Prezentare generală a autentificării Windows
- 10/12/2016
- 5 minute de citit
-
- .
J -
e -
j -
D -
j -
+3
- .
Se aplică la: Windows Server (Semi-Annual Channel), Windows Server 2016
Acest subiect de navigare pentru profesioniștii IT enumeră resursele de documentație pentru tehnologiile de autentificare și conectare Windows care includ evaluarea produsului, ghiduri de inițiere, proceduri, ghiduri de proiectare și implementare, referințe tehnice și referințe de comandă.
Descrierea caracteristicilor
Autentificarea este un proces de verificare a identității unui obiect, serviciu sau persoană. Atunci când autentificați un obiect, scopul este de a verifica dacă obiectul este autentic. Atunci când autentificați un serviciu sau o persoană, scopul este de a verifica dacă acreditările prezentate sunt autentice.
Într-un context de rețea, autentificarea este actul de a dovedi identitatea unei aplicații sau resurse de rețea. În mod obișnuit, identitatea este dovedită printr-o operațiune criptografică care utilizează fie o cheie pe care numai utilizatorul o cunoaște – ca în cazul criptografiei cu cheie publică – fie o cheie partajată. Partea server a schimbului de autentificare compară datele semnate cu o cheie criptografică cunoscută pentru a valida încercarea de autentificare.
Stocarea cheilor criptografice într-o locație centrală sigură face ca procesul de autentificare să fie scalabil și să poată fi întreținut. Active Directory Domain Services este tehnologia recomandată și implicită pentru stocarea informațiilor privind identitatea (inclusiv a cheilor criptografice care reprezintă acreditările utilizatorului). Active Directory este necesar pentru implementările implicite NTLM și Kerberos.
Tehnicile de autentificare variază de la o simplă conectare, care identifică utilizatorii pe baza a ceva ce numai utilizatorul cunoaște – cum ar fi o parolă, până la mecanisme de securitate mai puternice care utilizează ceva ce are utilizatorul – cum ar fi token-urile, certificatele cu cheie publică și datele biometrice. Într-un mediu de afaceri, serviciile sau utilizatorii pot accesa mai multe aplicații sau resurse pe mai multe tipuri de servere într-o singură locație sau în mai multe locații. Din aceste motive, autentificarea trebuie să suporte medii pentru alte platforme și pentru alte sisteme de operare Windows.
Sistemul de operare Windows implementează un set implicit de protocoale de autentificare, inclusiv Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) și Digest, ca parte a unei arhitecturi extensibile. În plus, unele protocoale sunt combinate în pachete de autentificare, cum ar fi Negotiate și Credential Security Support Provider. Aceste protocoale și pachete permit autentificarea utilizatorilor, a computerelor și a serviciilor; procesul de autentificare, la rândul său, permite utilizatorilor și serviciilor autorizate să acceseze resursele într-un mod sigur.
Pentru mai multe informații despre autentificarea Windows, inclusiv
-
Concepte de autentificare Windows
-
Scenarii de logare Windows
-
Arhitectura de autentificare Windows
-
Securitate Support Provider Interface Architecture
-
Arhitectura interfeței furnizorului de suport pentru securitate
-
Procesele de acreditare în autentificarea Windows
-
Setări ale politicii de grup utilizate în autentificarea Windows
vezi Prezentare generală tehnică a autentificării Windows.
Aplicații practice
Autentificarea Windows este utilizată pentru a verifica dacă informația provine dintr-o sursă de încredere, fie că este vorba de o persoană sau de un obiect informatic, cum ar fi un alt calculator. Windows oferă mai multe metode diferite pentru a atinge acest obiectiv, așa cum este descris mai jos.
| Pentru… | Funcționalitate | Descriere |
|---|---|---|
| Autentificare în cadrul unui domeniu Active Directory | Kerberos | Sistemele de operare Microsoft Windows Server implementează protocolul de autentificare Kerberos versiunea 5 și extensiile pentru autentificarea cu cheie publică. Clientul de autentificare Kerberos este implementat ca furnizor de suport de securitate (SSP) și poate fi accesat prin intermediul Security Support Provider Interface (SSPI). Autentificarea inițială a utilizatorului este integrată cu arhitectura de autentificare unică Winlogon. Centrul de distribuție a cheilor Kerberos (KDC) este integrat cu alte servicii de securitate Windows Server care rulează pe controlerul de domeniu. KDC utilizează baza de date a serviciului de directoare Active Directory a domeniului ca bază de date a conturilor de securitate. Active Directory este necesar pentru implementările Kerberos implicite.
Pentru resurse suplimentare, consultați Prezentare generală a autentificării Kerberos. |
| Autentificare sigură pe web | TLS/SSL așa cum este implementat în Schannel Security Support Provider | Protocolul Transport Layer Security (TLS) versiunile 1.0, 1.1 și 1.2, protocolul Secure Sockets Layer (SSL), versiunile 2.0 și 3.0, protocolul Datagram Transport Layer Security versiunea 1.0 și protocolul Private Communications Transport (PCT), versiunea 1.0, se bazează pe criptografia cu cheie publică. Suita de protocoale de autentificare a furnizorilor Secure Channel (Schannel) oferă aceste protocoale. Toate protocoalele Schannel utilizează un model client și server.
Pentru resurse suplimentare, consultați Prezentare generală TLS – SSL (Schannel SSP). |
| Autentificare la un serviciu web sau la o aplicație | Autentificare Windows integrată
Autentificare Digest |
Pentru resurse suplimentare, consultați Autentificare Windows integrată și Autentificare Digest și Autentificare Digest avansată. |
| Autentificare la aplicații moștenite | NTLM | NTLM este un protocol de autentificare de tip provocare-răspuns.În plus față de autentificare, protocolul NTLM asigură opțional securitatea sesiunii – în special integritatea și confidențialitatea mesajelor prin intermediul funcțiilor de semnare și sigilare din NTLM.
Pentru resurse suplimentare, consultați NTLM Overview. |
| Utilizați autentificarea multifactorială | Suportul pentru carduri inteligente
Suportul biometric |
Cardurile inteligente sunt o modalitate portabilă și rezistentă la manipulare pentru a oferi soluții de securitate pentru sarcini precum autentificarea clienților, conectarea la domenii, semnarea codurilor și securizarea e-mailurilor.
Biometria se bazează pe măsurarea unei caracteristici fizice neschimbătoare a unei persoane pentru a identifica în mod unic acea persoană. Amprentele digitale sunt una dintre cele mai frecvent utilizate caracteristici biometrice, existând milioane de dispozitive biometrice cu amprente digitale care sunt încorporate în calculatoare personale și periferice. Pentru resurse suplimentare, consultați Smart Card Technical Reference. |
| Aprovizionați gestionarea locală, stocarea și reutilizarea acreditărilor | Gestionarea acreditărilor
Autoritate locală de securitate Passwords |
Gestionarea acreditărilor în Windows asigură că acreditările sunt stocate în siguranță. Datele de acreditare sunt colectate pe Secure Desktop (pentru acces local sau de domeniu), prin intermediul aplicațiilor sau prin intermediul site-urilor web, astfel încât datele de acreditare corecte să fie prezentate de fiecare dată când este accesată o resursă. |
| Extindeți protecția modernă a autentificării la sistemele moștenite | Protecție extinsă pentru autentificare | Această caracteristică îmbunătățește protecția și gestionarea acreditărilor la autentificarea conexiunilor de rețea prin utilizarea Autentificării integrate Windows (IWA). |
Requisite software
Autentificarea Windows este proiectată pentru a fi compatibilă cu versiunile anterioare ale sistemului de operare Windows. Cu toate acestea, îmbunătățirile aduse cu fiecare versiune nu sunt neapărat aplicabile la versiunile anterioare. Pentru mai multe informații, consultați documentația referitoare la caracteristicile specifice.
Informații despre Server Manager
Multe caracteristici de autentificare pot fi configurate folosind Group Policy, care poate fi instalat folosind Server Manager. Caracteristica Windows Biometric Framework se instalează utilizând Server Manager. Alte roluri de server care depind de metodele de autentificare, cum ar fi Web Server (IIS) și Active Directory Domain Services, pot fi, de asemenea, instalate utilizând Server Manager.
| Tehnologii de autentificare | Resurse | |
|---|---|---|
| Autentificare Windows | Prezentare tehnică a autentificării Windows Include subiecte care abordează diferențele dintre versiuni, concepte generale de autentificare, scenarii de conectare, arhitecturi pentru versiunile acceptate și setări aplicabile. |
|
| Kerberos | Kerberos Authentication Overview
Kerberos Constrained Delegation Overview Kerberos Authentication Technical Reference(2003) Kerberos forum |
|
| TLS/SSL și DTLS (Schannel security support provider) | TLS – SSL (Schannel SSP) Prezentare generală
Referință tehnică a furnizorului de suport de securitate Schannel |
|
| Autentificare Digest | Referință tehnică de autentificare Digest(2003) | |
| NTLM | Prezentare generală NTLM Conține linkuri către resurse actuale și trecute |
|
| PKU2U | Introducerea PKU2U în Windows | |
| Smart Card | Smart Card Technical Reference | |
| Credențiale | Credențiale | Credențiale Protecție și gestionare Conține linkuri către resurse curente și anterioare Passwords Overview |