Omówienie uwierzytelniania systemu Windows
W tym temacie nawigacji dla specjalistów IT wymieniono zasoby dokumentacji dotyczące technologii uwierzytelniania i logowania systemu Windows, które obejmują ocenę produktu, przewodniki wprowadzające, procedury, przewodniki dotyczące projektowania i wdrażania, dokumentacja techniczna i dokumentacja poleceń.
Opis funkcji
Uwierzytelnianie to proces weryfikacji tożsamości obiektu, usługi lub osoby. Podczas uwierzytelniania obiektu celem jest sprawdzenie, czy obiekt jest prawdziwy. Podczas uwierzytelniania usługi lub osoby celem jest sprawdzenie, czy przedstawione poświadczenia są autentyczne.
W kontekście sieci uwierzytelnianie jest działaniem potwierdzania tożsamości w aplikacji sieciowej lub zasobie. Zazwyczaj tożsamość jest sprawdzana przez operację kryptograficzną, która używa tylko klucza, który użytkownik wie — podobnie jak w przypadku kryptografii klucza publicznego — lub klucza współużytkowanego. Po stronie serwera podczas procesu uwierzytelniania porównuje się podpisane dane ze znanym kluczem kryptograficznym, aby zweryfikować próbę uwierzytelnienia.
Przechowywanie kluczy kryptograficznych w bezpiecznej centralnej lokalizacji sprawia, że proces uwierzytelniania jest skalowalny i konserwowalny. Usługi Active Directory Domain Services to zalecana i domyślna technologia do przechowywania informacji o tożsamości (w tym kluczy kryptograficznych, które są poświadczeniami użytkownika). Usługa Active Directory jest wymagana w przypadku domyślnych implementacji NTLM i Kerberos.
Techniki uwierzytelniania wahają się od prostego logowania, który identyfikuje użytkowników na podstawie czegoś, co tylko użytkownik wie — podobnie jak hasło— do bardziej zaawansowanych mechanizmów zabezpieczeń, które używają czegoś, co posiada użytkownik — takich jak tokeny, certyfikaty kluczy publicznych i biometryczne. W środowisku biznesowym usługi lub użytkownicy mogą uzyskiwać dostęp do wielu aplikacji lub zasobów na wielu typach serwerów w jednej lokalizacji lub w wielu lokalizacjach. Z tych powodów uwierzytelnianie musi obsługiwać środowiska dla innych platform i innych systemów operacyjnych Windows.
System operacyjny Windows implementuje domyślny zestaw protokołów uwierzytelniania, w tym Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) i Digest, w ramach rozszerzalnej architektury. Ponadto niektóre protokoły są łączone w pakiety uwierzytelniania, takie jak Negotiate i Dostawca Wsparcia Bezpieczeństwa Poświadczeń. Te protokoły i pakiety umożliwiają uwierzytelnianie użytkowników, komputerów i usług; z kolei proces uwierzytelniania umożliwia autoryzowanym użytkownikom i usługom bezpieczne uzyskiwanie dostępu do zasobów.
Aby uzyskać więcej informacji na temat uwierzytelniania systemu Windows, w tym
Architektura interfejsu dostawcy obsługi zabezpieczeń zabezpieczeń
procesy poświadczeń w uwierzytelniania systemu Windows
Ustawienia zasad grupowych używane w uwierzytelnianiu systemu Windows
zobacz Omówienie techniczne uwierzytelniania systemu Windows.
Zastosowania praktyczne
Uwierzytelnianie systemu Windows służy do sprawdzania, czy informacje pochodzą z zaufanego źródła, czy z obiektu osoby lub komputera, takiego jak inny komputer. System Windows udostępnia wiele różnych metod osiągnięcia tego celu, jak opisano poniżej.
| Do... | Funkcja | Opis |
|---|---|---|
| Uwierzytelnianie w domenie usługi Active Directory | Kerberos | Systemy operacyjne Microsoft Windows Server implementują protokół uwierzytelniania Kerberos w wersji 5 i rozszerzenia na potrzeby uwierzytelniania klucza publicznego. Klient uwierzytelniania Kerberos jest implementowany jako dostawca obsługi zabezpieczeń (SSP) i może być dostępny za pośrednictwem interfejsu dostawcy obsługi zabezpieczeń (SSPI). Początkowe uwierzytelnianie użytkownika jest zintegrowane z architekturą logowania jednokrotnego winlogon. Centrum dystrybucji kluczy Kerberos (KDC) jest zintegrowane z innymi usługami zabezpieczeń systemu Windows Server uruchomionymi na kontrolerze domeny. Centrum dystrybucji kluczy używa bazy danych usługi katalogowej Active Directory domeny jako bazy danych kont zabezpieczeń. Usługa Active Directory jest wymagana w przypadku domyślnych implementacji protokołu Kerberos. Aby uzyskać dodatkowe zasoby, sprawdź Omówienie uwierzytelniania Kerberos. |
| Bezpieczne uwierzytelnianie w Internecie | Protokół TLS/SSL zaimplementowany w dostawcy obsługi zabezpieczeń Schannel | Protokół Transport Layer Security (TLS) w wersji 1.0, 1.1 i 1.2, protokołu Secure Sockets Layer (SSL), wersji 2.0 i 3.0, protokołu Datagram Transport Layer Security w wersji 1.0 oraz protokołu Private Communications Transport (PCT) w wersji 1.0, są oparte na kryptografii klucza publicznego. Pakiet protokołów uwierzytelniania dostawcy bezpiecznego kanału (Schannel) udostępnia te protokoły. Wszystkie protokoły Schannel używają modelu klienta i serwera. Aby uzyskać dodatkowe zasoby, zobacz TLS - SSL (Schannel SSP) — omówienie. |
| Uwierzytelnianie w usłudze internetowej lub aplikacji | Uwierzytelnianie zintegrowane systemu Windows Uwierzytelnianie z użyciem mechanizmu Digest |
Aby uzyskać dodatkowe zasoby, zobacz Integrated Windows Authentication oraz Digest Authenticationi Advanced Digest Authentication. |
| Uwierzytelnianie w starszych aplikacjach | NTLM | NTLM to protokół uwierzytelniania w stylu odpowiedzi wyzwania. Oprócz uwierzytelniania protokół NTLM opcjonalnie zapewnia zabezpieczenia sesji — w szczególności integralność i poufność komunikatów za pośrednictwem funkcji podpisywania i uszczelniania w NTLM. Aby uzyskać dodatkowe zasoby, zobacz NTLM Overview. |
| Korzystanie z uwierzytelniania wieloskładnikowego | Obsługa kart inteligentnych Obsługa biometryczna |
Karty inteligentne to odporny na naruszenia i przenośny sposób zapewnienia rozwiązań zabezpieczeń dla zadań takich jak uwierzytelnianie klienta, logowanie do domen, podpisywanie kodu i zabezpieczanie poczty e-mail. Dane biometryczne polegają na mierzeniu niezmiennej charakterystyki fizycznej osoby w celu unikatowego zidentyfikowania tej osoby. Odciski palców są jedną z najczęściej używanych cech biometrycznych, z milionami urządzeń biometrycznych odcisków palców osadzonych w komputerach osobistych i urządzeniach peryferyjnych. Aby uzyskać więcej zasobów, zapoznaj się z techniczną dokumentacją karty inteligentnej . |
| Zapewnianie lokalnego zarządzania, przechowywania i ponownego używania poświadczeń | Zarządzanie poświadczeniami Urząd zabezpieczeń lokalnych Hasła |
Zarządzanie poświadczeniami w systemie Windows zapewnia bezpieczne przechowywanie poświadczeń. Poświadczenia są zbierane na bezpiecznym pulpicie (na potrzeby dostępu do domeny lub lokalnego), za pośrednictwem aplikacji lub witryn internetowych, dzięki czemu poprawne poświadczenia są prezentowane za każdym razem, gdy zasób jest uzyskiwany. |
| Rozszerzanie nowoczesnej ochrony uwierzytelniania na starsze systemy | Rozszerzona ochrona uwierzytelniania | Ta funkcja zwiększa ochronę i obsługę poświadczeń podczas uwierzytelniania połączeń sieciowych przy użyciu zintegrowanego uwierzytelniania systemu Windows (IWA). |
Wymagania dotyczące oprogramowania
Uwierzytelnianie systemu Windows zostało zaprojektowane tak, aby było zgodne z poprzednimi wersjami systemu operacyjnego Windows. Jednak ulepszenia w każdej wersji nie muszą mieć zastosowania do poprzednich wersji. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dotyczącą określonych funkcji.
Informacje o Menedżerze serwera
Wiele funkcji uwierzytelniania można skonfigurować przy użyciu zasad grupy, które można zainstalować za pomocą Menedżera serwera. Funkcja Struktury biometrycznej systemu Windows jest instalowana przy użyciu Menedżera serwera. Inne role serwera, które są zależne od metod uwierzytelniania, takich jak serwer sieci Web (IIS) i usługi Active Directory Domain Services, można również zainstalować przy użyciu Menedżera serwera.
Powiązane zasoby
| Technologie uwierzytelniania | Zasoby |
|---|---|
| Uwierzytelnianie systemu Windows |
Omówienie techniczne uwierzytelniania systemu Windows Zawiera tematy dotyczące różnic między wersjami, ogólnymi pojęciami dotyczącymi uwierzytelniania, scenariuszami logowania, architekturami obsługiwanych wersji i odpowiednimi ustawieniami. |
| Kerberos |
Uwierzytelnianie Kerberos — omówienie Omówienie ograniczonego delegowania Kerberos |
| TLS/SSL i DTLS (dostawca obsługi zabezpieczeń Schannel) |
TLS — omówienie protokołu SSL (SSP Schannel) dokumentacja techniczna dostawcy pomocy technicznej Schannel security support |
| Uwierzytelnianie szyfrowane | Dokumentacja techniczna uwierzytelniania typu Digest(2003) |
| NTLM |
NTLM — omówienie Zawiera linki do bieżących i przeszłych zasobów |
| PKU2U | Wprowadzenie do PKU2U w systemie Windows |
| Karta inteligentna | Dokumentacja techniczna karty inteligentnej |
| Dane uwierzytelniające | ochrona poświadczeń i zarządzanie Zawiera linki do bieżących i przeszłych zasobów
Omówienie haseł |