Overzicht van Windows-verificatie
Dit navigatieonderwerp voor IT-professionals bevat documentatiebronnen voor Windows-verificatie- en aanmeldingstechnologieën die productevaluatie omvatten, handleidingen aan de slag, procedures, ontwerp- en implementatiehandleidingen, technische verwijzingen en opdrachtverwijzingen.
Functiebeschrijving
Verificatie is een proces voor het verifiëren van de identiteit van een object, service of persoon. Wanneer u een object verifieert, is het doel om te controleren of het object echt is. Wanneer u een service of persoon verifieert, is het doel om te controleren of de weergegeven referenties authentiek zijn.
In een netwerkcontext is verificatie het bewijs van identiteit voor een netwerktoepassing of -resource. Normaal gesproken wordt identiteit bewezen door een cryptografische bewerking die gebruikmaakt van een sleutel die alleen de gebruiker kent, net als bij cryptografie van openbare sleutels, of een gedeelde sleutel. De serverzijde van de verificatieuitwisseling vergelijkt de ondertekende gegevens met een bekende cryptografische sleutel om de verificatiepoging te valideren.
Door de cryptografische sleutels op een veilige centrale locatie op te slaan, is het verificatieproces schaalbaar en onderhoudbaar. Active Directory Domain Services is de aanbevolen en standaardtechnologie voor het opslaan van identiteitsgegevens (inclusief de cryptografische sleutels die de referenties van de gebruiker zijn). Active Directory is vereist voor standaard-NTLM- en Kerberos-implementaties.
Verificatietechnieken variëren van een eenvoudige aanmelding, waarmee gebruikers worden geïdentificeerd op basis van iets dat alleen de gebruiker kent, zoals een wachtwoord, tot krachtigere beveiligingsmechanismen die gebruikmaken van iets dat de gebruiker heeft, zoals tokens, certificaten van openbare sleutels en biometrische gegevens. In een bedrijfsomgeving hebben services of gebruikers mogelijk toegang tot meerdere toepassingen of resources op veel soorten servers binnen één locatie of op meerdere locaties. Om deze redenen moet verificatie omgevingen ondersteunen voor andere platforms en voor andere Windows-besturingssystemen.
Het Windows-besturingssysteem implementeert een standaardset verificatieprotocollen, waaronder Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) en Digest, als onderdeel van een uitbreidbare architectuur. Daarnaast worden sommige protocollen gecombineerd in verificatiepakketten zoals Negotiate en de Referentiebeveiligingsondersteuningsprovider. Deze protocollen en pakketten maken verificatie van gebruikers, computers en services mogelijk; het verificatieproces stelt geautoriseerde gebruikers en services op hun beurt in staat om op een veilige manier toegang te krijgen tot resources.
Voor meer informatie over Windows-verificatie, waaronder
Zie het technische overzicht van Windows-verificatie.
Praktische toepassingen
Windows-verificatie wordt gebruikt om te controleren of de informatie afkomstig is van een vertrouwde bron, ongeacht of deze afkomstig is van een persoon of computerobject, zoals een andere computer. Windows biedt veel verschillende methoden om dit doel te bereiken, zoals hieronder wordt beschreven.
| Naar... | Eigenschap | Beschrijving |
|---|---|---|
| Verifiëren binnen een Active Directory-domein | Kerberos | De besturingssystemen van Microsoft Windows Server implementeren het Kerberos versie 5-verificatieprotocol en -extensies voor verificatie met openbare sleutels. De Kerberos-verificatieclient wordt geïmplementeerd als een beveiligingsondersteuningsprovider (SSP) en kan worden geopend via de SSPI (Security Support Provider Interface). Initiële gebruikersverificatie is geïntegreerd met de Winlogon-architectuur voor eenmalige aanmelding. Het Kerberos Key Distribution Center (KDC) is geïntegreerd met andere Windows Server-beveiligingsservices die worden uitgevoerd op de domeincontroller. De KDC gebruikt de Active Directory-adreslijstservicedatabase van het domein als de beveiligingsaccountdatabase van het domein. Active Directory is vereist voor standaard Kerberos-implementaties. Zie Kerberos Authentication Overviewvoor meer informatie. |
| Verificatie op internet beveiligen | TLS/SSL zoals geïmplementeerd in de Schannel-beveiligingsondersteuningsprovider | Het TLS-protocol (Transport Layer Security) versie 1.0, 1.1 en 1.2, SSL-protocol (Secure Sockets Layer), versies 2.0 en 3.0, Datagram Transport Layer Security-protocol versie 1.0 en het PCT-protocol (Private Communications Transport), versie 1.0, zijn gebaseerd op cryptografie van openbare sleutels. De verificatieprotocolsuite van de Schannel-provider (Secure Channel) biedt deze protocollen. Alle Schannel-protocollen maken gebruik van een client- en servermodel. Zie TLS - SSL (Schannel SSP) Overzichtvoor extra bronnen. |
| Verifiëren bij een webservice of toepassing | Geïntegreerde Windows-verificatie Digest-authenticatie |
Zie Geïntegreerde Windows-verificatie en Digestverificatieen Geavanceerde Digestverificatievoor meer informatie. |
| Verifiëren bij verouderde toepassingen | NTLM | NTLM is een verificatieprotocol in de stijl challenge-response. Naast verificatie biedt het NTLM-protocol optioneel sessiebeveiliging, specifiek berichtintegriteit en vertrouwelijkheid via ondertekenings- en verzegelingsfuncties in NTLM. Zie NTLM Overzichtvoor extra hulpbronnen. |
| Meervoudige verificatie gebruiken | Ondersteuning voor smartcards Biometrische ondersteuning |
Smartcards zijn een manipulatiebestendige en draagbare manier om beveiligingsoplossingen te bieden voor taken zoals clientverificatie, aanmelden bij domeinen, ondertekening van code en het beveiligen van e-mail. Biometrie is afhankelijk van het meten van een onveranderlijke fysieke eigenschap van een persoon om die persoon uniek te identificeren. Vingerafdrukken zijn een van de meest gebruikte biometrische kenmerken, met miljoenen biometrische vingerafdrukapparaten die zijn ingesloten in persoonlijke computers en randapparatuur. Zie Smart Card Technische Referentiegidsvoor aanvullende middelen. |
| Lokale voorzieningen bieden voor het beheer, de opslag en het hergebruik van referenties. | Referentiebeheer Lokale beveiligingsautoriteit Wachtwoorden |
Referentiebeheer in Windows zorgt ervoor dat referenties veilig worden opgeslagen. Referenties worden verzameld op het beveiligde bureaublad (voor lokale of domeintoegang), via apps of via websites, zodat de juiste referenties worden weergegeven telkens wanneer een resource wordt geopend. |
| Moderne verificatiebeveiliging uitbreiden naar verouderde systemen | Uitgebreide beveiliging voor verificatie | Deze functie verbetert de beveiliging en verwerking van referenties bij het verifiëren van netwerkverbindingen met behulp van Geïntegreerde Windows-verificatie (IWA). |
Softwarevereisten
Windows-verificatie is ontworpen om compatibel te zijn met eerdere versies van het Windows-besturingssysteem. Verbeteringen met elke release zijn echter niet noodzakelijkerwijs van toepassing op eerdere versies. Raadpleeg de documentatie over specifieke functies voor meer informatie.
Informatie over Serverbeheer
Veel verificatiefuncties kunnen worden geconfigureerd met behulp van Groepsbeleid, dat kan worden geïnstalleerd met Serverbeheer. De Windows Biometric Framework-functie wordt geïnstalleerd met Serverbeheer. Andere serverfuncties die afhankelijk zijn van verificatiemethoden, zoals Webserver (IIS) en Active Directory Domain Services, kunnen ook worden geïnstalleerd met Serverbeheer.
Verwante middelen
| Verificatietechnologieën | Hulpmiddelen |
|---|---|
| Windows-verificatie |
Technisch overzicht van Windows-verificatie Bevat onderwerpen over verschillen tussen versies, algemene verificatieconcepten, aanmeldingsscenario's, architecturen voor ondersteunde versies en toepasselijke instellingen. |
| Kerberos |
Overzicht van Kerberos-authenticatie Overzicht van Beperkte Kerberos-delegering |
| TLS/SSL en DTLS (Schannel-beveiligingsondersteuningsprovider) | Overzicht van TLS - SSL (Schannel SSP) technische naslaginformatie voor Schannel Security Support Provider |
| Digest-authenticatie | Technische Referentie voor Digest-authenticatie(2003) |
| NTLM |
NTLM-overzicht Bevat koppelingen naar huidige en eerdere resources |
| PKU2U | Inleiding tot PKU2U in Windows |
| Smartcard | Technische Referentie voor Smart Cards |
| Inloggegevens |
Beveiliging en beheer van inloggegevens Bevat koppelingen naar huidige en eerdere resources Overzicht van wachtwoorden |