het beveiligde bureaublad (voor lokale of domeintoegang), via apps of via websites, zodat bij elke toegang tot een bron de juiste referenties worden weergegeven. |
| Uitbreiden van moderne authenticatiebescherming naar legacy-systemen | Uitgebreide bescherming voor authenticatie | Deze functie verbetert de bescherming en afhandeling van geloofsbrieven bij het authenticeren van netwerkverbindingen door geïntegreerde Windows-authenticatie (IWA) te gebruiken. |
Softwarevereisten
Windows Authenticatie is ontworpen om compatibel te zijn met eerdere versies van het Windows-besturingssysteem. Verbeteringen in elke versie zijn echter niet noodzakelijk van toepassing op eerdere versies. Raadpleeg de documentatie over specifieke functies voor meer informatie.
Serverbeheerinformatie
Veel authenticatiefuncties kunnen worden geconfigureerd met Groepsbeleid, dat kan worden geïnstalleerd met Serverbeheer. De Windows Biometric Framework-functie wordt geïnstalleerd met Server Manager. Andere serverrollen die afhankelijk zijn van verificatiemethoden, zoals Web Server (IIS) en Active Directory Domain Services, kunnen ook worden geïnstalleerd met Server Manager.
| Authenticatietechnologieën | Bronnen |
|---|---|
| Windows-authenticatie | Technisch overzicht Windows-authenticatie Bevat onderwerpen die ingaan op verschillen tussen versies, algemene authenticatieconcepten, aanmeldingsscenario’s, architecturen voor ondersteunde versies en toepasselijke instellingen. |
| Kerberos | Kerberos Authentication Overview
Kerberos Constrained Delegation Overview Kerberos Authentication Technical Reference(2003) Kerberos forum |
| TLS/SSL and DTLS (Schannel security support provider) | TLS -. SSL (Schannel SSP) Overview
Schannel Security Support Provider Technical Reference |
| Digest Authentication | Digest Authentication Technical Reference(2003) |
| NTLM | NTLM Overview Bevat links naar huidige en vroegere bronnen |
| PKU2U | Inleiding tot PKU2U in Windows |
| Smart Card | Technische referentie voor smartcards |
| Credentials | Credentials Bescherming en beheer Bevat links naar huidige en vroegere bronnen Wachtwoordenoverzicht |