Основные понятия проверки подлинности Windows
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом справочном обзоре описаны основные понятия, на которых основана проверка подлинности Windows.
Проверка подлинности — это процесс проверки удостоверения объекта или пользователя. Задача проверки подлинности объекта заключается в проверке подлинности объекта. При проверке подлинности пользователя цель заключается в том, чтобы убедиться, что человек не является не олицетворения.
В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. Как правило, удостоверение подтверждается криптографической операцией, которая использует только ключ, который знает только пользователь (как с криптографией открытого ключа) или общим ключом. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности.
Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Active Directory — это рекомендуемая технология и по умолчанию для хранения сведений об удостоверениях, включая криптографические ключи, которые являются учетными данными пользователя. Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию.
Методы проверки подлинности варьируются от простого входа в операционную систему или вход в службу или приложение, которое определяет пользователей на основе того, что знает только пользователь, например пароль, и более мощные механизмы безопасности, использующие такие механизмы безопасности, как маркеры, сертификаты открытого ключа, рисунки или биография логические атрибуты. В бизнес-среде пользователи могут открывать множество приложений на различных типах серверов из одного или многих местоположений. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.
Проверка подлинности и авторизация: аналогия путешествия
Аналогия путешествия может помочь объяснить, как работает проверка подлинности. Некоторые подготовительные задачи, как правило, необходимы для начала пути. Путешественник должен доказать свою истинную личность своим хозяевам власти. Это доказательство может быть в виде подтверждения гражданства, места рождения, личного ваучера, фотографий или того, что требуется в соответствии с законом принимающей страны. Удостоверение путешественника проверяется путем выдачи паспорта, который аналогичен системной учетной записи, выданной организацией и администрируемой субъектом безопасности. Паспорт и предполагаемое назначение основаны на наборе правил и правил, выданных государственным органом.
Путешествие
Когда путешественник прибывает на международную границу, пограничный охранник запрашивает учетные данные, и путешественник представляет свой паспорт. Процесс состоит из двухкратных:
Охранник проходит проверку подлинности паспорта, убедившись, что она была выдана органом безопасности, что местные власти доверяют (доверять, по крайней мере, выдавать паспорта) и проверяя, что паспорт не был изменен.
Охранник проходит проверку подлинности путешественника, убедившись, что лицо соответствует лицу человека, изображенного на паспорте, и что другие необходимые учетные данные находятся в хорошем порядке.
Если паспорт является действительным, и путешественник оказывается его владельцем, проверка подлинности успешна, и путешественник может быть разрешен доступ через границу.
Транзитивное доверие между органами безопасности является основой проверки подлинности; Тип проверки подлинности, который происходит на международной границе, основан на доверии. Местное правительство не знает путешественника, но он доверяет, что принимающее правительство делает. Когда принимающее правительство выпустило паспорт, он тоже не знал путешественника. Оно доверяет агентству, которое выпустило сертификат о рождении или другую документацию. Агентство, выдавающее сертификат о рождении, в свою очередь, доверяет врачу, который подписал сертификат. Врач следил за рождением путешественника и маркировал сертификат с прямым подтверждением личности, в этом случае с следом новорожденного. Доверие, которое передается таким образом через доверенных посредников, является транзитивным.
Транзитивное доверие является основой сетевой безопасности в архитектуре клиента или сервера Windows. Отношения доверия передаются по всему набору доменов, например в дереве домена, и формируют связь между доменом и всеми доменами, которым доверяет этот домен. Например, если домен A имеет транзитное доверие с доменом B, а если домен B доверяет доменУ C, домен A trusts domain C.
Существует разница между проверкой подлинности и авторизацией. При проверке подлинности система доказывает, что вы являетесь тем, кто вы говорите, что вы. При авторизации система проверяет, есть ли у вас права на то, что вы хотите сделать. Чтобы взять аналогию границы к следующему шагу, просто проверяя, что путешественник является правильным владельцем допустимого паспорта не обязательно авторизовать путешественника в страну. Жители определенной страны могут входить в другую страну, просто предоставляя паспорт только в тех ситуациях, когда страна вводится предоставляет неограниченное разрешение для всех граждан этой конкретной страны входить.
Аналогичным образом можно предоставить всем пользователям разрешения на доступ к ресурсу из определенного домена. Любой пользователь, принадлежащий этому домену, имеет доступ к ресурсу, так же как Канада позволяет гражданам США въехать в Канаду. Тем не менее, граждане США, пытающиеся въехать в Бразилию или Индию, находят, что они не могут входить в эти страны только путем представления паспорта, так как оба из этих стран требуют посещения граждан США, чтобы иметь действительную визу. Таким образом, проверка подлинности не гарантирует доступ к ресурсам или авторизации для использования ресурсов.
Подтверждение компетенции
Паспорт и, возможно, связанные визы являются принятыми учетными данными для путешественника. Однако эти учетные данные могут не позволить путешественнику входить или получать доступ ко всем ресурсам в стране. Например, для участия в конференции требуются дополнительные учетные данные. В Windows учетные данные можно управлять, чтобы владельцы учетных записей могли получать доступ к ресурсам по сети без многократного предоставления учетных данных. Этот тип доступа позволяет пользователям проходить проверку подлинности один раз системой для доступа ко всем приложениям и источникам данных, которым они разрешены использовать без ввода другого идентификатора учетной записи или пароля. Платформа Windows прописает возможность использования одного удостоверения пользователя (поддерживаемого Active Directory) в сети путем локального кэширования учетных данных пользователя в локальном органе безопасности операционной системы (LSA). Когда пользователь входит в домен, проверка подлинности Windows пакеты прозрачно используют учетные данные для предоставления единого входа при проверке подлинности учетных данных в сетевых ресурсах. Дополнительные сведения об учетных данных см. в разделе "Процессы учетных данных в проверке подлинности Windows".
Форма многофакторной проверки подлинности для путешественника может быть требованием к переносу и представлению нескольких документов для проверки подлинности его личности, таких как паспорт и информация о регистрации конференции. Windows реализует эту форму или проверку подлинности с помощью смарт-карта, виртуальных смарт-карта и технологий биография метрик.
Субъекты безопасности и учетные записи
В Windows любой пользователь, служба, группа или компьютер, который может инициировать действие, является субъектом безопасности. Субъекты безопасности имеют учетные записи, которые могут быть локальными для компьютера или на основе домена. Например, компьютеры, присоединенные к домену клиента Windows, могут участвовать в сетевом домене, взаимодействуя с контроллером домена, даже если пользователь не вошел в систему. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. Прежде чем принимать сообщения с компьютера, локальный центр безопасности на контроллере домена проверяет подлинность удостоверения компьютера, а затем определяет контекст безопасности компьютера так же, как и для субъекта безопасности человека. Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на определенном компьютере, службе, группе или компьютере в сети. Например, он определяет ресурсы, например общую папку или принтер, к которым можно получить доступ, а также действия, такие как чтение, запись или изменение, которые могут выполняться пользователем, службой или компьютером на этом ресурсе. Дополнительные сведения см. в разделе "Субъекты безопасности".
Учетная запись — это средство для идентификации истца-пользователя или службы, запрашивающего доступ или ресурсы. Путешественник, имеющий подлинный паспорт, обладает учетной записью с принимающей страной. Пользователи, группы пользователей, объектов и служб могут иметь отдельные учетные записи или общие учетные записи. Учетные записи могут быть членами групп и могут быть назначены определенные права и разрешения. Учетные записи могут быть ограничены локальным компьютером, рабочей группой, сетью или назначать членство в домене.
Встроенные учетные записи и группы безопасности, из которых они являются членами, определяются в каждой версии Windows. С помощью групп безопасности можно назначить одинаковые разрешения безопасности многим пользователям, успешно прошедшим проверку подлинности, что упрощает администрирование доступа. Для выдачи паспортов может потребоваться, чтобы путешественник был назначен определенным группам, таким как бизнес, или турист, или правительство. Этот процесс обеспечивает согласованные разрешения безопасности для всех членов группы. С помощью групп безопасности для назначения разрешений управление доступом ресурсов остается постоянным и простым для управления и аудита. Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности, можно свести к минимуму частоту изменений списков управления доступом (ACL).
Автономные управляемые учетные записи служб и виртуальные учетные записи были представлены в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и службы IIS (IIS), с изоляцией собственных учетных записей домена, устраняя необходимость администратора вручную администрировать имя субъекта-службы и учетные данные для этих учетных записей. Учетные записи управляемых служб групп появились в Windows Server 2012 и предоставляют одинаковые функциональные возможности в домене, но также расширяют эту функцию на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект.
Дополнительные сведения об учетных записях см. в следующем разделе:
Делегированная аутентификация
Чтобы использовать аналогию поездки, страны могут выдавать одинаковый доступ ко всем членам официальной правительственной делегации, так же, как и делегаты хорошо известны. Это делегирование позволяет одному члену действовать над авторитетом другого члена. В Windows делегированная проверка подлинности возникает, когда сетевая служба принимает запрос проверки подлинности от пользователя и предполагает удостоверение этого пользователя, чтобы инициировать новое подключение ко второй сетевой службе. Для поддержки делегированной проверки подлинности необходимо установить внешний или первый уровень серверы, такие как веб-серверы, которые отвечают за обработку запросов на проверку подлинности клиента и серверных или n-уровневых серверов, таких как большие базы данных, которые отвечают за хранение информации. Вы можете делегировать право на настройку делегированной проверки подлинности пользователям в организации, чтобы уменьшить административную нагрузку на администраторов.
Установив службу или компьютер как доверенный для делегирования, вы можете разрешить этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, выполняющего запрос, а затем получить доступ к данным для этого пользователя. Эта модель ограничивает доступ к данным на внутренних серверах только тем пользователям или службам, которые представляют учетные данные с правильными маркерами управления доступом. Кроме того, он позволяет выполнять аудит доступа к этим внутренним ресурсам. Требуя доступа ко всем данным с помощью учетных данных, делегированных серверу для использования от имени клиента, необходимо убедиться, что сервер не может быть скомпрометирован и что вы можете получить доступ к конфиденциальной информации, хранящейся на других серверах. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах.
Проверка подлинности в отношениях доверия между доменами
Большинство организаций с несколькими доменами имеют законную потребность пользователей в доступе к общим ресурсам, расположенным в другом домене, так же, как путешественник может путешествовать по разным регионам в стране. Для управления этим доступом требуется, чтобы пользователи в одном домене также могли пройти проверку подлинности и авторизованы для использования ресурсов в другом домене. Чтобы обеспечить возможности проверки подлинности и авторизации между клиентами и серверами в разных доменах, между двумя доменами должно быть доверие. Доверие — это базовая технология, с помощью которой происходит защищенное взаимодействие Active Directory и является неотъемлемой компонентом безопасности сетевой архитектуры Windows Server.
Если доверие существует между двумя доменами, механизмы проверки подлинности для каждого домена доверяют проверки подлинности, поступающие из другого домена. Доверия помогают обеспечить контролируемый доступ к общим ресурсам в домене ресурсов, доверяющем домену, проверяя, что входящие запросы проверки подлинности приходят из доверенного центра — доверенного домена. Таким образом, доверие выступает в качестве мостов, которые позволяют выполнять только проверенные запросы проверки подлинности между доменами.
Способ передачи запросов проверки подлинности определенного доверия зависит от того, как он настроен. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверенном домене или двумя способами, предоставляя доступ из каждого домена к ресурсам в другом домене. Доверия также являются нетрансляционными, в этом случае доверие существует только между двумя доменами партнеров доверия или транзитивным, в этом случае доверие автоматически распространяется на любые другие домены, которыми доверяет любой из партнеров.
Сведения о том, как работает доверие, см. в разделе "Как работает домен и лес доверия".
Переход по протоколу
Переход протокола помогает конструкторам приложений, позволяя приложениям поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователей и переключаясь на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений.
Дополнительные сведения о переходе протокола см. в разделе "Переход протокола Kerberos" и "Ограниченное делегирование".
Ограниченное делегирование
Ограниченное делегирование дает администраторам возможность указывать и применять границы доверия приложений путем ограничения область, где службы приложений могут действовать от имени пользователя. Можно указать определенные службы, из которых компьютер, доверенный для делегирования, может запрашивать ресурсы. Гибкость ограничения прав авторизации для служб помогает улучшить структуру безопасности приложений, уменьшая возможности компрометации ненадежными службами.
Дополнительные сведения об ограниченном делегировании см. в обзоре ограниченного делегирования Kerberos.