Arquitetura de autenticação do Windows
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico de visão geral para o profissional de TI explica o esquema de arquitetura básico para autenticação do Windows.
A autenticação é o processo pelo qual o sistema valida as informações de logon ou entrada de um usuário. O nome e a senha de um usuário são comparados com uma lista autorizada e, se o sistema detectar uma correspondência, o acesso será concedido até o ponto especificado na lista de permissões para esse usuário.
Como parte de uma arquitetura extensível, os sistemas operacionais Windows Server implementam um conjunto padrão de provedores de suporte de segurança de autenticação, que incluem Negotiate, o protocolo Kerberos, NTLM, Schannel (canal seguro) e Digest. Os protocolos usados por esses provedores permitem a autenticação de usuários, computadores e serviços, e o processo de autenticação permite que os usuários e serviços autorizados acessem os recursos de forma segura.
No Windows Server, os aplicativos autenticam os usuários com o SSPI para abstrair chamadas para autenticação. Portanto, os desenvolvedores não precisam entender as complexidades de protocolos de autenticação específicos ou criar protocolos de autenticação nos aplicativos.
Os sistemas operacionais Windows Server incluem um conjunto de componentes de segurança que compõem o modelo de segurança do Windows. Esses componentes garantem que os aplicativos não possam obter acesso a recursos sem autenticação e autorização. As seções a seguir descrevem os elementos da arquitetura de autenticação.
Autoridade de Segurança Local
A LSA (Autoridade de Segurança Local) é um subsistema protegido que autentica e insere usuários no computador local. Além disso, a LSA mantém as informações sobre todos os aspectos da segurança local em um computador (esses aspectos são coletivamente conhecidos como a política de segurança local). Ela também fornece vários serviços para tradução entre nomes e SIDs (identificadores de segurança).
O subsistema de segurança controla as políticas de segurança e as contas que estão em um sistema de computador. No caso de um controlador de domínio, essas políticas e contas são as que estão em vigor para o domínio no qual o controlador de domínio está localizado. Essas políticas e contas são armazenadas no Active Directory. O subsistema LSA fornece serviços para validar o acesso a objetos, verificar os direitos do usuário e gerar as mensagens de auditoria.
Interface do Provedor de Suporte de Segurança
A SSPI (Interface do Provedor de Suporte de Segurança) é a API que obtém os serviços de segurança integrados para autenticação, integridade da mensagem, privacidade de mensagens e qualidade de serviço de segurança para qualquer protocolo de aplicativo distribuído.
A SSPI é a implementação da GSSAPI (API do Serviço Genérico de Segurança). A SSPI fornece um mecanismo pelo qual um aplicativo distribuído pode chamar um dos vários provedores de segurança para obter uma conexão autenticada, sem conhecimento dos detalhes do protocolo de segurança.