Windows 身份验证概述
本导航主题面向 IT 专业人员,列出了 Windows 身份验证和登录技术的文档资源,包括产品评估、入门指南、过程、设计和部署指南、技术参考以及命令参考。
功能描述
身份验证是指验证对象、服务或人的身份的过程。 当你对某个对象进行身份验证时,目的就在于验证该对象是否为正版。 当你对某个服务或人进行身份验证时,目的就在于验证出示的凭据是否可信。
在网络环境中,身份验证是指证明网络应用程序或资源的身份的动作。 一般情况下,标识是由使用只有用户知道的密钥(如公钥加密)或共享密钥的加密操作来证明的。 身份验证交换的服务器端会将签名数据和已知的加密密钥相比较来验证身份验证尝试。
将加密密钥存储在安全的中心位置中可以确保身份验证过程可伸缩且可维护。 Active Directory 域服务是默认推荐用于存储身份信息(包括属于用户凭据的加密密钥)的技术。 Active Directory 是默认 NTLM 和 Kerberos 实现所必需的。
身份验证技术范围广泛:可以是简单登录(根据密码等只有用户知道的信息识别用户身份),也可以是更强的大安全机制(使用用户所有的令牌、公钥证书和生物识别等信息)。 在企业环境中,服务或用户可访问单独一个位置或多个位置中多种服务器类型上的多个应用程序或资源。 鉴于这些原因,身份验证必须支持其他平台和其他 Windows 操作系统的环境。
Windows 操作系统作为可扩展体系结构的一部分来实现一组默认身份验证协议,包括 Kerberos、NTLM、传输层安全性/安全套接字层 (TLS/SSL) 和摘要。 此外,一些协议被合并到身份验证程序包中,例如 Negotiate 和凭据安全支持提供程序。 这些协议和程序包能够对用户、计算机和服务进行身份验证;反过来身份验证过程使授权的用户和服务能够安全地访问资源。
有关 Windows 身份验证的详细信息包括
请参阅 Windows 身份验证技术概述。
实际应用
Windows 身份验证用于验证信息是来自受信任来源还是来自个人或计算机对象,例如另一台计算机。 Windows 提供按如下所述实现该目标的多个不同方式。
| 收件人... | 功能 | 说明 |
|---|---|---|
| Active Directory 域中的身份验证 | Kerberos | Microsoft Windows Server 操作系统可实现 Kerberos 版本 5 身份验证协议和对公用密钥身份验证的扩展。 Kerberos 身份验证客户端可作为安全支持提供程序 (SSP) 实现,并可以通过安全支持提供程序接口 (SSPI) 进行访问。 初始用户身份验证与 Winlogon 单个登录体系结构相集成。 Kerberos 密钥发行中心 (KDC) 与在域控制器上运行的其他 Windows Server 安全服务相集成。 KDC 将该域的 Active Directory 目录服务数据库用作其安全帐户数据库。 Active Directory 是默认 Kerberos 实现所必需的。 有关更多资源,请参阅 Kerberos 身份验证概述。 |
| Web 上的安全身份验证 | Schannel 安全支持提供程序中实现的 TLS/SSL | 传输层安全 (TLS) 协议版本 1.0、1.1 和 1.2、安全套接字层 (SSL) 协议版本 2.0 和 3.0、数据报传输层安全协议版本 1.0 和专用通信传输 (PCT) 协议版本 1.0 基于公钥加密。 安全通道 (Schannel) 提供程序身份验证协议套件提供这些协议。 所有 Schannel 协议使用客户端和服务器模型。 有关其他资源,请参阅 TLS - SSL (Schannel SSP) 概述。 |
| 对 Web 服务或应用程序进行身份验证 | Windows 集成身份验证 摘要式身份验证 |
有关其他资源,请参阅集成 Windows 身份验证和摘要式身份验证,以及高级摘要式身份验证。 |
| 对旧版应用程序进行身份验证 | NTLM | NTLM 是一个质询-响应式的身份验证协议。除了身份验证,NTLM 协议还会选择性提供会话安全, 尤其是通过 NTLM 内的签名和密封功能确保消息完整性和机密性。 有关更多资源,请参阅 NTLM 概述。 |
| 利用多重身份验证 | 智能卡支持 生物识别支持 |
智能卡是为任务(如客户端身份验证、登录到域、代码签名和保护电子邮件)提供安全解决方案的防篡改且便携式的方式。 生物识别依赖于测量个人的不变物理特征以便对此人进行唯一标识。 指纹是最常用的生物识别特征,数以百万计的指纹生物识别设备都嵌入到个人计算机和外围设备中。 有关其他资源,请参阅 智能卡技术参考。 |
| 提供本地管理、存储和重新使用凭据 | 凭据管理 本地安全机构 密码 |
Windows 中的凭据管理可确保凭据安全存储。 通过应用程序或网站在安全桌面上收集凭据(适用于本地或域访问),以便每次访问资源时都能出现正确的凭据。 |
| 扩展对旧版系统的现代身份验证保护 | 针对身份验证的扩展保护 | 该功能可通过使用集成的 Windows 身份验证 (IWA) 增强对网络连接进行身份验证时的凭据保护和处理。 |
软件要求
Windows 身份验证经设计与之前版本的 Windows 操作系统兼容。 但每个版本中的改进并不一定适用于以前的版本。 详细信息请参阅特定功能的相关文档。
服务器管理器信息
可使用组策略配置很多身份验证功能,组策略可使用服务器管理器来安装。 Windows 生物识别框架功能是使用服务器管理器安装的。 依赖身份验证方法的其他服务器角色,例如 Web 服务器 (IIS) 和 Active Directory 域服务,也可使用服务器管理器安装。
相关资源
| 身份验证技术 | 资源 |
|---|---|
| Windows 身份验证 | Windows 身份验证技术概述 包括说明版本差异、常规身份验证概念、登录方案、支持版本的体系结构以及适用设置的主题。 |
| Kerberos | Kerberos 身份验证概述 Kerberos 身份验证技术参考 (2003) |
| TLS/SSL 和 DTLS(Schannel 安全支持提供程序) | TLS - SSL (Schannel SSP) 概述 |
| 摘要式身份验证 | 摘要式身份验证技术参考 (2003) |
| NTLM | NTLM 概述 包含指向当前资源和过去资源的链接 |
| PKU2U | 介绍 Windows 中的 PKU2U |
| 智能卡 | 智能卡技术参考 |
| 凭据 | 凭据保护和管理 包含指向当前资源和过去资源的链接 密码概述 |