Сценарии входа в Windows
В этом справочном разделе для ИТ-специалистов приведены общие сценарии входа в систему и входа в Windows.
Операционные системы Windows требуют, чтобы все пользователи входить на компьютер с допустимой учетной записью для доступа к локальным и сетевым ресурсам. Компьютеры под управлением Windows защищают ресурсы путем реализации процесса входа, в котором пользователи проходят проверку подлинности. После проверки подлинности пользователя технологии авторизации и управления доступом реализуют второй этап защиты ресурсов: определяет, разрешен ли прошедший проверку подлинности пользователь для доступа к ресурсу.
Содержимое этого раздела относится к версиям Windows, указанным в списке "Область применения" в начале этого раздела.
Кроме того, приложения и службы могут требовать, чтобы пользователи могли войти в систему для доступа к этим ресурсам, предлагаемым приложением или службой. Процесс входа аналогичен процессу входа, в котором требуются допустимые учетные данные и правильные учетные данные, но сведения о входе хранятся в базе данных диспетчера учетных записей безопасности (SAM) на локальном компьютере и в Active Directory, где это применимо. Учетная запись входа и учетные данные управляются приложением или службой, и при необходимости можно хранить локально в Credential Locker.
Сведения о том, как работает проверка подлинности, см. в разделе "Основные понятия проверки подлинности Windows".
В этом разделе описаны следующие сценарии:
Внимание
Когда пользователь выполняет локальный вход, их учетные данные проверяются локально в кэшированном копировании перед проверкой подлинности с помощью поставщика удостоверений по сети. Если проверка кэша выполнена успешно, пользователь получает доступ к рабочему столу, даже если устройство находится в автономном режиме. Однако, если пользователь изменяет пароль в облаке, кэшированный проверяющий объект не обновляется, это означает, что он по-прежнему может получить доступ к локальному компьютеру с помощью старого пароля.
Интерактивный вход в систему
Процесс входа начинается либо при вводе учетных данных в диалоговом окне входа учетных данных, либо при вставке смарт-карты в средство чтения смарт-карт или при взаимодействии пользователя с биометрическим устройством. Пользователи могут выполнять интерактивный вход с помощью учетной записи локального пользователя или учетной записи домена для входа на компьютер.
На следующей схеме показаны элементы интерактивного входа и процесс входа.
Архитектура проверки подлинности клиента Windows
Локальный и доменный вход
Учетные данные, представленные пользователем для входа в домен, содержат все элементы, необходимые для локального входа, например имя учетной записи и пароль или сертификат, а также сведения о домене Active Directory. Процесс подтверждает идентификацию пользователя в базе данных безопасности на локальном компьютере пользователя или домене Active Directory. Этот обязательный процесс входа нельзя отключить для пользователей в домене.
Пользователи могут выполнять интерактивный вход на компьютер двумя способами:
Локально, когда пользователь имеет прямой физический доступ к компьютеру или когда компьютер входит в сеть компьютеров.
Локальный вход предоставляет пользователю разрешение на доступ к ресурсам Windows на локальном компьютере. Для локального входа требуется, чтобы у пользователя была учетная запись пользователя в диспетчере учетных записей безопасности (SAM) на локальном компьютере. SAM защищает и управляет сведениями о пользователях и группах в виде учетных записей безопасности, хранящихся в реестре локальных компьютеров. Компьютер может иметь сетевой доступ, но это не обязательно. Для управления доступом к локальным ресурсам используется учетная запись локального пользователя и сведения о членстве в группах.
Сетевой вход предоставляет пользователю разрешение на доступ к ресурсам Windows на локальном компьютере в дополнение к ресурсам на сетевых компьютерах, как определено маркером доступа учетных данных. Для локального входа в систему и входа в сеть требуется, чтобы у пользователя была учетная запись пользователя в диспетчере учетных записей безопасности (SAM) на локальном компьютере. Учетная запись локального пользователя и сведения о членстве в группах используются для управления доступом к локальным ресурсам, а маркер доступа для пользователя определяет, какие ресурсы можно получить на сетевых компьютерах.
Локальный вход и сетевой вход недостаточно, чтобы предоставить пользователю и компьютеру разрешение на доступ к ресурсам домена и использовать их.
Удаленно через службы терминалов или службы удаленных рабочих столов (RDS), в этом случае вход будет более квалифицирован как удаленный интерактивный.
После интерактивного входа Windows запускает приложения от имени пользователя, а пользователь может взаимодействовать с этими приложениями.
Локальный вход предоставляет пользователю разрешение на доступ к ресурсам на локальном компьютере или ресурсах на сетевых компьютерах. Если компьютер присоединен к домену, функция Winlogon пытается войти в этот домен.
Вход в домен предоставляет пользователю разрешение на доступ к локальным и доменным ресурсам. Для входа в домен требуется, чтобы у пользователя была учетная запись пользователя в Active Directory. Компьютер должен иметь учетную запись в домене Active Directory и физически подключаться к сети. Пользователи также должны иметь права пользователя для входа на локальный компьютер или домен. Сведения об учетной записи пользователя домена и сведения о членстве в группах используются для управления доступом к домену и локальным ресурсам.
Удаленный вход
В Windows доступ к другому компьютеру через удаленный вход использует протокол удаленного рабочего стола (RDP). Так как пользователь уже должен успешно войти на клиентский компьютер, прежде чем пытаться подключиться к удаленному подключению, интерактивные процессы входа в систему успешно завершены.
RDP управляет учетными данными, которые пользователь вводит с помощью клиента удаленного рабочего стола. Эти учетные данные предназначены для целевого компьютера, и пользователь должен иметь учетную запись на этом целевом компьютере. Кроме того, целевой компьютер должен быть настроен для принятия удаленного подключения. Учетные данные целевого компьютера отправляются для попытки выполнить процесс проверки подлинности. Если проверка подлинности выполнена успешно, пользователь подключен к локальным и сетевым ресурсам, доступным с помощью предоставленных учетных данных.
Вход в сеть
Вход в сеть можно использовать только после того, как произошла проверка подлинности пользователя, службы или компьютера. Во время входа в сеть процесс не использует диалоговые окна ввода учетных данных для сбора данных. Вместо этого используется ранее установленные учетные данные или другой метод сбора учетных данных. Этот процесс подтверждает удостоверение пользователя для любой сетевой службы, к которым пользователь пытается получить доступ. Этот процесс обычно невидим для пользователя, если не нужно предоставлять альтернативные учетные данные.
Чтобы обеспечить этот тип проверки подлинности, система безопасности включает следующие механизмы проверки подлинности:
Протокол Kerberos версии 5
Сертификаты открытого ключа
Уровень безопасности сокетов или безопасность транспортного уровня (SSL/TLS)
Дайджест
NTLM для совместимости с системами на основе Microsoft Windows NT 4.0
Сведения об элементах и процессах см. на схеме интерактивного входа выше.
Вход со смарт-картой
Смарт-карты можно использовать для входа только в учетные записи домена, а не локальные учетные записи. Для проверки подлинности смарт-карты требуется использование протокола проверки подлинности Kerberos. В Windows 2000 Server в операционных системах под управлением Windows реализовано расширение открытого ключа для начального запроса проверки подлинности протокола Kerberos. В отличие от шифрования общего ключа секрета, криптография открытого ключа асимметрична, т. е. требуются два разных ключа: один для шифрования, другой для расшифровки. Вместе ключи, необходимые для выполнения обеих операций, составляют пару закрытых и открытых ключей.
Чтобы инициировать типичный сеанс входа, пользователь должен доказать свое удостоверение, предоставив сведения, известные только пользователю и базовой инфраструктуре протокола Kerberos. Секретная информация — это криптографический общий ключ, производный от пароля пользователя. Общий секретный ключ является симметричным, что означает, что один и тот же ключ используется как для шифрования, так и для расшифровки.
На следующей схеме показаны элементы и процессы, необходимые для входа в систему смарт-карт.
Архитектура поставщика учетных данных смарт-карты
Если смарт-карта используется вместо пароля, пара закрытых и открытых ключей, хранящейся на смарт-карте пользователя, заменяется общим секретным ключом, производным от пароля пользователя. Закрытый ключ хранится только на смарт-карте. Открытый ключ можно предоставить любому пользователю, с которым владелец хочет обмениваться конфиденциальной информацией.
Дополнительные сведения о процессе входа смарт-карт в Windows см. в статье о том, как работает вход смарт-карт в Windows.
Биометрический вход
Устройство используется для захвата и создания цифровой характеристики артефакта, например отпечатка пальца. Затем это цифровое представление сравнивается с образцом одного артефакта, и при успешном сравнении двух данных может произойти проверка подлинности. Компьютеры под управлением любой из операционных систем, указанных в списке "Область применения" в начале этого раздела, можно настроить для принятия этой формы входа. Однако если биометрический вход настроен только для локального входа, пользователь должен представить учетные данные домена при доступе к домену Active Directory.
Дополнительные ресурсы
Сведения о том, как Windows управляет учетными данными, отправленными во время входа, см. в разделе "Управление учетными данными" в проверке подлинности Windows.