Arquitectura de autenticación de Windows
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Este tema de introducción para profesionales de TI explica el esquema arquitectónico básico de la autenticación de Windows.
La autenticación es el proceso mediante el cual el sistema valida la información de inicio de sesión de un usuario. El nombre y la contraseña de un usuario se comparan con una lista autorizada y, si el sistema detecta una coincidencia, se concede el acceso en la medida especificada en la lista de permisos para ese usuario.
Como parte de una arquitectura extensible, los sistemas operativos de Windows Server implementan un conjunto predeterminado de proveedores de soporte de seguridad de autenticación, que incluyen Negotiate, el protocolo Kerberos, NTLM, Schannel (canal seguro) y Digest. Los protocolos utilizados por estos proveedores permiten la autenticación de usuarios, equipos y servicios, y el proceso de autenticación permite a los usuarios y servicios autorizados acceder a los recursos de forma segura.
En Windows Server, las aplicaciones autentican a los usuarios mediante SSPI para abstraer las llamadas para la autenticación. Así, los desarrolladores no necesitan comprender las complejidades de protocolos de autenticación específicos ni incorporar protocolos de autenticación en sus aplicaciones.
Los sistemas operativos de Windows Server incluyen un conjunto de componentes de seguridad que conforman el modelo de seguridad de Windows. Estos componentes garantizan que las aplicaciones no puedan acceder a los recursos sin autenticación y autorización. Las siguientes secciones describen los elementos de la arquitectura de autenticación.
Autoridad de seguridad local
La Autoridad de seguridad local (LSA) es un subsistema protegido que autentica y registra a los usuarios en el equipo local. Además, la LSA mantiene información sobre todos los aspectos de la seguridad local de un equipo (estos aspectos se conocen colectivamente como la directiva de seguridad local). También proporciona varios servicios para la traducción entre nombres e identificadores de seguridad (SID).
El subsistema de seguridad lleva un registro de las directivas de seguridad y de las cuentas que hay en un sistema informático. En el caso de un controlador de dominio, estas directivas y cuentas son las que están en vigor para el dominio en el que se encuentra el controlador de dominio. Estas directivas y cuentas se almacenan en Active Directory. El subsistema de LSA proporciona servicios para validar el acceso a los objetos, comprobar los derechos de los usuarios y generar mensajes de auditoría.
Interfaz de proveedor de soporte de seguridad
La interfaz del proveedor de soporte de seguridad (SSPI) es la API que obtiene servicios de seguridad integrados para la autenticación, la integridad de los mensajes, la privacidad del mensaje y la calidad de seguridad del servicio para cualquier protocolo de aplicación distribuida.
La SSPI es la implementación de la API genérica de servicios de seguridad (GSSAPI). SSPI proporciona un mecanismo mediante el cual una aplicación distribuida puede llamar a uno de varios proveedores de seguridad para obtener una conexión autentificada sin conocer los detalles del protocolo de seguridad.