Översikt över Windows-autentisering
- 10/12/2016
- 5 minuter att läsa
-
-
J -
e -
j -
D -
j -
+3
-
Gäller: Windows Server (Semi-Annual Channel), Windows Server 2016
Detta navigeringsämne för IT-personal listar dokumentationsresurser för Windows-teknik för autentisering och inloggning som inkluderar produktutvärdering, guider för att komma igång, procedurer, design- och implementeringsguider, tekniska referenser och kommandoreferenser.
Funktionsbeskrivning
Autentisering är en process för att verifiera identiteten hos ett objekt, en tjänst eller en person. När du autentiserar ett objekt är målet att verifiera att objektet är äkta. När du autentiserar en tjänst eller person är målet att verifiera att de referenser som presenteras är autentiska.
I ett nätverkssammanhang är autentisering en handling som bevisar identiteten för ett nätverksprogram eller en nätverksresurs. Vanligtvis bevisas identiteten genom en kryptografisk operation som använder antingen en nyckel som endast användaren känner till – som vid kryptografi med offentlig nyckel – eller en delad nyckel. Serverdelen av autentiseringsutbytet jämför de signerade uppgifterna med en känd kryptografisk nyckel för att validera autentiseringsförsöket.
Lagring av de kryptografiska nycklarna på en säker central plats gör autentiseringsprocessen skalbar och underhållbar. Active Directory Domain Services är den rekommenderade och förvalda tekniken för lagring av identitetsinformation (inklusive de kryptografiska nycklar som utgör användarens autentiseringsuppgifter). Active Directory krävs för standardimplementationer av NTLM och Kerberos.
Autentiseringstekniker sträcker sig från en enkel inloggning, som identifierar användare baserat på något som bara användaren känner till – t.ex. ett lösenord, till kraftfullare säkerhetsmekanismer som använder något som användaren har – t.ex. tokens, offentliga nyckelcertifikat och biometri. I en företagsmiljö kan tjänster eller användare få tillgång till flera program eller resurser på många typer av servrar på en enda plats eller på flera platser. Av dessa skäl måste autentisering stödja miljöer för andra plattformar och för andra Windows-operativsystem.
Vindows operativsystem implementerar en standarduppsättning autentiseringsprotokoll, inklusive Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) och Digest, som en del av en utbyggbar arkitektur. Dessutom kombineras vissa protokoll i autentiseringspaket som Negotiate och Credential Security Support Provider. Dessa protokoll och paket möjliggör autentisering av användare, datorer och tjänster. Autentiseringsprocessen gör det i sin tur möjligt för auktoriserade användare och tjänster att få tillgång till resurser på ett säkert sätt.
För mer information om Windows-autentisering inklusive
-
Windows Autentiseringskoncept
-
Windows inloggningsscenarier
-
Windows Autentiseringsarkitektur
-
Säkerhet. Support Provider Interface Architecture
-
Kräftelagsprocesser i Windows-autentisering
-
Inställningar för grupprinciper som används i Windows-autentisering
Se teknisk översikt över Windows-autentisering.
Praktiska tillämpningar
Windows Autentisering används för att verifiera att informationen kommer från en betrodd källa, oavsett om den kommer från en person eller ett datorobjekt, till exempel en annan dator. Windows tillhandahåller många olika metoder för att uppnå detta mål som beskrivs nedan.
| För att… | Funktion | Beskrivning |
|---|---|---|
| Autentisera inom en Active Directory-domän | Kerberos | Odriftssystemen Microsoft Windows Server implementerar autentiseringsprotokollet Kerberos version 5 och tillägg för autentisering med offentlig nyckel. Kerberos autentiseringsklienten implementeras som en SSP (Security Support Provider) och kan nås via SSPI (Security Support Provider Interface). Initial användarautentisering är integrerad med Winlogon-arkitekturen för enkel inloggning. Kerberos Key Distribution Center (KDC) är integrerat med andra säkerhetstjänster i Windows Server som körs på domänkontrollanten. KDC använder domänens Active Directory-katalogtjänstdatabas som säkerhetskontodatabas. Active Directory krävs för Kerberos standardimplementationer.
För ytterligare resurser, se Översikt över Kerberos-autentisering. |
| Säker autentisering på webben | TLS/SSL som implementeras i Schannel Security Support Provider | Transport Layer Security (TLS)-protokollet, versioner 1.0, 1.1 och 1.2, SSL-protokollet (Secure Sockets Layer), versionerna 2.0 och 3.0, Datagram Transport Layer Security-protokollet version 1.0 och PCT-protokollet (Private Communications Transport), version 1.0, bygger på kryptografi med offentliga nycklar. Protokollsviten för autentisering av leverantörer i Secure Channel (Schannel) innehåller dessa protokoll. Alla Schannel-protokoll använder en klient- och servermodell.
För ytterligare resurser, se TLS – SSL (Schannel SSP) Overview. |
| Autentisera dig till en webbtjänst eller ett program | Integrerad Windows-autentisering
Digest-autentisering |
För ytterligare resurser, se Integrerad Windows-autentisering och Digest-autentisering och Avancerad Digest-autentisering. |
| Autentisering till äldre program | NTLM | NTLM är ett autentiseringsprotokoll av typen utmaning-svar.Förutom autentisering tillhandahåller NTLM-protokollet valfritt sessionssäkerhet – särskilt meddelandeintegritet och konfidentialitet genom signerings- och förseglingsfunktioner i NTLM.
För ytterligare resurser, se NTLM Overview. |
| Använd flerfaktorsautentisering | Stöd för smarta kort
Biometriskt stöd |
Smarta kort är ett manipuleringssäkert och bärbart sätt att tillhandahålla säkerhetslösningar för uppgifter som t.ex. klientautentisering, inloggning på domäner, kodsignering och säkring av e-post.
Biometri bygger på att man mäter en oförändrad fysisk egenskap hos en person för att entydigt identifiera denna person. Fingeravtryck är en av de vanligaste biometriska egenskaperna, med miljontals biometriska enheter för fingeravtryck som är inbäddade i persondatorer och kringutrustning. För ytterligare resurser, se Smart Card Technical Reference. |
| Gör lokal hantering, lagring och återanvändning av autentiseringsuppgifter | Hantering av autentiseringsuppgifter
Lokal säkerhetsmyndighet Lösenord |
Hantering av autentiseringsuppgifter i Windows säkerställer att autentiseringsuppgifter lagras på ett säkert sätt. Referensuppgifter samlas in på det säkra skrivbordet (för lokal eller domänåtkomst), via appar eller via webbplatser så att rätt referenser visas varje gång en resurs nås. |
| Utöka modernt autentiseringsskydd till äldre system | Utökat skydd för autentisering | Den här funktionen förbättrar skyddet och hanteringen av autentiseringsuppgifter vid autentisering av nätverksanslutningar med hjälp av Integrerad Windows-autentisering (IWA). |
Mjukvarukrav
Windows-autentisering är utformad så att den är kompatibel med tidigare versioner av operativsystemet Windows. Förbättringar med varje version är dock inte nödvändigtvis tillämpliga på tidigare versioner. Se dokumentation om specifika funktioner för mer information.
Information om Serverhanteraren
Många autentiseringsfunktioner kan konfigureras med hjälp av Grupprincip, som kan installeras med Serverhanteraren. Funktionen Windows Biometric Framework installeras med hjälp av Serverhanteraren. Andra serverroller som är beroende av autentiseringsmetoder, t.ex. webbserver (IIS) och Active Directory Domain Services, kan också installeras med Serverhanteraren.
| Autentiseringsteknik | Resurser |
|---|---|
| Windows-autentisering | Teknisk översikt över Windows-autentisering Inkluderar ämnen som tar upp skillnader mellan olika versioner, generella autentiseringsbegrepp, inloggningsscenarier, arkitekturer för versioner som stöds och tillämpliga inställningar. |
| Kerberos | Översikt över Kerberos-autentisering
Översikt över begränsad delegering i Kerberos Teknisk referens för Kerberos-autentisering (2003) Kerberos-forum |
| TLS/SSL och DTLS (Schannel security support provider) | TLS – SSL (Schannel SSP) Overview
Schannel Security Support Provider Technical Reference |
| Digest Authentication | Digest Authentication Technical Reference(2003) |
| NTLM | NTLM Overview Innehåller länkar till aktuella och tidigare resurser |
| PKU2U | Introduktion av PKU2U i Windows |
| Smart Card | Teknisk referens för smartkort |
| Credentials | Credentials Skydd och hantering Innehåller länkar till aktuella och tidigare resurser Översikt över lösenord |