Архитектура проверки подлинности Windows

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этом обзоре для ИТ-специалистов описана базовая схема архитектуры для проверка подлинности Windows.

Проверка подлинности — это процесс, с помощью которого система проверяет сведения о входе или входе пользователя. Имя и пароль пользователя сравниваются с авторизованным списком, и если система обнаруживает совпадение, доступ предоставляется в той степени, в которой указан список разрешений для этого пользователя.

В рамках расширяемой архитектуры операционные системы Windows Server реализуют набор поставщиков поддержки безопасности проверки подлинности по умолчанию, включая "Согласование", протокол Kerberos, NTLM, Schannel (безопасный канал) и "Дайджест". Протоколы, используемые этими поставщиками, обеспечивают проверку подлинности пользователей, компьютеров и служб, а процесс проверки подлинности позволяет авторизованным пользователям и службам безопасно получать доступ к ресурсам.

В Windows Server приложения проходят проверку подлинности пользователей с помощью SSPI для абстрактных вызовов проверки подлинности. Таким образом, разработчикам не нужно понимать сложности определенных протоколов проверки подлинности или создавать протоколы проверки подлинности в своих приложениях.

Операционные системы Windows Server включают набор компонентов безопасности, составляющих модель безопасности Windows. Эти компоненты гарантируют, что приложения не могут получить доступ к ресурсам без проверки подлинности и авторизации. В следующих разделах описываются элементы архитектуры проверки подлинности.

Локальная система безопасности

Локальный центр безопасности (LSA) — это защищенная подсистема, которая выполняет проверку подлинности и выполняет вход пользователей на локальный компьютер. Кроме того, LSA сохраняет информацию обо всех аспектах локальной безопасности на компьютере (эти аспекты совместно называются локальной политикой безопасности). Он также предоставляет различные службы для перевода имен и идентификаторов безопасности (SID).

Подсистема безопасности отслеживает политики безопасности и учетные записи, которые находятся в компьютерной системе. В случае контроллера домена эти политики и учетные записи являются теми, в которых действует домен, в котором находится контроллер домена. Эти политики и учетные записи хранятся в Active Directory. Подсистема LSA предоставляет службы для проверки доступа к объектам, проверка прав пользователя и создания сообщений аудита.

Интерфейс поставщика поддержки безопасности

Интерфейс поставщика поддержки безопасности (SSPI) — это API, который получает интегрированные службы безопасности для проверки подлинности, целостности сообщений, конфиденциальности сообщений и качества безопасности для любого распределенного протокола приложения.

SSPI — это реализация API универсальной службы безопасности (GSSAPI). SSPI предоставляет механизм, с помощью которого распределенное приложение может вызвать одного из нескольких поставщиков безопасности, чтобы получить прошедшее проверку подлинности подключение без сведений о протоколе безопасности.

Дополнительные справочники

• Архитектура интерфейса поставщика поддержки безопасности

• Процедуры с учетными данными в проверке подлинности Windows

• Технический обзор проверки подлинности Windows