Visão Geral da Autenticação do Windows
- 10/12/2016
- 5 minutos para ler
- >
-
J -
e -
j -
D -
j -
+3
-
>
Candidata-se a: Windows Server (Canal Semi-Anual), Windows Server 2016
Este tópico de navegação para o profissional de TI lista recursos de documentação para autenticação do Windows e tecnologias de logon que incluem avaliação de produtos, guias de iniciação, procedimentos, guias de design e implantação, referências técnicas e referências de comando.
Descrição de características
Autenticação é um processo para verificar a identidade de um objeto, serviço ou pessoa. Quando você autentica um objeto, o objetivo é verificar se o objeto é genuíno. Quando você autentica um serviço ou pessoa, o objetivo é verificar se as credenciais apresentadas são autênticas.
Em um contexto de rede, a autenticação é o ato de provar a identidade de uma aplicação ou recurso de rede. Tipicamente, a identidade é provada por uma operação criptográfica que utiliza uma chave que só o usuário conhece – como na criptografia de chave pública – ou uma chave compartilhada. O lado do servidor da troca de autenticação compara os dados assinados com uma chave criptográfica conhecida para validar a tentativa de autenticação.
Alojar as chaves criptográficas num local central seguro torna o processo de autenticação escalável e de manutenção. O Active Directory Domain Services é a tecnologia recomendada e padrão para armazenar informações de identidade (incluindo as chaves criptográficas que são as credenciais do usuário). O Active Directory é necessário para implementações padrão NTLM e Kerberos.
Técnicas de autenticação variam desde um simples logon, que identifica usuários com base em algo que só o usuário sabe – como uma senha, até mecanismos de segurança mais poderosos que usam algo que o usuário tem – como tokens, certificados de chave pública e biometria. Em um ambiente de negócios, serviços ou usuários podem acessar múltiplos aplicativos ou recursos em vários tipos de servidores dentro de um único local ou através de vários locais. Por estas razões, a autenticação deve suportar ambientes para outras plataformas e para outros sistemas operacionais Windows.
O sistema operacional Windows implementa um conjunto padrão de protocolos de autenticação, incluindo Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL), e Digest, como parte de uma arquitetura extensível. Além disso, alguns protocolos são combinados em pacotes de autenticação, como Negociate e Credential Security Support Provider. Esses protocolos e pacotes permitem a autenticação de usuários, computadores e serviços; o processo de autenticação, por sua vez, permite que usuários e serviços autorizados acessem recursos de forma segura.
>
Para mais informações sobre Autenticação do Windows incluindo
-
Conceitos de Autenticação do Windows
-
Cenários de Logon do Windows
>
-
Arquitetura de Autenticação do Windows
>
- >
Segurança Arquitetura da Interface do Provedor de Suporte
-
Processos de Credenciais na Autenticação do Windows
-
Configurações da Política do Grupo Usada na Autenticação do Windows
>
>
>
>
ver a Visão Geral Técnica da Autenticação do Windows.
Aplicações práticas
Autenticação do Windows é usada para verificar se a informação vem de uma fonte confiável, seja de uma pessoa ou objeto de computador, como outro computador. O Windows fornece muitos métodos diferentes para atingir esse objetivo, como descrito abaixo.
| Para… | Função | Descrição |
|---|---|---|
| Autenticar dentro de um domínio Active Directory | Kerberos | Os sistemas operativos Microsoft Windows Server implementam o protocolo de autenticação Kerberos versão 5 e extensões para autenticação de chave pública. O cliente de autenticação Kerberos é implementado como um provedor de suporte de segurança (SSP) e pode ser acessado através da Interface do Provedor de Suporte de Segurança (SSPI). A autenticação inicial do usuário é integrada com a arquitetura de login único do Winlogon. O Kerberos Key Distribution Center (KDC) está integrado com outros serviços de segurança do Windows Server executados no controlador de domínio. O KDC utiliza o banco de dados de serviços de diretório ativo do domínio como seu banco de dados de contas de segurança. Active Directory é necessário para implementações padrão do Kerberos.
Para recursos adicionais, veja Kerberos Authentication Overview. |
| A autenticação segura na web | TLS/SSL como implementado no Schannel Security Support Provider | A versão 1 do protocolo Transport Layer Security (TLS).0, 1.1, e 1.2, protocolo Secure Sockets Layer (SSL), versões 2.0 e 3.0, protocolo Datagram Transport Layer Security versão 1.0, e o protocolo Private Communications Transport (PCT), versão 1.0, são baseados em criptografia de chave pública. O conjunto de protocolos de autenticação do provedor Secure Channel (Schannel) fornece estes protocolos. Todos os protocolos Schannel usam um modelo cliente e servidor.
Para recursos adicionais, veja TLS – SSL (Schannel SSP) Overview. |
| Autenticar para um serviço ou aplicativo web | Autenticação integrada do Windows
Autenticação Digest |
Para recursos adicionais, veja Autenticação integrada do Windows e Autenticação Digest, e Autenticação Digest avançada. |
| Autenticar para aplicações legadas | NTLM | NTLM é um protocolo de autenticação estilo desafio-resposta.Além da autenticação, o protocolo NTLM fornece opcionalmente a integridade e confidencialidade da mensagem de segurança da sessão através de funções de assinatura e selagem em NTLM.
Para recursos adicionais, veja NTLM Overview. |
| Alavancar autenticação multifactor | Suporte de cartão Smart Card
Suporte biométrico |
Cartões Smart Card são uma forma portátil e resistente à violação para fornecer soluções de segurança para tarefas como autenticação de clientes, login em domínios, assinatura de código e segurança de e-mail.
Biometria se baseia na medição de uma característica física imutável de uma pessoa para identificar exclusivamente essa pessoa. As impressões digitais são uma das características biométricas mais frequentemente utilizadas, com milhões de dispositivos biométricos de impressão digital que estão incorporados em computadores pessoais e periféricos. Para recursos adicionais, ver Referência Técnica de Smart Card. |
| Prover gestão local, armazenamento e reutilização de credenciais | Gestão de credenciais
Autoridade local de segurança Senhas |
Gestão de credenciais no Windows assegura que as credenciais são armazenadas de forma segura. As credenciais são coletadas no Secure Desktop (para acesso local ou de domínio), através de aplicativos ou de websites, para que as credenciais corretas sejam apresentadas toda vez que um recurso é acessado. |
| Extender proteção de autenticação moderna para sistemas legados | Proteção estendida para autenticação | Este recurso melhora a proteção e o manuseio das credenciais ao autenticar conexões de rede usando a Autenticação Integrada do Windows (IWA). |
Requisitos de software
A autenticação do Windows foi projetada para ser compatível com versões anteriores do sistema operacional Windows. Contudo, as melhorias com cada versão não são necessariamente aplicáveis às versões anteriores. Consulte a documentação sobre recursos específicos para obter mais informações.
Informações do Gerenciador de Servidor
Muitos recursos de autenticação podem ser configurados usando a Política de Grupo, que pode ser instalada usando o Gerenciador de Servidor. O recurso Windows Biometric Framework é instalado usando o Server Manager. Outras funções do servidor que dependem dos métodos de autenticação, como Web Server (IIS) e Active Directory Domain Services, também podem ser instaladas usando o Server Manager.
| Tecnologias de autenticação | Recursos |
|---|---|
| Autenticação Windows | Visão Geral Técnica da Autenticação Windows Inclui tópicos que abordam diferenças entre versões, conceitos gerais de autenticação, cenários de logon, arquiteturas para versões suportadas e configurações aplicáveis. |
| Kerberos | Visão Geral da Autenticação Kerberos
Visão Geral da Delegação de Kerberos Constrained Delegation Kerberos Authentication Technical Reference(2003) Kerberos forum |
| TLS/SSL e DTLS (Schannel security support provider) | TLS – SSL (Schannel SSP) Overview
Schannel Security Support Provider Technical Reference |
| Autenticação Digest | Digest Authentication Technical Reference(2003) |
| NTLM | NTLM Overview Contém links para recursos atuais e passados |
| PKU2U | Introdução de PKU2U no Windows |
| Smart Card | Referência técnica do Smart Card |
| Credenciais | Credenciais Protecção e Gestão Contém links para recursos actuais e passados Visão geral de palavras-passe |