Windows-Authentifizierungskonzepte
In diesem Referenzübersichtsthema werden die Konzepte beschrieben, auf denen Windows-Authentifizierung basiert.
Authentifizierung ist der Vorgang, durch den die Identität eines Objekts oder einer Person überprüft wird. Ziel der Authentifizierung eines Objekts ist es, sicherzustellen, dass das Objekt echt und unverfälscht ist. Wenn Sie eine Person authentifizieren, besteht das Ziel darin, sicherzustellen, dass die Person kein Betrüger ist.
Im Netzwerkkontext dient die Authentifizierung dazu, die Identität gegenüber einer Netzwerkanwendung oder -ressource nachzuweisen. Die Identität wird üblicherweise durch einen kryptografischen Vorgang nachgewiesen, für den entweder ein Schlüssel, der nur dem Benutzer bekannt ist (wie beispielsweise bei der Kryptografie mit öffentlichem Schlüssel), oder ein vorinstallierter Schlüssel verwendet wird. Auf der Serverseite der Authentifizierungskommunikation werden die signierten Daten mit einem bekannten Kryptografieschlüssel verglichen, um den Authentifizierungsversuch zu überprüfen.
Durch die Speicherung der Kryptografieschlüssel an einem zentralen Ort wird der Authentifizierungsvorgang skalierbar und verwaltbar. Active Directory ist die empfohlene und standardmäßige Technologie zum Speichern von Identitätsinformationen, einschließlich der kryptografischen Schlüssel, die die Anmeldeinformationen des Benutzers darstellen. Active Directory ist für Standardimplementierungen von Kerberos und NTLM erforderlich.
Die Authentifizierungstechniken reichen von einer einfachen Anmeldung bis zu einem Betriebssystem oder einer Anmeldung bei einem Dienst oder einer Anwendung, die Benutzer anhand von etwas identifiziert, das nur der Benutzer kennt, z. B. ein Kennwort, bis hin zu leistungsfähigeren Sicherheitsmechanismen, die etwas verwenden, das der Benutzer besitzt, z. B. Token, Zertifikate für öffentliche Schlüssel, Bilder oder biologische Attribute. In einer Unternehmensumgebung ist es Benutzer eventuell möglich, auf unterschiedliche Anwendungen auf verschiedenen Arten von Servern an einem einzigen Standort oder auch standortübergreifend zugreifen. Aus diesem Grund muss die Authentifizierung Umgebungen unterstützen, die auf anderen Plattformen und anderen Windows-Betriebssystemen basieren.
Authentifizierung und Autorisierung: Eine Reiseanalogie
Eine Reiseanalogie kann helfen, die Funktionsweise der Authentifizierung zu erklären. Zu Beginn der Journey sind in der Regel einige vorbereitende Aufgaben notwendig. Der Reisende muss seinen Gastbehörden seine wahre Identität nachweisen. Dieser Nachweis kann in Form eines Nachweises der Staatsangehörigkeit, des Geburtsortes, eines persönlichen Gutscheins, Fotos oder was auch immer nach dem Gesetz des Gastlandes erforderlich ist. Die Identität des Reisenden wird durch die Ausstellung eines Passes bestätigt, der einem Systemkonto entspricht, das von einer Organisation – dem Sicherheitsprinzipal – ausgestellt und verwaltet wird. Der Pass und das bestimmungsgemäße Ziel basieren auf einer Reihe von Regeln und Vorschriften, die von der Regierungsbehörde ausgestellt wurden.
Die Journey
Wenn der Reisende an der internationalen Grenze eintrifft, fragt ein Grenzbeamter nach Anmeldeinformationen, und der Reisende legt seinen Reisepass vor. Der Prozess ist zweifach:
Der Beamte authentifiziert den Reisepass, indem er überprüft, ob er von einer Sicherheitsbehörde ausgestellt wurde, der die lokale Regierung vertraut (vertraut zumindest auf die Ausstellung von Pässen) und indem er überprüft, ob der Reisepass nicht geändert wurde.
Der Beamte authentifiziert den Reisenden, indem er überprüft, ob das Gesicht mit dem Gesicht der auf dem Reisepass abgebildeten Person übereinstimmt und ob andere erforderliche Anmeldeinformationen in Ordnung sind.
Erweist sich der Reisepass als gültig und der Reisende als dessen Besitzer, ist die Authentifizierung erfolgreich und der Reisende kann über die Grenze einreisen.
Transitives Vertrauen zwischen Sicherheitsbehörden ist die Grundlage der Authentifizierung; die Art der Authentifizierung, die an einer internationalen Grenze stattfindet, basiert auf Vertrauen. Die lokale Regierung kennt den Reisenden nicht, vertraut aber darauf, dass die Regierung des Gastlandes ihn kennt. Als die Gastgeberregierung den Reisepass ausstellte, kannte sie den Reisenden auch nicht. Sie vertraute der Behörde, die die Geburtsurkunde oder andere Unterlagen ausgestellt hat. Die Behörde, die die Geburtsurkunde ausgestellt hat, vertraute wiederum dem Arzt, der die Urkunde unterschrieben hat. Der Arzt war Zeuge der Geburt des Reisenden und stempelte die Urkunde mit einem direkten Identitätsnachweis, in diesem Fall mit dem Fußabdruck des Neugeborenen. Vertrauen, das auf diese Weise über vertrauenswürdige Vermittler übertragen wird, ist transitiv.
Transitive Vertrauensstellung ist die Grundlage für die Netzwerksicherheit in der Windows-Client-/Serverarchitektur. Eine Vertrauensstellung fließt durch eine Reihe von Domänen, wie z. B. eine Domänenstruktur, und bildet eine Beziehung zwischen einer Domäne und allen Domänen, die dieser Domäne vertrauen. Wenn Domäne A beispielsweise eine transitive Vertrauensstellung mit Domäne B aufweist und Domäne B Domäne C vertraut, dann vertraut Domäne A Domäne C.
Es gibt einen Unterschied zwischen Authentifizierung und Autorisierung. Mit der Authentifizierung beweist das System, dass Sie die Person sind, für die Sie sich ausgeben. Mit der Autorisierung überprüft das System, dass Sie über die Rechte verfügen, um das zu tun, was Sie tun möchten. Um die Grenzanalogie zum nächsten Schritt zu führen, berechtigt die bloße Authentifizierung, dass der Reisende der richtige Besitzer eines gültigen Reisepasses ist, den Reisenden nicht notwendigerweise zur Einreise in ein Land. Einwohner eines bestimmten Landes dürfen nur dann in ein anderes Land einreisen, indem sie einfach einen Reisepass vorlegen, wenn das Land, in das sie einreisen, allen Bürgern dieses bestimmten Landes eine uneingeschränkte Einreisegenehmigung gewährt.
Ebenso können Sie allen Benutzern aus einer bestimmten Domäne Berechtigungen für den Zugriff auf eine Ressource erteilen. Jeder Benutzer, der zu dieser Domäne gehört, hat Zugriff auf die Ressource, so wie Kanada US-Bürger nach Kanada einreisen lässt. US-Bürger, die versuchen, nach Brasilien oder Indien einzureisen, stellen jedoch fest, dass sie in diese Länder nicht einreisen können, indem sie lediglich einen Reisepass vorlegen, da beide Länder von US-Bürgern verlangen, dass sie ein gültiges Visum haben. Daher garantiert die Authentifizierung weder den Zugriff auf Ressourcen noch die Autorisierung zur Verwendung von Ressourcen.
Anmeldeinformationen
Achtung
Wenn ein Benutzer eine lokale Anmeldung durchführt, werden ihre Anmeldeinformationen lokal anhand einer zwischengespeicherten Kopie überprüft, bevor sie mit einem Identitätsanbieter über das Netzwerk authentifiziert werden. Wenn die Cacheüberprüfung erfolgreich ist, erhält der Benutzer Zugriff auf den Desktop, auch wenn das Gerät offline ist. Wenn der Benutzer jedoch sein Kennwort in der Cloud ändert, wird der zwischengespeicherte Prüfer nicht aktualisiert, was bedeutet, dass er weiterhin mit dem alten Kennwort auf seinen lokalen Computer zugreifen kann.
Ein Reisepass und möglicherweise zugehörige Visa sind die akzeptierten Anmeldeinformationen für einen Reisenden. Diese Anmeldeinformationen ermöglichen es einem Reisenden jedoch möglicherweise nicht, alle Ressourcen innerhalb eines Landes zu betreten oder darauf zuzugreifen. Beispielsweise sind für die Teilnahme an einer Konferenz zusätzliche Anmeldeinformationen erforderlich. In Windows können Anmeldeinformationen verwaltet werden, damit Kontoinhaber über das Netzwerk auf Ressourcen zugreifen können, ohne ihre Anmeldeinformationen wiederholt eingeben zu müssen. Mit dieser Zugriffsart können Benutzer einmal vom System authentifiziert werden, um auf alle Anwendungen und Datenquellen zuzugreifen, für die sie autorisiert sind, ohne einen anderen Kontobezeichner oder ein anderes Kennwort einzugeben. Die Windows-Plattform profitiert von der Möglichkeit, eine einzelne Benutzeridentität (verwaltet von Active Directory) im gesamten Netzwerk zu verwenden, indem Benutzeranmeldeinformationen lokal in der lokalen Sicherheitsautorität (LSA) des Betriebssystems zwischengespeichert werden. Wenn sich ein Benutzer bei der Domäne anmeldet, verwenden Windows-Authentifizierung Pakete transparent die Anmeldeinformationen, um einmaliges Anmelden bei der Authentifizierung der Anmeldeinformationen für Netzwerkressourcen bereitzustellen. Weitere Informationen zu Anmeldeinformationen finden Sie unter Prozesse für Anmeldeinformationen in der Windows-Authentifizierung.
Eine Form der Multi-Faktor-Authentifizierung für den Reisenden könnte die Anforderung sein, mehrere Dokumente mit sich zu führen und vorzulegen, um seine Identität zu authentifizieren, wie z. B. einen Reisepass und Informationen zur Konferenzregistrierung. Windows implementiert dieses Formular oder die Authentifizierung über Smartcards, virtuelle Smartcards und biometrische Technologien.
Sicherheitsprinzipale und Konten
Unter Windows sind alle Benutzer, Dienste, Gruppen oder Computer, die Aktionen auslösen können, ein Sicherheitsprinzipal. Sicherheitsprinzipale verfügen über Konten, die lokal auf einem Computer oder domänenbasiert sein können. Beispielsweise können in eine Windows-Clientdomäne eingebundene Computer an einer Netzwerkdomäne teilnehmen, indem sie mit einem Domänencontroller kommunizieren, selbst wenn kein menschlicher Benutzer angemeldet ist. Zum Einleiten der Kommunikation muss der Computer über ein aktives Konto in der Domäne verfügen. Bevor Kommunikationsverbindungen vom Computer akzeptiert werden, authentifiziert die lokale Sicherheitsautorität auf dem Domänencontroller die Identität des Computers und definiert dann den Sicherheitskontext des Computers genauso wie für einen menschlichen Sicherheitsprinzipal. Dieser Sicherheitskontext definiert die Identität und die Fähigkeiten eines Benutzers oder Dienstes auf einem bestimmten Computer oder eines Benutzers, Dienstes, einer Gruppe oder eines Computers in einem Netzwerk. Der Sicherheitskontext definiert beispielsweise die Ressourcen, wie Dateifreigabe oder Drucker, auf die zugegriffen werden kann, und die Aktionen, wie Lesen, Schreiben oder Ändern, die von einem Benutzer, Dienst oder Computer auf dieser Ressource angewendet werden können. Weitere Informationen finden Sie unter Sicherheitsprinzipale.
Ein Konto ist ein Mittel zur Identifizierung eines Anspruchsberechtigten – des menschlichen Benutzers oder Dienstes –, der Zugriff oder Ressourcen anfordert. Der Reisende, der im Besitz des authentischen Reisepasses ist, verfügt über ein Konto beim Gastland. Benutzer, Benutzergruppen, Objekte und Dienste können über einzelne Konten verfügen oder Konten freigeben. Konten können Mitglieder von Gruppen sein und ihnen können bestimmte Rechte und Berechtigungen zugewiesen werden. Konten können auf den lokalen Computer, die Arbeitsgruppe oder das Netzwerk beschränkt oder einer Domäne als Mitglied zugewiesen werden.
Integrierte Konten und die Sicherheitsgruppen, deren Mitglieder sie sind, werden in jeder Windows-Version definiert. Mithilfe von Sicherheitsgruppen können Sie vielen Benutzern, die erfolgreich authentifiziert sind, dieselben Sicherheitsberechtigungen zuweisen, was die Zugriffsverwaltung vereinfacht. Die Regeln für die Ausstellung von Reisepässen erfordern möglicherweise, dass der Reisende bestimmten Gruppen zugeordnet wird, z. B. Geschäftsreisenden, Touristen oder Behörden. Dieser Prozess stellt konsistente Sicherheitsberechtigungen für alle Mitglieder einer Gruppe sicher. Die Verwendung von Sicherheitsgruppen zum Zuweisen von Berechtigungen bedeutet, dass die Zugriffssteuerung von Ressourcen konstant und einfach zu verwalten und zu überwachen ist. Durch Hinzufügen und Entfernen von Benutzern, die Zugriff von den entsprechenden Sicherheitsgruppen benötigen, können Sie die Häufigkeit von Änderungen an Zugriffssteuerungslisten (ACLs) minimieren.
Eigenständige verwaltete Dienstkonten und virtuelle Konten wurden in Windows Server 2008 R2 und Windows 7 eingeführt, um die erforderlichen Anwendungen wie Microsoft Exchange Server und Internetinformationsdienste (IIS) mit der Isolation ihrer eigenen Domänenkonten bereitzustellen, ohne dass ein Administrator den Dienstprinzipalnamen (SPN) und die Anmeldeinformationen für diese Konten manuell verwalten muss. Gruppenverwaltete Dienstkonten wurden in Windows Server 2012 eingeführt und bieten dieselbe Funktionalität innerhalb der Domäne, erweitern diese Funktionalität aber auch auf mehrere Server. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle mit gegenseitiger Authentifizierung, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden.
Weitere Informationen zu Konten finden Sie unter:
Delegierte Authentifizierung
Um die Reiseanalogie zu verwenden, könnten Länder allen Mitgliedern einer offiziellen Regierungsdelegation den gleichen Zugang gewähren, solange die Delegierten bekannt sind. Mit dieser Delegierung kann ein Mitglied auf die Autorität eines anderen Mitglieds reagieren. In Windows tritt die delegierte Authentifizierung auf, wenn ein Netzwerkdienst eine Authentifizierungsanforderung eines Benutzers akzeptiert und die Identität dieses Benutzers annimmt, um eine neue Verbindung mit einem zweiten Netzwerkdienst zu initiieren. Um die delegierte Authentifizierung zu unterstützen, müssen Sie Front-End- oder First-Tier-Server einrichten, z. B. Webserver, die für die Verarbeitung von Client-Authentifizierungsanforderungen verantwortlich sind, und Back-End- oder n-Tier-Server, z. B. große Datenbanken, die für die Speicherung von Informationen verantwortlich sind. Sie können das Recht zum Einrichten der delegierten Authentifizierung an Benutzer in Ihrer Organisation delegieren, um die Verwaltungslast für Ihre Administratoren zu verringern.
Indem Sie einen Dienst oder Computer als vertrauenswürdig für die Delegierung einrichten, ermöglichen Sie diesem Dienst oder Computer, die delegierte Authentifizierung abzuschließen, ein Ticket für den Benutzer zu erhalten, der die Anforderung stellt, und dann auf Informationen für diesen Benutzer zugreifen. Dieses Modell beschränkt den Datenzugriff auf Back-End-Servern nur auf die Benutzer oder Dienste, die Anmeldeinformationen mit den richtigen Zugriffssteuerungstoken präsentieren. Darüber hinaus ermöglicht es die Zugriffsüberwachung dieser Back-End-Ressourcen. Indem Sie verlangen, dass auf alle Daten mit Anmeldeinformationen zugegriffen wird, die an den Server zur Verwendung im Namen des Clients delegiert werden, stellen Sie sicher, dass der Server nicht kompromittiert werden kann und dass Sie Zugriff auf vertrauliche Informationen erhalten, die auf anderen Servern gespeichert sind. Die delegierte Authentifizierung ist nützlich für Anwendungen mit mehreren Ebenen, die für die Verwendung von Funktionen für einmaliges Anmelden auf mehreren Computern konzipiert sind.
Authentifizierung in Vertrauensstellungen zwischen Domänen
Die meisten Organisationen mit mehr als einer Domäne haben ein legitimes Bedürfnis, dass Benutzer auf freigegebene Ressourcen zugreifen müssen, die sich in einer anderen Domäne befinden, genauso wie der Reisende in verschiedene Regionen des Landes reisen darf. Die Steuerung dieses Zugriffs erfordert, dass Benutzer in einer Domäne auch authentifiziert und zur Verwendung von Ressourcen in einer anderen Domäne autorisiert werden können. Um Authentifizierungs- und Autorisierungsfunktionen zwischen Clients und Servern in verschiedenen Domänen bereitzustellen, muss es eine Vertrauensstellung zwischen den beiden Domänen geben. Vertrauensstellungen sind die zugrunde liegende Technologie, mit der die gesicherte Active Directory-Kommunikation erfolgt, und sind eine integrale Sicherheitskomponente der Windows Server-Netzwerkarchitektur.
Wenn zwischen zwei Domänen eine Vertrauensstellung besteht, vertrauen die Authentifizierungsmechanismen für jede Domäne den Authentifizierungen, die von der anderen Domäne stammen. Vertrauensstellungen helfen dabei, kontrollierten Zugriff auf gemeinsam genutzte Ressourcen in einer Ressourcendomäne – der vertrauenden Domäne – bereitzustellen, indem überprüft wird, ob eingehende Authentifizierungsanforderungen von einer vertrauenswürdigen Zertifizierungsstelle stammen – der vertrauenswürdigen Domäne. Auf diese Weise fungieren Vertrauensstellungen als Brücken, die nur überprüfte Authentifizierungsanforderungen zwischen Domänen übertragen lassen.
Wie eine bestimmte Vertrauensstellung Authentifizierungsanforderungen weiterleitet, hängt von ihrer Konfiguration ab. Vertrauensstellungen können unidirektional sein, indem Zugriff von der vertrauenswürdigen Domäne auf Ressourcen in der vertrauenden Domäne bereitgestellt wird, oder bidirektional, indem Zugriff von jeder Domäne auf Ressourcen in der anderen Domäne bereitgestellt wird. Vertrauensstellungen sind außerdem entweder nicht transitiv, in diesem Fall besteht Vertrauen nur zwischen den beiden Vertrauenspartnerdomänen, oder transitiv, in diesem Fall erstreckt sich das Vertrauen automatisch auf alle anderen Domänen, denen einer der Partner vertraut.
Informationen zur Funktionsweise einer Vertrauensstellung finden Sie unter Funktionsweise von Domänen- und Gesamtstrukturvertrauensstellungen.
Protokollübergang
Der Protokollübergang unterstützt Anwendungsdesigner, indem Anwendungen unterschiedliche Authentifizierungsmechanismen auf der Benutzerauthentifizierungsebene unterstützen und in den nachfolgenden Anwendungsebenen für Sicherheitsfunktionen wie gegenseitige Authentifizierung und eingeschränkte Delegierung auf das Kerberos-Protokoll umgestellt werden.
Weitere Informationen zum Protokollübergang finden Sie unter Kerberos-Protokollübergang und eingeschränkte Delegierung.
Eingeschränkte Delegierung
Die eingeschränkte Delegierung gibt Administratoren die Möglichkeit, Anwendungsvertrauensgrenzen festzulegen und durchzusetzen, indem sie den Bereich einschränken, in dem Anwendungsdienste im Namen eines Benutzers agieren können. Sie können bestimmte Dienste angeben, von denen ein Computer, der für die Delegierung vertrauenswürdig ist, Ressourcen anfordern kann. Die Flexibilität, Autorisierungsrechte für Dienste einzuschränken, trägt zur Verbesserung des Designs der Anwendungssicherheit bei, indem die Möglichkeiten der Kompromittierung durch nicht vertrauenswürdige Dienste verringert werden.
Weitere Informationen zur eingeschränkten Delegierung finden Sie unter Übersicht über die eingeschränkte Kerberos-Delegierung.
Weitere Verweise
Technische Übersicht zur Windows-Anmeldung und -Authentifizierung.