Skenario Masuk Windows
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik referensi untuk profesional TI ini merangkum skenario masuk dan masuk Windows umum.
Sistem operasi Windows mengharuskan semua pengguna untuk masuk ke komputer dengan akun yang valid untuk mengakses sumber daya lokal dan jaringan. komputer berbasis Windows mengamankan sumber daya dengan menerapkan proses masuk, di mana pengguna diautentikasi. Setelah pengguna diautentikasi, teknologi otorisasi dan kontrol akses menerapkan fase kedua melindungi sumber daya: menentukan apakah pengguna yang diautentikasi berwenang untuk mengakses sumber daya.
Konten topik ini berlaku untuk versi Windows yang ditunjuk dalam daftar Berlaku untuk di awal topik ini.
Selain itu, aplikasi dan layanan dapat mengharuskan pengguna untuk masuk untuk mengakses sumber daya yang ditawarkan oleh aplikasi atau layanan. Proses masuk mirip dengan proses masuk, di mana akun yang valid dan kredensial yang benar diperlukan, tetapi informasi masuk disimpan dalam database Security Account Manager (SAM) di komputer lokal dan di Direktori Aktif jika berlaku. Informasi akun dan kredensial masuk dikelola oleh aplikasi atau layanan, dan secara opsional dapat disimpan secara lokal di Credential Locker.
Untuk memahami cara kerja autentikasi, lihat Konsep Autentikasi Windows.
Topik ini menjelaskan skenario berikut:
Masuk interaktif
Proses masuk dimulai baik ketika pengguna memasukkan kredensial dalam kotak dialog entri kredensial, atau ketika pengguna memasukkan kartu pintar ke pembaca kartu pintar, atau ketika pengguna berinteraksi dengan perangkat biometrik. Pengguna dapat melakukan masuk interaktif dengan menggunakan akun pengguna lokal atau akun domain untuk masuk ke komputer.
Diagram berikut menunjukkan elemen masuk interaktif dan proses masuk.
Arsitektur Autentikasi Klien Windows
Log masuk lokal dan domain
Kredensial yang disajikan pengguna untuk log masuk domain berisi semua elemen yang diperlukan untuk masuk lokal, seperti nama akun dan kata sandi atau sertifikat, dan informasi domain Direktori Aktif. Proses ini mengonfirmasi identifikasi pengguna ke database keamanan di komputer lokal pengguna atau ke domain Direktori Aktif. Proses masuk wajib ini tidak dapat dinonaktifkan untuk pengguna di domain.
Pengguna dapat melakukan masuk interaktif ke komputer dengan salah satu dari dua cara:
Secara lokal, ketika pengguna memiliki akses fisik langsung ke komputer, atau ketika komputer adalah bagian dari jaringan komputer.
Log masuk lokal memberikan izin pengguna untuk mengakses sumber daya Windows di komputer lokal. Masuk lokal mengharuskan pengguna memiliki akun pengguna di Manajer Akun Keamanan (SAM) di komputer lokal. SAM melindungi dan mengelola informasi pengguna dan grup dalam bentuk akun keamanan yang disimpan di registri komputer lokal. Komputer dapat memiliki akses jaringan, tetapi tidak diperlukan. Akun pengguna lokal dan informasi keanggotaan grup digunakan untuk mengelola akses ke sumber daya lokal.
Masuk jaringan memberikan izin pengguna untuk mengakses sumber daya Windows di komputer lokal selain sumber daya apa pun di komputer jaringan seperti yang ditentukan oleh token akses kredensial. Masuk lokal dan masuk jaringan mengharuskan pengguna memiliki akun pengguna di Manajer Akun Keamanan (SAM) di komputer lokal. Akun pengguna lokal dan informasi keanggotaan grup digunakan untuk mengelola akses ke sumber daya lokal, dan token akses untuk pengguna menentukan sumber daya apa yang dapat diakses di komputer jaringan.
Log masuk lokal dan masuk jaringan tidak cukup untuk memberi pengguna dan komputer izin untuk mengakses dan menggunakan sumber daya domain.
Dari jarak jauh, melalui Layanan Terminal atau Layanan Desktop Jarak Jauh (RDS), dalam hal ini masuk lebih lanjut memenuhi syarat sebagai interaktif jarak jauh.
Setelah masuk interaktif, Windows menjalankan aplikasi atas nama pengguna, dan pengguna dapat berinteraksi dengan aplikasi tersebut.
Log masuk lokal memberikan izin pengguna untuk mengakses sumber daya di komputer lokal atau sumber daya pada komputer jaringan. Jika komputer bergabung ke domain, maka fungsi Winlogon mencoba masuk ke domain tersebut.
Log masuk domain memberikan izin pengguna untuk mengakses sumber daya lokal dan domain. Masuk domain mengharuskan pengguna memiliki akun pengguna di Direktori Aktif. Komputer harus memiliki akun di domain Direktori Aktif dan terhubung secara fisik ke jaringan. Pengguna juga harus memiliki hak pengguna untuk masuk ke komputer lokal atau domain. Informasi akun pengguna domain dan informasi keanggotaan grup digunakan untuk mengelola akses ke domain dan sumber daya lokal.
Masuk jarak jauh
Dalam Windows, mengakses komputer lain melalui masuk jarak jauh bergantung pada Protokol Desktop Jarak Jauh (RDP). Karena pengguna harus sudah berhasil masuk ke komputer klien sebelum mencoba koneksi jarak jauh, proses masuk interaktif telah berhasil diselesaikan.
RDP mengelola kredensial yang dimasukkan pengguna dengan menggunakan Klien Desktop Jauh. Kredensial tersebut ditujukan untuk komputer target, dan pengguna harus memiliki akun di komputer target tersebut. Selain itu, komputer target harus dikonfigurasi untuk menerima koneksi jarak jauh. Kredensial komputer target dikirim untuk mencoba melakukan proses autentikasi. Jika autentikasi berhasil, pengguna terhubung ke sumber daya lokal dan jaringan yang dapat diakses dengan menggunakan kredensial yang disediakan.
Masuk jaringan
Log masuk jaringan hanya dapat digunakan setelah autentikasi pengguna, layanan, atau komputer berlangsung. Selama masuk jaringan, proses tidak menggunakan kotak dialog entri kredensial untuk mengumpulkan data. Sebaliknya, kredensial yang ditetapkan sebelumnya atau metode lain untuk mengumpulkan kredensial digunakan. Proses ini mengonfirmasi identitas pengguna ke layanan jaringan apa pun yang coba diakses pengguna. Proses ini biasanya tidak terlihat oleh pengguna kecuali kredensial alternatif harus disediakan.
Untuk menyediakan jenis autentikasi ini, sistem keamanan menyertakan mekanisme autentikasi ini:
Protokol Kerberos versi 5
Sertifikat kunci publik
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
digest
NTLM, untuk kompatibilitas dengan sistem berbasis Microsoft Windows NT 4.0
Untuk informasi tentang elemen dan proses, lihat diagram masuk interaktif di atas.
Masuk kartu pintar
Kartu pintar hanya dapat digunakan untuk masuk ke akun domain, bukan akun lokal. Autentikasi kartu pintar memerlukan penggunaan protokol autentikasi Kerberos. Diperkenalkan di Windows 2000 Server, dalam sistem operasi berbasis Windows, ekstensi kunci publik untuk permintaan autentikasi awal protokol Kerberos diterapkan. Berbeda dengan kriptografi kunci rahasia bersama, kriptografi kunci publik asimetris, yaitu, dua kunci yang berbeda diperlukan: satu untuk mengenkripsi, yang lain untuk didekripsi. Bersama-sama, kunci yang diperlukan untuk melakukan kedua operasi membentuk pasangan kunci privat/publik.
Untuk memulai sesi masuk yang khas, pengguna harus membuktikan identitasnya dengan memberikan informasi yang hanya diketahui oleh pengguna dan infrastruktur protokol Kerberos yang mendasar. Informasi rahasia adalah kunci bersama kriptografi yang berasal dari kata sandi pengguna. Kunci rahasia bersama bersifat simetris, yang berarti bahwa kunci yang sama digunakan untuk enkripsi dan dekripsi.
Diagram berikut menunjukkan elemen dan proses yang diperlukan untuk masuk kartu pintar.
Arsitektur penyedia kredensial Kartu Pintar
Ketika kartu pintar digunakan alih-alih kata sandi, pasangan kunci privat/publik yang disimpan di kartu pintar pengguna diganti dengan kunci rahasia bersama, yang berasal dari kata sandi pengguna. Kunci privat hanya disimpan di kartu pintar. Kunci umum dapat disediakan untuk siapa saja yang pemiliknya ingin bertukar informasi rahasia.
Untuk informasi selengkapnya tentang proses masuk kartu pintar di Windows, lihat Cara kerja masuk kartu pintar di Windows.
Log masuk biometrik
Perangkat digunakan untuk menangkap dan membangun karakteristik digital artefak, seperti sidik jari. Representasi digital ini kemudian dibandingkan dengan sampel artefak yang sama, dan ketika keduanya berhasil dibandingkan, autentikasi dapat terjadi. Komputer yang menjalankan salah satu sistem operasi yang ditunjuk dalam daftar Berlaku untuk di awal topik ini dapat dikonfigurasi untuk menerima bentuk masuk ini. Namun, jika masuk biometrik hanya dikonfigurasi untuk masuk lokal, pengguna perlu menyajikan kredensial domain saat mengakses domain Direktori Aktif.
Sumber Daya Tambahan:
Untuk informasi tentang cara Windows mengelola kredensial yang dikirimkan selama proses masuk, lihat Manajemen Kredensial di Autentikasi Windows.