Przegląd uwierzytelniania systemu Windows
- 10/12/2016
- 5 minut na przeczytanie
-
- .
J -
e -
j -
D -
j -
+3
- .
Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016
Ten temat nawigacyjny dla specjalistów IT wymienia zasoby dokumentacji dla technologii uwierzytelniania i logowania systemu Windows, które obejmują ocenę produktu, przewodniki rozpoczęcia pracy, procedury, przewodniki projektowania i wdrażania, referencje techniczne i referencje poleceń.
Opis funkcji
Uwierzytelnianie to proces weryfikacji tożsamości obiektu, usługi lub osoby. Gdy uwierzytelniasz obiekt, celem jest sprawdzenie, czy obiekt jest autentyczny. Kiedy uwierzytelniasz usługę lub osobę, celem jest sprawdzenie, czy przedstawione poświadczenia są autentyczne.
W kontekście sieciowym uwierzytelnianie jest aktem udowadniania tożsamości aplikacji sieciowej lub zasobu. Zazwyczaj tożsamość jest potwierdzana przez operację kryptograficzną, która używa albo klucza znanego tylko użytkownikowi – jak w przypadku kryptografii klucza publicznego – albo klucza współdzielonego. Strona serwera porównuje podpisane dane ze znanym kluczem kryptograficznym w celu potwierdzenia próby uwierzytelnienia.
Przechowywanie kluczy kryptograficznych w bezpiecznej centralnej lokalizacji sprawia, że proces uwierzytelniania jest skalowalny i możliwy do utrzymania. Active Directory Domain Services jest zalecaną i domyślną technologią przechowywania informacji o tożsamości (w tym kluczy kryptograficznych, które są poświadczeniami użytkownika). Active Directory jest wymagana dla domyślnych implementacji NTLM i Kerberos.
Techniki uwierzytelniania wahają się od prostego logowania, które identyfikuje użytkowników na podstawie czegoś, co zna tylko użytkownik – jak hasło, do bardziej zaawansowanych mechanizmów bezpieczeństwa, które wykorzystują coś, co posiada użytkownik – jak tokeny, certyfikaty klucza publicznego i biometria. W środowisku biznesowym, usługi lub użytkownicy mogą mieć dostęp do wielu aplikacji lub zasobów na wielu typach serwerów w jednej lokalizacji lub w wielu lokalizacjach. Z tych powodów uwierzytelnianie musi obsługiwać środowiska dla innych platform i dla innych systemów operacyjnych Windows.
System operacyjny Windows implementuje domyślny zestaw protokołów uwierzytelniania, w tym Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) i Digest, jako część rozszerzalnej architektury. Dodatkowo, niektóre protokoły są połączone w pakiety uwierzytelniające, takie jak Negotiate i Credential Security Support Provider. Te protokoły i pakiety umożliwiają uwierzytelnianie użytkowników, komputerów i usług; proces uwierzytelniania z kolei umożliwia autoryzowanym użytkownikom i usługom bezpieczny dostęp do zasobów.
Więcej informacji na temat uwierzytelniania systemu Windows, w tym
-
Koncepcje uwierzytelniania systemu Windows
-
Scenariusze logowania w systemie Windows
-
Architektura uwierzytelniania systemu Windows
-
Architektura interfejsu dostawcy zabezpieczeń
-
Security Support Provider Interface Architecture
-
Procesy uwierzytelniania w uwierzytelnianiu systemu Windows
-
Ustawienia zasad grupy używane w uwierzytelnianiu systemu Windows
patrz Przegląd techniczny uwierzytelniania systemu Windows.
Praktyczne zastosowania
Uwierzytelnianie systemu Windows jest używane do sprawdzania, czy informacje pochodzą z zaufanego źródła, czy to od osoby, czy od obiektu komputerowego, takiego jak inny komputer. System Windows udostępnia wiele różnych metod pozwalających osiągnąć ten cel, jak opisano poniżej.
| Do… | Funkcja | Opis |
|---|---|---|
| Uwierzytelnianie w ramach domeny Active Directory | Kerberos | Systemy operacyjne Microsoft Windows Server implementują protokół uwierzytelniania Kerberos w wersji 5 oraz rozszerzenia do uwierzytelniania z użyciem klucza publicznego. Klient uwierzytelniania Kerberos jest zaimplementowany jako dostawca wsparcia bezpieczeństwa (SSP) i można się do niego dostać poprzez interfejs SSPI (Security Support Provider Interface). Wstępne uwierzytelnianie użytkowników jest zintegrowane z architekturą jednokrotnego logowania Winlogon. Centrum dystrybucji kluczy Kerberos (KDC) jest zintegrowane z innymi usługami bezpieczeństwa Windows Server działającymi na kontrolerze domeny. KDC używa bazy danych usługi katalogowej Active Directory domeny jako swojej bazy danych kont bezpieczeństwa. Usługa Active Directory jest wymagana w przypadku domyślnych implementacji Kerberos.
Dodatkowe zasoby można znaleźć w części Przegląd uwierzytelniania Kerberos. |
| Bezpieczne uwierzytelnianie w sieci WWW | TLS/SSL zaimplementowane w Schannel Security Support Provider | Protokół Transport Layer Security (TLS) w wersjach 1.0, 1.1 i 1.2, protokół Secure Sockets Layer (SSL) w wersjach 2.0 i 3.0, protokół Datagram Transport Layer Security w wersji 1.0 oraz protokół Private Communications Transport (PCT) w wersji 1.0 są oparte na kryptografii klucza publicznego. Pakiet protokołów uwierzytelniania dostawcy Secure Channel (Schannel) zapewnia te protokoły. Wszystkie protokoły Schannel wykorzystują model klienta i serwera.
W celu uzyskania dodatkowych zasobów, zobacz TLS – SSL (Schannel SSP) Overview. |
| Uwierzytelnianie do usługi internetowej lub aplikacji | Zintegrowane uwierzytelnianie systemu Windows
Uwierzytelnianie Digest |
W celu uzyskania dodatkowych zasobów, zobacz Zintegrowane uwierzytelnianie systemu Windows i uwierzytelnianie Digest oraz Zaawansowane uwierzytelnianie Digest. |
| Uwierzytelnianie do starszych aplikacji | NTLM | NTLM to protokół uwierzytelniania typu challenge-response.Oprócz uwierzytelniania, protokół NTLM opcjonalnie zapewnia bezpieczeństwo sesji – w szczególności integralność i poufność wiadomości poprzez funkcje podpisywania i pieczętowania w NTLM.
W celu uzyskania dodatkowych zasobów, zobacz Przegląd NTLM. |
| Wykorzystaj uwierzytelnianie wieloczynnikowe | Obsługa kart inteligentnych
Obsługa danych biometrycznych |
Karty inteligentne są odpornym na manipulacje i przenośnym sposobem zapewnienia rozwiązań bezpieczeństwa dla zadań takich jak uwierzytelnianie klienta, logowanie do domen, podpisywanie kodu i zabezpieczanie poczty elektronicznej.
Biometria polega na pomiarze niezmiennej cechy fizycznej osoby w celu jej jednoznacznej identyfikacji. Odciski palców są jedną z najczęściej używanych cech biometrycznych, z milionami urządzeń biometrycznych na odciski palców, które są wbudowane w komputery osobiste i urządzenia peryferyjne. Dodatkowe zasoby, patrz Smart Card Technical Reference. |
| Zapewnij lokalne zarządzanie, przechowywanie i ponowne użycie poświadczeń | Zarządzanie poświadczeniami
Lokalny organ bezpieczeństwa Hasła |
Zarządzanie poświadczeniami w systemie Windows zapewnia bezpieczne przechowywanie poświadczeń. Poświadczenia są gromadzone na bezpiecznym pulpicie (dla dostępu lokalnego lub domenowego), za pośrednictwem aplikacji lub witryn internetowych, tak aby prawidłowe poświadczenia były prezentowane przy każdym dostępie do zasobu. |
| Rozszerzenie nowoczesnej ochrony uwierzytelniania na starsze systemy | Rozszerzona ochrona uwierzytelniania | Ta funkcja zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych za pomocą zintegrowanego uwierzytelniania systemu Windows (IWA). |
Wymagania sprzętowe
Uwierzytelnianie systemu Windows zostało zaprojektowane tak, aby było zgodne z poprzednimi wersjami systemu operacyjnego Windows. Jednak ulepszenia wprowadzane w każdym wydaniu niekoniecznie mają zastosowanie do poprzednich wersji. Więcej informacji można znaleźć w dokumentacji dotyczącej konkretnych funkcji.
Informacje o Menedżerze serwera
Wiele funkcji uwierzytelniania można skonfigurować za pomocą Zasad grupy, które można zainstalować za pomocą Menedżera serwera. Funkcja Windows Biometric Framework jest instalowana przy użyciu Menedżera serwera. Inne role serwera, które są zależne od metod uwierzytelniania, takie jak Web Server (IIS) i Active Directory Domain Services, można również zainstalować za pomocą Menedżera serwera.
| Technologie uwierzytelniania | Zasoby | |
|---|---|---|
| Uwierzytelnianie systemu Windows | Przegląd techniczny uwierzytelniania systemu Windows Zawiera tematy dotyczące różnic między wersjami, ogólnych koncepcji uwierzytelniania, scenariuszy logowania, architektur obsługiwanych wersji i odpowiednich ustawień. |
|
| Kerberos | Przegląd uwierzytelniania Kerberos
Przegląd ograniczonej delegacji Kerberos Poradnik techniczny uwierzytelniania Kerberos(2003) Forum Kerberos |
|
| TLS/SSL i DTLS (dostawca wsparcia bezpieczeństwa Schannel) | TLS – SSL (SSP Schannel) | Przegląd uwierzytelniania SSL (Schannel SSP) Overview
Schannel Security Support Provider Technical Reference |
| Digest authentication | Digest Authentication Technical Reference(2003) | |
| NTLM | NTLM Overview Zawiera linki do bieżących i przeszłych zasobów |
|
| PKU2U | Wprowadzenie PKU2U w Windows | |
| Karta inteligentna | Podręcznik techniczny karty inteligentnej | |
| Poświadczenia | Poświadczenia Ochrona i zarządzanie Zawiera linki do bieżących i przeszłych zasobów Przegląd haseł |