LSA 身份验证模型

本地安全机构 (LSA) 身份验证模型具有以下功能：

• LSA 身份验证支持自定义 身份验证包。 这样， (ISV) 的最终客户和独立软件供应商可以自定义或替换身份验证例程，以满足标准 Microsoft 身份验证包提供的要求。 虽然 Microsoft 提供的身份验证包需要用户名和密码登录数据，但自定义身份验证包可以采用其他形式的登录数据，例如 ATM 卡信息和个人标识号 (PIN) 。 自定义身份验证包还可用于实现新的 安全协议。
• LSA 支持自定义安全包，这些包充当分布式应用程序的安全支持提供程序，以及需要身份验证服务的应用程序的身份验证包。 使用与独立身份验证包相同的接口访问身份验证功能，而安全支持提供程序功能是使用 安全支持提供程序接口 (SSPI) 访问的。 自定义安全包可用的 LSA 支持函数集允许它们提供高级安全功能，例如令牌创建和 补充凭据 管理。
• LSA 支持异类凭据管理，以便与非 Microsoft 产品（如网络和数据库）进行交互。 由于此类产品通常具有自己的安全凭据，因此 LSA 提供了身份验证包可用于将非 Microsoft 凭据与 Windows 进程关联的功能。 自定义身份验证包可以提供用于在需要时查询这些凭据的服务，例如当网络重定向程序尝试与远程系统建立连接时。
• 安装在系统上的每类登录设备都可以有自己的登录过程。 设备类通常包括智能卡读取器等设备;但是，出于 LSA 身份验证的目的，连接的网络也被视为设备。 默认情况下，Windows 操作系统提供支持使用键盘进行用户名和密码登录的登录过程。 开发人员可以添加对其他设备（例如智能卡阅读器）的支持。 有关智能卡的详细信息，请参阅 智能卡身份验证。 有关登录设备支持的详细信息，请参阅 Winlogon 和 GINA。