Procesy přihlašovacích údajů v ověřování systému Windows
Toto referenční téma pro IT profesionály popisuje, jak ověřování systému Windows zpracovává přihlašovací údaje.
Správa přihlašovacích údajů systému Windows je proces, pomocí kterého operační systém přijímá přihlašovací údaje ze služby nebo uživatele a zabezpečuje tyto informace pro budoucí prezentaci do ověřovacího cíle. V případě počítače připojeného k doméně je ověřovacím cílem řadič domény. Přihlašovací údaje použité při ověřování jsou digitální dokumenty, které přidružují identitu uživatele k nějaké formě ověření pravosti, jako je certifikát, heslo nebo PIN kód.
Ve výchozím nastavení se přihlašovací údaje systému Windows ověřují vůči databázi Správce účtů zabezpečení (SAM) v místním počítači nebo službě Active Directory v počítači připojeném k doméně prostřednictvím služby Winlogon. Přihlašovací údaje se shromažďují prostřednictvím vstupu uživatele v přihlašovacím uživatelském rozhraní nebo prostřednictvím programového rozhraní (API), které se mají předložit ověřovacímu cíli.
Místní informace o zabezpečení jsou uloženy v registru pod HKEY_LOCAL_MACHINE\SECURITY. Uložené informace zahrnují nastavení zásad, výchozí hodnoty zabezpečení a informace o účtu, jako jsou přihlašovací údaje uložené v mezipaměti. Tady je uložená také kopie databáze SAM, i když je chráněná proti zápisu.
Následující diagram znázorňuje požadované součásti a cesty, které přihlašovací údaje procházejí systémem k ověření uživatele nebo procesu úspěšného přihlášení.
Následující tabulka popisuje jednotlivé komponenty, které spravují přihlašovací údaje v procesu ověřování v okamžiku přihlášení.
komponenty ověřování pro všechny systémy
| Součást | Popis |
|---|---|
| Přihlášení uživatele | Winlogon.exe je spustitelný soubor zodpovědný za správu zabezpečených uživatelských interakcí. Služba Winlogon zahájí proces přihlášení pro operační systémy Windows předáním přihlašovacích údajů shromážděných akcí uživatele na zabezpečené ploše (přihlašovací uživatelské rozhraní) místní autoritě zabezpečení (LSA) prostřednictvím Secur32.dll. |
| Přihlášení k aplikaci | Přihlášení aplikací nebo služeb, která nevyžadují interaktivní přihlášení. Většina procesů iniciovaných uživatelem běží v uživatelském režimu pomocí Secur32.dll, zatímco procesy zahájené při spuštění, jako jsou služby, běží v režimu jádra pomocí Ksecdd.sys. Další informace o uživatelském režimu a režimu jádra naleznete v části Aplikace a uživatelský režim nebo služby a režim jádra v tomto tématu. |
| Secur32.dll | Množství poskytovatelů ověřování, kteří tvoří základ procesu autentizace. |
| Lsasrv.dll | Služba LSA Server, která vynucuje zásady zabezpečení a funguje jako správce balíčků zabezpečení pro LSA. LSA obsahuje funkci Negotiate, která po určení úspěšného protokolu vybere protokol NTLM nebo Kerberos. |
| Poskytovatelé podpory zabezpečení | Sada zprostředkovatelů, kteří mohou jednotlivě vyvolat jeden nebo více ověřovacích protokolů. Výchozí sada poskytovatelů se může měnit s každou verzí operačního systému Windows a vlastní zprostředkovatelé je možné zapsat. |
| Netlogon.dll | Služby, které služba Net Logon provádí, jsou následující: - Udržuje zabezpečený kanál počítače (nezaměňovat s Schannel) na řadič domény. |
| Samsrv.dll | Správce účtů zabezpečení (SAM), který ukládá místní účty zabezpečení, vynucuje místně uložené zásady a podporuje rozhraní API. |
| Registr | Registr obsahuje kopii databáze SAM, nastavení místních zásad zabezpečení, výchozí hodnoty zabezpečení a informace o účtu, které jsou přístupné pouze systému. |
Toto téma obsahuje následující části:
Zadávání přihlašovacích údajů pro přihlašování do aplikací a služeb
databáze Správce účtů zabezpečení
Zadání přihlašovacích údajů pro přihlášení uživatele
V systémech Windows Server 2008 a Windows Vista byla architektura GINA (Graphical Identification and Authentication) nahrazena modelem zprostředkovatele přihlašovacích údajů, který umožňuje vytvořit výčet různých typů přihlášení pomocí přihlašovacích dlaždic. Oba modely jsou popsány níže.
Architektura grafické identifikace a ověřování
Architektura GINA (Graphical Identification and Authentication) se vztahuje na operační systémy Windows Server 2003, Microsoft Windows 2000 Server, Windows XP a Windows 2000 Professional. V těchto systémech každá interaktivní přihlašovací relace vytvoří samostatnou instanci služby Winlogon. Architektura GINA se načte do procesního prostoru používaného winlogonem, přijme a zpracuje přihlašovací údaje a provede volání ověřovacích rozhraní prostřednictvím LSALogonUser.
Instance Winlogonu pro interaktivní přihlášení běží v Session 0. Sezení 0 hostuje systémové služby a další kritické procesy, včetně procesu LSA (Local Security Authority – Místní bezpečnostní úřad).
Následující diagram znázorňuje proces pověření pro systém Windows Server 2003, Microsoft Windows 2000 Server, Windows XP a Microsoft Windows 2000 Professional.
architektura poskytovatele přihlašovacích údajů
Architektura zprostředkovatele přihlašovacích údajů se vztahuje na verze uvedené v seznamu platí pro na začátku tohoto tématu. V těchto systémech se vstupní architektura přihlašovacích údajů změnila na rozšiřitelný návrh pomocí zprostředkovatelů přihlašovacích údajů. Tito poskytovatelé jsou reprezentováni různými přihlašovacími dlaždicemi na zabezpečené ploše, které umožňují libovolný počet přihlašovacích scénářů – různé účty pro stejného uživatele a různé metody ověřování, jako jsou heslo, čipová karta a biometrické údaje.
S architekturou zprostředkovatele přihlašovacích údajů služba Winlogon vždy spustí přihlašovací uživatelské rozhraní, jakmile obdrží událost zabezpečené sekvence pozornosti. Přihlašovací uživatelské rozhraní se dotazuje každého zprostředkovatele přihlašovacích údajů na počet různých typů přihlašovacích údajů, které je zprostředkovatel nakonfigurován k vypsání. Zprostředkovatelé přihlašovacích údajů mají možnost zadat jednu z těchto dlaždic jako výchozí. Poté, co všichni poskytovatelé připraví své dlaždice, zobrazí je uživateli přihlašovací uživatelské rozhraní. Uživatel pracuje s dlaždicí a zadává přihlašovací údaje. Přihlašovací uživatelské rozhraní odesílá tyto přihlašovací údaje k ověřování.
Zprostředkovatelé přihlašovacích údajů nejsou mechanismy vynucení. Slouží ke shromažďování a serializaci přihlašovacích údajů. Místní bezpečnostní autorita a ověřovací balíčky vynucují bezpečnostní opatření.
Poskytovatelé přihlašovacích údajů jsou zaregistrovaní v počítači a zodpovídají za následující:
Popis informací o přihlašovacích údaji požadovaných pro ověření
Zpracování komunikace a logiky s externími ověřovacími autoritami
Zabalení přihlašovacích údajů pro interaktivní přihlášení a přihlášení k síti
Zabalení přihlašovacích údajů pro interaktivní přihlášení a přihlášení k síti zahrnuje proces serializace. Když jsou přihlašovací údaje serializovány, na přihlašovacím uživatelském rozhraní lze zobrazit více přihlašovacích dlaždic. Proto může vaše organizace řídit zobrazení přihlášení, jako jsou uživatelé, cílové systémy pro přihlášení, předpřihlašovací přístup k síti a zásady uzamčení a odemknutí pracovních stanic – prostřednictvím použití přizpůsobených poskytovatelů přihlašovacích údajů. Na stejném počítači může existovat více zprostředkovatelů přihlašovacích údajů.
Poskytovatelé jednotného přihlašování (SSO) mohou být vyvíjeni jako standardní poskytovatelé přihlašovacích údajů nebo jako poskytovatelé Pre-Logon-Access.
Každá verze Windows obsahuje jednoho výchozího zprostředkovatele přihlašovacích údajů a jednoho výchozího zprostředkovatele předLogon-Access (PLAP), označovaného také jako zprostředkovatel jednotného přihlašování. Poskytovatel jednotného přihlašování umožňuje uživatelům vytvořit připojení k síti před přihlášením k místnímu počítači. Při implementaci tohoto zprostředkovatele nejsou v uživatelském rozhraní pro přihlášení uvedeny dlaždice.
Poskytovatel jednotného přihlašování je určený k použití v následujících scénářích:
Ověřování sítě a přihlášení k počítači zpracovává různí zprostředkovatelé přihlašovacích údajů. Mezi varianty tohoto scénáře patří:
Uživatel se může připojit k síti, jako je připojení k virtuální privátní síti (VPN), než se přihlásí k počítači, ale toto připojení se nevyžaduje.
K načtení informací používaných během interaktivního ověřování v místním počítači se vyžaduje ověření sítě.
Za několika síťovými ověřováními následuje jeden z dalších scénářů. Uživatel se například ověřuje u poskytovatele internetových služeb(ISP), ověřuje se v síti VPN a pak používá přihlašovací údaje svého uživatelského účtu k místnímu přihlášení.
Pověření uložená v mezipaměti jsou zakázaná a před místním přihlášením k ověření uživatele se vyžaduje připojení ke službě Vzdálený přístup prostřednictvím sítě VPN.
Uživatel domény nemá nastavený místní účet na počítači připojeném k doméně a musí před dokončením interaktivního přihlášení navázat připojení ke službě Vzdálený přístup prostřednictvím připojení VPN.
Ověřování sítě a přihlášení k počítači zpracovává stejný zprostředkovatel přihlašovacích údajů. V tomto scénáři se uživatel musí připojit k síti před přihlášením k počítači.
Výčet dlaždic přihlašovací obrazovky
Zprostředkovatel přihlašovacích údajů vytvoří výčet přihlašovacích dlaždic v následujících případech:
Pro tyto operační systémy určené v Platí pro seznam na začátku tohoto tématu.
Zprostředkovatel přihlašovacích údajů vytvoří výčet dlaždic pro přihlášení k pracovní stanici. Zprostředkovatel přihlašovacích údajů obvykle serializuje přihlašovací údaje pro ověřování pro místní autoritu zabezpečení. Tento proces zobrazuje dlaždice specifické pro každého uživatele a specifické pro cílové systémy jednotlivých uživatelů.
Architektura přihlašování a ověřování umožňuje uživateli použít dlaždice vytvořené zprostředkovatelem přihlašovacích údajů k odemknutí pracovní stanice. Aktuálně přihlášený uživatel je obvykle výchozí dlaždicí, ale pokud je přihlášených více uživatelů, zobrazí se celá řada dlaždic.
Poskytovatel přihlašovacích údajů vyčísluje dlaždice v reakci na žádost uživatele o změnu hesla nebo jiných soukromých informací, jako je pin kód. Aktuálně přihlášený uživatel je obvykle výchozí dlaždicí; Pokud je však přihlášeno více uživatelů, zobrazí se celá řada dlaždic.
Zprostředkovatel přihlašovacích údajů vytvoří výčet dlaždic na základě serializovaných přihlašovacích údajů, které se mají použít pro ověřování na vzdálených počítačích. Uživatelské rozhraní přihlašovacích údajů nepoužívá stejnou instanci poskytovatele jako přihlašovací UI, UI pro odemknutí pracovní stanice nebo změnu hesla. Informace o stavu proto nelze udržovat ve zprostředkovateli mezi instancemi uživatelského rozhraní přihlašovacích údajů. Výsledkem této struktury je jedna dlaždice pro každé přihlášení ke vzdálenému počítači za předpokladu, že jsou přihlašovací údaje správně serializovány. Tento scénář se používá také v nástroji Řízení uživatelských účtů (UAC), který může pomoct zabránit neoprávněným změnám počítače tím, že uživatele vyzve k zadání oprávnění nebo hesla správce před povolením akcí, které by mohly ovlivnit operaci počítače nebo které by mohly změnit nastavení, která mají vliv na ostatní uživatele počítače.
Následující diagram znázorňuje proces pověření pro operační systémy určené v platí pro seznam na začátku tohoto tématu.
Zadání přihlašovacích údajů pro přihlášení k aplikacím a službám
Ověřování systému Windows je určeno ke správě přihlašovacích údajů pro aplikace nebo služby, které nevyžadují interakci uživatele. Aplikace v uživatelském režimu jsou omezené na to, k jakým systémovým prostředkům mají přístup, zatímco služby můžou mít neomezený přístup k systémové paměti a externím zařízením.
Systémové služby a aplikace na úrovni přenosu přistupují k poskytovateli podpory zabezpečení (SSP) prostřednictvím rozhraní SSPI (Security Support Provider Interface) ve Windows, který poskytuje funkce pro výčet balíčků zabezpečení dostupných v systému, výběru balíčku a jeho použití k získání ověřeného připojení.
Při ověření připojení klienta nebo serveru:
Aplikace na straně klienta připojení odesílá přihlašovací údaje na server pomocí funkce SSPI
InitializeSecurityContext (General).Aplikace na straně serveru připojení reaguje funkcí SSPI
AcceptSecurityContext (General).Funkce SSPI
InitializeSecurityContext (General)aAcceptSecurityContext (General)se opakují, dokud nebudou všechny potřebné ověřovací zprávy vyměněny za úspěšné nebo neúspěšné ověření.Po ověření připojení používá LSA na serveru informace z klienta k sestavení kontextu zabezpečení, který obsahuje přístupový token.
Server pak může volat funkci SSPI
ImpersonateSecurityContext, aby připojil přístupový token k vláknu zosobnění služby.
aplikace a uživatelský režim
Uživatelský režim ve Windows se skládá ze dvou systémů schopných předávat vstupně-výstupní požadavky příslušným ovladačům režimu jádra: systém prostředí, který spouští aplikace napsané pro mnoho různých typů operačních systémů, a celočíselný systém, který provozuje funkce specifické pro systém jménem systému prostředí.
Integrovaný systém spravuje funkce specifické pro operační systém pro systém prostředí a skládá se z procesu bezpečnostního systému (LSA), služby pracovní stanice a služby serveru. Proces systému zabezpečení se zabývá tokeny zabezpečení, uděluje nebo odepře oprávnění pro přístup k uživatelským účtům na základě oprávnění prostředků, zpracovává žádosti o přihlášení a spouští ověřování přihlášení a určuje systémové prostředky, které musí operační systém auditovat.
Aplikace se mohou spouštět v uživatelském režimu, kde může běžet pod libovolnou hlavní identitou, včetně v rámci zabezpečení místního systému (SYSTEM). Aplikace se také můžou spouštět v režimu jádra, kde může aplikace běžet v kontextu zabezpečení místního systému (SYSTEM).
SSPI je k dispozici prostřednictvím modulu Secur32.dll, což je rozhraní API používané k získání integrovaných služeb zabezpečení pro ověřování, integritu zpráv a ochranu osobních údajů zpráv. Poskytuje abstrakční vrstvu mezi protokoly na úrovni aplikace a protokoly zabezpečení. Vzhledem k tomu, že různé aplikace vyžadují různé způsoby identifikace nebo ověřování uživatelů a různých způsobů šifrování dat při cestě po síti, poskytuje SSPI způsob, jak přistupovat k knihovnám DLL s dynamickým propojením, které obsahují různé ověřovací a kryptografické funkce. Tyto knihovny DLL se nazývají poskytovatelé podpory zabezpečení (SSP).
Účty spravovaných služeb a virtuální účty byly zavedeny v systémech Windows Server 2008 R2 a Windows 7, aby poskytovaly klíčové aplikace, jako je Microsoft SQL Server a Internetová informační služba (IIS), s izolací vlastních doménových účtů a současně eliminuje nutnost správce ručně spravovat hlavní název služby (SPN) a přihlašovací údaje pro tyto účty. Další informace o těchto funkcích a jejich rolích při ověřování najdete v dokumentaci k účtům spravované služby pro Windows 7 a Windows Server 2008 R2 a účty spravované služby skupiny – přehled.
služby a režim jádra
I když většina aplikací pro Windows běží v kontextu zabezpečení uživatele, který je spustí, není to pravda o službách. Mnoho služeb systému Windows, jako jsou síťové a tiskové služby, spouští kontroler služby při spuštění počítače. Tyto služby můžou běžet jako místní služba nebo místní systém a můžou běžet i po odhlášení posledního uživatele člověka.
Poznámka:
Služby se obvykle spouštějí v kontextech zabezpečení označovaných jako Místní systém (SYSTEM), Síťová služba nebo Místní služba. Windows Server 2008 R2 zavedl služby, které běží pod účtem spravované služby, což jsou objekty zabezpečení domény.
Před spuštěním služby se kontroler služby přihlásí pomocí účtu, který je určený pro službu, a pak zobrazí přihlašovací údaje služby pro ověřování LSA. Služba Systému Windows implementuje programové rozhraní, které může správce kontroleru služby použít k řízení služby. Službu Systému Windows je možné spustit automaticky při spuštění systému nebo ručně pomocí programu řízení služeb. Když se například klientský počítač s Windows připojí k doméně, služba messenger v počítači se připojí k řadiči domény a otevře zabezpečený kanál. Aby služba získala ověřené připojení, musí mít přihlašovací údaje, kterým důvěřuje místní autorita zabezpečení vzdáleného počítače (LSA). Při komunikaci s jinými počítači v síti používá LSA přihlašovací údaje pro účet domény místního počítače, stejně jako všechny ostatní služby spuštěné v kontextu zabezpečení místního systému a síťové služby. Služby v místním počítači běží jako SYSTEM, takže přihlašovací údaje nemusí být předloženy LSA.
Soubor Ksecdd.sys spravuje a šifruje tyto přihlašovací údaje a používá volání místní procedury do LSA. Typ souboru je DRV (ovladač), známý jako poskytovatel zabezpečení v režimu jádra (SSP). V těch verzích, které jsou uvedeny na začátku tohoto tématu v seznamu platí pro, splňuje standard FIPS 140-2, úroveň 1.
Režim jádra má úplný přístup k hardwarovým a systémovým prostředkům počítače. Režim jádra zastaví služby a aplikace v uživatelském režimu v přístupu ke kritickým oblastem operačního systému, ke kterým by neměly mít přístup.
Místní bezpečnostní autorita
Místní úřad zabezpečení (LSA) je chráněný systémový proces, který ověřuje a přihlašuje uživatele na místní počítač. Kromě toho LSA udržuje informace o všech aspektech místního zabezpečení na počítači (tyto aspekty se souhrnně označují jako místní zásady zabezpečení) a poskytuje různé služby pro překlad mezi názvy a identifikátory zabezpečení (SID). Proces systému zabezpečení, služba LSASS (Local Security Authority Server Service), sleduje zásady zabezpečení a účty, které mají vliv na počítačový systém.
LSA ověří identitu uživatele na základě toho, která z následujících dvou entit vydala účet uživatele:
Místní bezpečnostní autorita. LSA může ověřit informace o uživatelích kontrolou databáze Správce účtů zabezpečení (SAM), která se nachází na stejném počítači. Každá pracovní stanice nebo členský server může ukládat místní uživatelské účty a informace o místních skupinách. Tyto účty se ale dají použít pouze pro přístup k dané pracovní stanici nebo počítači.
Autorita zabezpečení pro místní doménu nebo důvěryhodnou doménu. LSA kontaktuje entitu, která účet vydala, a požádá o ověření, že účet je platný a že žádost pochází od držitele účtu.
Služba podsystému místní bezpečnostní autority (LSASS) ukládá přihlašovací údaje v paměti pro uživatele s aktivními relacemi systému Windows. Uložené přihlašovací údaje umožňují uživatelům bezproblémový přístup k síťovým prostředkům, jako jsou sdílené složky, poštovní schránky Exchange Serveru a sharepointové weby, aniž by museli znovu zadávat přihlašovací údaje pro každou vzdálenou službu.
LSASS může ukládat přihlašovací údaje ve více formulářích, včetně:
Reverzibilní šifrovaný prostý text
Lístky Kerberos (lístky TGT), lístky služeb)
Hodnota hash NT
Hodnota hash LAN Manageru (LM)
Pokud se uživatel přihlásí k Windows pomocí čipové karty, LSASS neukládá heslo v prostém textu, ale ukládá odpovídající hodnotu NT hash pro účet a PIN v prostém textu pro čipovou kartu. Pokud je atribut účtu povolený pro čipovou kartu, která je vyžadována pro interaktivní přihlášení, je pro účet automaticky generována náhodná hodnota hash NT místo původní hodnoty hash hesla. Hodnota hash hesla, která se automaticky vygeneruje při nastavení atributu, se nezmění.
Pokud se uživatel přihlásí k počítači se systémem Windows pomocí hesla, které je kompatibilní s hodnotami hash LAN Manageru (LM), bude tento ověřovací objekt v paměti.
Úložiště přihlašovacích údajů ve formátu prostého textu v paměti nelze zakázat, a to ani v případě, že jsou zprostředkovatelé přihlašovacích údajů, které je vyžadují, zakázané.
Uložené přihlašovací údaje jsou přímo přidružené k přihlašovacím relacím místní služby LSASS (Local Security Authority Subsystem Service), které byly spuštěny po posledním restartování a nebyly uzavřeny. Například relace LSA s uloženými přihlašovacími údaji se vytvoří, když uživatel vykoná některou z následujících činností:
Přihlásí se k místní relaci nebo relaci protokolu RDP (Remote Desktop Protocol) v počítači.
Spustí úlohu pomocí možnosti Spustit jako.
Spustí aktivní službu systému Windows na počítači.
Spustí naplánovanou úlohu nebo dávkovou úlohu.
Spustí úlohu na místním počítači pomocí nástroje pro vzdálenou správu.
V některých případech jsou tajné kódy LSA, což jsou tajné údaje, které jsou přístupné pouze pro procesy účtu SYSTEM, uloženy na pevném disku. Některé z těchto tajných kódů jsou přihlašovací údaje, které se musí po restartování zachovat a jsou uloženy v šifrované podobě na pevném disku. Přihlašovací údaje uložené jako tajné kódy LSA můžou zahrnovat:
Heslo účtu služby Active Directory Domain Services (AD DS) pro počítač
Hesla účtů pro služby systému Windows nakonfigurované v počítači
Hesla účtů pro nakonfigurované naplánované úlohy
Hesla účtů pro fondy aplikací a weby služby IIS
Hesla pro účty Microsoft
V systému Windows 8.1 poskytuje klientský operační systém dodatečnou ochranu pro LSA, aby se zabránilo čtení paměti a injektáže kódu nechráněným procesem. Tato ochrana zvyšuje zabezpečení přihlašovacích údajů, které LSA ukládá a spravuje.
Další informace o těchto dalších ochraně naleznete v tématu Konfigurace další ochrany LSA.
Přihlašovací údaje a ověřování uložené v mezipaměti
Mechanismy ověřování spoléhají na prezentaci přihlašovacích údajů v době přihlášení. Pokud je však počítač odpojený od řadiče domény a uživatel prezentuje přihlašovací údaje domény, systém Windows používá proces přihlašovacích údajů uložených v mezipaměti v ověřovacím mechanismu.
Pokaždé, když se uživatel přihlásí k doméně, systém Windows uloží zadané přihlašovací údaje do mezipaměti a uloží je do podregistru zabezpečení v registru operačního systému.
S přihlašovacími údaji uloženými v mezipaměti se uživatel může přihlásit k členu domény, aniž by se připojil k řadiči domény v této doméně.
Úložiště a ověřování přihlašovacích údajů
Není vždy žádoucí použít jednu sadu přihlašovacích údajů pro přístup k různým prostředkům. Správce může například chtít použít administrativní přihlašovací údaje namísto uživatelských při přístupu ke vzdálenému serveru. Podobně platí, že pokud uživatel přistupuje k externím prostředkům, jako je bankovní účet, může používat jenom přihlašovací údaje, které se liší od přihlašovacích údajů domény. Následující části popisují rozdíly ve správě přihlašovacích údajů mezi aktuálními verzemi operačních systémů Windows a operačními systémy Windows Vista a Windows XP.
Procesy přihlašovacích údajů vzdáleného přihlášení
Protokol RDP (Remote Desktop Protocol) spravuje přihlašovací údaje uživatele, který se připojuje ke vzdálenému počítači pomocí klienta vzdálené plochy, který byl zaveden v systému Windows 8. Přihlašovací údaje ve formátu prostého textu se odesílají cílovému hostiteli, kde se hostitel pokusí provést proces ověřování, a v případě úspěchu připojí uživatele k povoleným prostředkům. Protokol RDP neukládá přihlašovací údaje do klienta, ale přihlašovací údaje domény uživatele se ukládají do LSASS.
Zavedený ve Windows Serveru 2012 R2 a Windows 8.1 poskytuje režim Restricted Admin další zabezpečení pro scénáře vzdáleného přihlášení. Tento režim vzdálené plochy způsobí, že klientská aplikace provede výzvu k přihlášení do sítě pomocí jednosměrné funkce NT (NTOWF) nebo použije vstupenku služby Kerberos při autentizaci vůči vzdálenému hostiteli. Po ověření správce nemá správce příslušné přihlašovací údaje účtu v LSASS, protože nebyly dodány vzdálenému hostiteli. Místo toho má správce přihlašovací údaje účtu počítače pro relaci. Přihlašovací údaje správce nejsou zadané vzdálenému hostiteli, takže akce se provádějí jako účet počítače. Prostředky jsou také omezeny na účet počítače a správce nemůže získat přístup k prostředkům pomocí vlastního účtu.
Proces automatického restartování přihlašovacích údajů
Když se uživatel přihlásí k zařízení s Windows 8.1, LSA uloží přihlašovací údaje uživatele v zašifrované paměti, které jsou přístupné pouze LSASS.exe. Když služba Windows Update zahájí automatické restartování bez přítomnosti uživatele, použijí se tyto přihlašovací údaje ke konfiguraci automatickéhologu pro uživatele.
Při restartování se uživatel automaticky přihlásí pomocí mechanismu autologonu a poté se počítač dodatečně uzamkne, aby chránil uživatelskou relaci. Uzamčení se zahájí prostřednictvím Winlogonu, zatímco správa přihlašovacích údajů provádí LSA. Díky automatickému přihlášení a uzamčení uživatelovy relace na konzoli se aplikace zamykací obrazovky restartují a jsou k dispozici.
Další informace o ARSO naleznete v tématu Winlogon Automatické restartování Sign-On (ARSO).
Uložená uživatelská jména a hesla v systémech Windows Vista a Windows XP
V systémech Windows Server 2008 , Windows Server 2003, Windows Vista a Windows XP Uložená uživatelská jména a hesla v Ovládacích panelech zjednodušuje správu a používání více sad přihlašovacích údajů, včetně certifikátů X.509 používaných s čipovými kartami a přihlašovacími údaji windows Live (nyní se nazývá účet Microsoft). Přihlašovací údaje – součást profilu uživatele – se ukládají, dokud nebude potřeba. Tato akce může zvýšit zabezpečení pro jednotlivé prostředky tím, že zajistí, že pokud dojde k ohrožení jednoho hesla, neohrozí veškeré zabezpečení.
Po přihlášení uživatele a pokusu o přístup k dalším prostředkům chráněným heslem, jako je například sdílená složka na serveru, a pokud výchozí přihlašovací údaje uživatele nestačí k získání přístupu, uložená uživatelská jména a hesla se dotazuje. Pokud byly alternativní přihlašovací údaje se správnými přihlašovacími informacemi uloženy v uložených uživatelských jmen a hesel, použijí se k získání přístupu tyto přihlašovací údaje. V opačném případě se uživateli zobrazí výzva k zadání nových přihlašovacích údajů, které je pak možné uložit pro opakované použití, a to buď později v přihlašovací relaci, nebo během další relace.
Platí následující omezení:
Pokud uložená uživatelská jména a hesla obsahují neplatné nebo nesprávné přihlašovací údaje pro určitý prostředek, přístup k prostředku se odepře a dialogové okno Uložená uživatelská jména a hesla se nezobrazí.
Uložená uživatelská jména a hesla ukládají přihlašovací údaje pouze pro ověřování protokol NTLM, Kerberos, účet Microsoft (dříve Windows Live ID) a ověřování SSL (Secure Sockets Layer). Některé verze Internet Exploreru udržují svou vlastní mezipaměť pro základní ověřování.
Tyto přihlašovací údaje se stanou zašifrovanou součástí místního profilu uživatele v adresáři \Documents and Settings\Username\Application Data\Microsoft\Credentials. V důsledku toho se tyto přihlašovací údaje mohou pohybovat s uživatelem, pokud zásady sítě uživatele podporují putující profily uživatelů. Pokud ale uživatel má kopie uložených uživatelských jmen a hesel na dvou různých počítačích a změní přihlašovací údaje přidružené k prostředku na jednom z těchto počítačů, změna se nerozšíší na Uložená uživatelská jména a hesla na druhém počítači.
Windows Vault a Správce přihlašovacích údajů
Správce přihlašovacích údajů byl představen v systémech Windows Server 2008 R2 a Windows 7 jako funkce Ovládacích panelů pro ukládání a správu uživatelských jmen a hesel. Správce přihlašovacích údajů umožňuje uživatelům ukládat přihlašovací údaje relevantní pro jiné systémy a weby v zabezpečeném trezoru Windows. Některé verze Internet Exploreru tuto funkci používají k ověřování na webech.
Správa přihlašovacích údajů pomocí Správce přihlašovacích údajů je řízena uživatelem na místním počítači. Uživatelé můžou ukládat a ukládat přihlašovací údaje z podporovaných prohlížečů a aplikací pro Windows, aby se mohli pohodlně přihlásit k těmto prostředkům. Přihlašovací údaje se ukládají do speciálních zašifrovaných složek v počítači v profilu uživatele. Aplikace, které tuto funkci podporují (prostřednictvím rozhraní API Správce přihlašovacích údajů), jako jsou webové prohlížeče a aplikace, mohou během procesu přihlášení prezentovat správné přihlašovací údaje jiným počítačům a webům.
Když web, aplikace nebo jiný počítač požaduje ověření prostřednictvím protokolu NTLM nebo Kerberos, zobrazí se dialogové okno, ve kterém zaškrtnete políčko Aktualizovat výchozí přihlašovací údaje nebo Uložit heslo. Toto dialogové okno, které umožňuje uživateli uložit přihlašovací údaje místně, je generováno aplikací, která podporuje rozhraní API Správce přihlašovacích údajů. Pokud uživatel zaškrtne políčko Uložit heslo, správce přihlašovacích údajů sleduje uživatelské jméno, heslo a související informace o používané ověřovací službě.
Při příštím použití služby správce přihlašovacích údajů automaticky dodá přihlašovací údaje uložené ve službě Windows Vault. Pokud není akceptovaná, zobrazí se uživateli výzva k zadání správných přístupových informací. Pokud je přístup udělen pomocí nových přihlašovacích údajů, Správce přihlašovacích údajů přepíše předchozí přihlašovací údaje novým přihlašovacím údajem a uloží nové přihlašovací údaje do trezoru Windows.
Databáze Správce účtů zabezpečení
Správce účtů zabezpečení (SAM) je databáze, ve které jsou uložené místní uživatelské účty a skupiny. Nachází se v každém operačním systému Windows; Pokud je však počítač připojený k doméně, služba Active Directory spravuje účty domény v doménách služby Active Directory.
Klientské počítače s operačním systémem Windows se například účastní síťové domény tím, že komunikují s řadičem domény i v případě, že není přihlášen žádný uživatel. Aby mohl počítač zahájit komunikaci, musí mít v doméně aktivní účet. Před přijetím komunikace z počítače ověří LSA na řadiči domény identitu počítače a pak vytvoří kontext zabezpečení počítače stejně jako pro objekt zabezpečení člověka. Tento kontext zabezpečení definuje identitu a možnosti uživatele nebo služby v určitém počítači, uživateli, službě nebo počítači v síti. Přístupový token obsažený v kontextu zabezpečení například definuje prostředky (například sdílenou složku nebo tiskárnu), ke kterým je možné přistupovat, a akce (například čtení, zápis nebo úpravy), které může tento objekt zabezpečení provést – uživatel, počítač nebo služba daného prostředku.
Kontext zabezpečení uživatele nebo počítače se může lišit od jednoho počítače k druhému, například když se uživatel přihlásí k serveru nebo k jiné pracovní stanici, než je vlastní primární pracovní stanice uživatele. Může se také lišit od jedné relace po jinou, například když správce upraví práva a oprávnění uživatele. Kontext zabezpečení se navíc obvykle liší, když uživatel nebo počítač pracuje samostatně, v síti nebo jako součást domény služby Active Directory.
Místní domény a důvěryhodné domény
Pokud mezi dvěma doménami existuje vztah důvěryhodnosti, mechanismy ověřování pro každou doménu spoléhají na platnost ověřování pocházejících z druhé domény. Vztahy důvěry pomáhají poskytovat řízený přístup ke sdíleným prostředkům v důvěřující doméně tím, že ověřují, že příchozí žádosti o ověření pocházejí z důvěryhodné autority v důvěryhodné doméně. Tímto způsobem fungují důvěry jako mosty, které umožňují předávat pouze ověřené autentizační požadavky mezi doménami.
Způsob, jakým důvěryhodná doména předává požadavky na ověřování, závisí na její konfiguraci. Vztahy důvěryhodnosti můžou být jednosměrné tím, že poskytují přístup z důvěryhodné domény k prostředkům v důvěryhodné doméně nebo obousměrně tím, že z každé domény poskytují přístup k prostředkům v druhé doméně. Vztahy důvěryhodnosti jsou také netransitivní, v takovém případě existuje vztah důvěryhodnosti pouze mezi dvěma partnerskými doménami vztahu důvěryhodnosti, nebo tranzitivní, v takovém případě se vztah důvěryhodnosti automaticky rozšíří na všechny ostatní domény, kterým některý z partnerů důvěřuje.
Informace o důvěryhodných vztazích domén a lesů týkajících se ověřování najdete v tématu Delegované ověřování a vztahy důvěryhodnosti.
Certifikáty v ověřování systému Windows
Infrastruktura veřejných klíčů (PKI) je kombinace softwarových, šifrovacích technologií, procesů a služeb, které organizaci umožňují zabezpečit komunikaci a obchodní transakce. Schopnost infrastruktury veřejných klíčů zabezpečit komunikaci a obchodní transakce je založená na výměně digitálních certifikátů mezi ověřenými uživateli a důvěryhodnými prostředky.
Digitální certifikát je elektronický dokument, který obsahuje informace o entitě, do které patří, entitu, do které byla vydána, jedinečné sériové číslo nebo jiné jedinečné identifikační číslo, datum vystavení a vypršení platnosti a digitální otisk prstu.
Ověřování je proces určení, jestli může být vzdálený hostitel důvěryhodný. Aby bylo možné vytvořit jeho důvěryhodnost, musí vzdálený hostitel poskytnout přijatelný ověřovací certifikát.
Vzdálení hostitelé navazují svou důvěryhodnost získáním certifikátu od certifikační autority (CA). Certifikační autorita zase může mít certifikaci od vyšší autority, která vytvoří řetězec důvěryhodnosti. Pokud chcete zjistit, jestli je certifikát důvěryhodný, musí aplikace určit identitu kořenové certifikační autority a pak určit, jestli je důvěryhodný.
Podobně musí vzdálený hostitel nebo místní počítač určit, jestli je certifikát prezentovaný uživatelem nebo aplikací autentický. Certifikát předaný uživatelem prostřednictvím LSA a SSPI je na místním počítači, v síti nebo v doméně prostřednictvím úložišť certifikátů ve službě Active Directory vyhodnocován z hlediska pravosti pro místní přihlášení.
Aby bylo možno vytvořit certifikát, ověřovací data procházejí hashovacími algoritmy, jako je například Secure Hash Algorithm 1 (SHA1), aby se vytvořil otisk zprávy. Hodnota hash zprávy se pak digitálně podepíše pomocí soukromého klíče odesílatele, aby bylo prokázáno, že odesílatel vytvořil hodnotu hash zprávy.
Poznámka:
SHA1 je výchozí nastavení ve Windows 7 a Windows Vista, ale bylo změněno na SHA2 ve Windows 8.
ověřování pomocí čipové karty
Příkladem ověřování založeného na certifikátech je technologie čipových karet. Přihlášení k síti pomocí čipové karty poskytuje silnou formu ověřování, protože při ověřování uživatele v doméně používá identifikaci na základě kryptografie a doklad o vlastnictví. Služba AD CS (Active Directory Certificate Services) poskytuje kryptografickou identifikaci prostřednictvím vystavení přihlašovacího certifikátu pro každou čipovou kartu.
Informace o ověřování čipové karty naleznete v Windows Smart Card Technical Reference.
Technologie virtuálních čipových karet byla zavedena ve Windows 8. Uloží certifikát čipové karty do počítače a pak ho chrání pomocí čipu TPM (Trusted Platform Module) odolného proti manipulaci zařízení. Tímto způsobem se počítač skutečně stane čipovou kartou, která musí obdržet PIN kód uživatele, aby bylo možné ověřit.
vzdáleného a bezdrátového ověřování
Vzdálené a bezdrátové síťové ověřování je další technologie, která k ověřování používá certifikáty. Servery služby IAS (Internet Authentication Service) a virtuální privátní sítě používají Protocol-Transport k provádění ověřování na základě certifikátů mnoho typů síťového přístupu, včetně virtuální privátní sítě (VPN) a bezdrátových připojení(EAP-TLS), protokolu PEAP (Protected Extensible Authentication Protocol) nebo IPsec (Internet Protocol Security).
Informace o ověřování založeném na certifikátech v sítích naleznete v tématu Ověřování přístupu k síti a certifikáty.