Общие сведения о проверке подлинности Windows
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе для ИТ-специалистов перечислены источники документации по способам проверки подлинности и входа в систему в Windows, которые включают оценку продукта, руководства по началу работы, процедуры, руководства по разработке и развертыванию, технические справочники и справочники по командам.
Описание функции
Проверка подлинности — это процесс проверки удостоверения объекта, службы или пользователя. Задача проверки подлинности объекта заключается в проверке подлинности объекта. Целью проверки подлинности службы или пользователя является проверка подлинности предоставленных учетных данных.
В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. Как правило, удостоверение подтверждается криптографической операцией, которая использует только ключ, который знает только пользователь , как с криптографией открытого ключа или общим ключом. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности.
Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. службы домен Active Directory — это рекомендуемая технология и по умолчанию для хранения сведений об удостоверениях (включая криптографические ключи, которые являются учетными данными пользователя). Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию.
Методы проверки подлинности варьируются от простого входа, который определяет пользователей на основе того, что знает только пользователь , например пароль, к более мощным механизмам безопасности, которые используют то, что пользователь имеет - например маркеры, сертификаты открытого ключа и биография метрики. В бизнес-среде службы или пользователи могут открывать множество приложений или ресурсов на различных типах серверов из одного или многих местоположений. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.
Операционная система Windows реализует набор протоколов проверки подлинности по умолчанию, включая Kerberos, NTLM, протокол TLS/SSL и дайджест, в рамках расширяемой архитектуры. Кроме того, некоторые протоколы объединены в пакеты проверки подлинности, такие как поставщик поддержки согласования и безопасности учетных данных. Эти протоколы и пакеты обеспечивают выполнение проверки подлинности пользователей, компьютеров и служб; процесс проверки подлинности, в свою очередь, позволяет авторизованным пользователям и службам осуществлять безопасный доступ к ресурсам.
Дополнительные сведения о проверке подлинности Windows, включая:
См. технический обзор проверки подлинности Windows.
Практическое применение
Проверка подлинности Windows используется для проверки сведений, поступающих от доверенного источника, пользователя или объекта компьютера, например другого компьютера. Windows предоставляет множество различных способов достижения этой цели, как описано ниже.
| Кому... | Возможность | Description |
|---|---|---|
| Проверка подлинности в домене Active Directory | Kerberos | Операционные системы Microsoft Windows Server реализуют протокол проверки подлинности Kerberos версии 5 и расширения для проверки подлинности с помощью открытого ключа. Клиент проверки подлинности Kerberos применяется в качестве поставщика поддержки безопасности (SSP), и получить к нему доступ можно через интерфейс поставщика поддержки безопасности (SSPI). Начальная проверка подлинности пользователя интегрирована в архитектуру единого входа Winlogon. Центр распространения ключей Kerberos (KDC) встроен в другие службы безопасности Windows Server, работающие на контроллере домена. KDC использует базу данных службы active Directory домена в качестве базы данных учетной записи безопасности. Служба каталогов Active Directory необходима для реализаций Kerberos по умолчанию. Дополнительные ресурсы см. в разделе "Обзор проверки подлинности Kerberos". |
| Безопасная проверка подлинности в сети | Протокол TLS/SSL в качестве реализованного в Schannel поставщика поддержки безопасности | Протокол TLS версии 1.0, 1.1 и 1.2, протокол SSL, версии 2.0 и 3.0, протокол datagram Transport Layer Security версии 1.0 и протокол p.1.0, а также протокол "Частный транспорт связи" версии 1.0, основан на криптографии открытого ключа. Эти протоколы предоставляются в наборе протоколов проверки подлинности поставщика безопасности Channel (Schannel). Все протоколы Schannel используют модель клиента и сервера. Дополнительные ресурсы см. в разделе TLS — SSL (Schannel SSP). |
| Проверка подлинности веб-службы или приложения | Встроенная проверка подлинности Windows Дайджест-проверка подлинности |
Дополнительные ресурсы см. в разделах Встроенная проверка подлинности Windows, Дайджест-проверка подлинности и Расширенная дайджест-проверка подлинности. |
| Проверка подлинности приложений прежних версий | NTLM | NTLM — это протокол проверки подлинности в стиле ответа на вызовы. В дополнение к проверке подлинности протокол NTLM дополнительно обеспечивает безопасность сеанса, в частности целостность сообщений и конфиденциальность, путем подписывания и запечатывания функций в NTLM. Дополнительные ресурсы см. в разделе "Обзор NTLM". |
| Использование многофакторной проверки подлинности | Поддержка смарт-карты Поддержка биометрии |
Смарт-карты являются портативными, защищенными от несанкционированного вмешательства устройствами, которые позволяют решить проблемы безопасности в таких областях, как идентификация клиентов, вход в домены, подписывание кода и защита электронной почты. Биометрия основывается на измерении неизменных физических характеристик человека для его уникальной идентификации. Отпечатки пальцев — наиболее часто используемые биометрические характеристики. Существуют миллионы встроенных в персональные компьютеры и периферийные устройства биометрических устройств для снятия отпечатков пальцев. Дополнительные ресурсы см. в техническом справочнике по смарт-картам. |
| Осуществление локального управления, хранения и повторного использования учетных данных | Управление учетными данными Локальная система безопасности Passwords |
Диспетчер учетных данных системы Windows обеспечивает безопасное хранение учетных данных. Через приложения и веб-сайты учетные данные собираются на безопасном рабочем столе (для локального доступа и доступа к домену), поэтому каждый раз при доступе к ресурсу предоставляются правильные учетные данные. |
| Расширение современной защиты устаревших систем с помощью проверки подлинности | Расширенная защита для проверки подлинности | Эта функция улучшает защиту и обработку учетных данных во время проверки подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA). |
Требования к программному обеспечению
Проверка подлинности Windows совместима с более ранними версиями операционной системы Windows. Однако это не значит, что усовершенствования новых выпусков будут работать в более ранних версиях. Дополнительные сведения см. в документации по определенным функциям.
Сведения о диспетчере сервера
Многие функции проверки подлинности можно настроить с помощью групповой политики, которую можно установить с помощью диспетчера сервера. Функция биометрической платформы Windows устанавливается с помощью диспетчера сервера. Другие роли сервера, зависящие от методов проверки подлинности, такие как веб-сервер (IIS) и службы доменов Active Directory, также можно установить с помощью диспетчера сервера.
Связанные ресурсы
| Технологии проверки подлинности | Ресурсы |
|---|---|
| Проверка подлинности Windows | Технический обзор проверки подлинности Windows Разделы, описывающие различия между версиями, общие понятия проверки подлинности, сценарии входа в систему, архитектуры для поддерживаемых версий и применимые параметры. |
| Kerberos | Обзор проверки подлинности Kerberos (Обзор ограниченного делегирования Kerberos) Технический справочник по проверке подлинности Kerberos(2003) |
| Протокол TLS/SSL и DTLS (поставщик поддержки безопасности Schannel) | Общие сведения о протоколе TLS — SSL (Schannel SSP) Технический справочник по поставщику поддержки безопасности Schannel |
| Дайджест-аутентификация | Технический справочник по дайджест-проверке подлинности(2003) |
| NTLM | Обзор NTLM Содержит ссылки на текущие и прошлые ресурсы |
| PKU2U | Знакомство с PKU2U в Windows |
| Смарт-карта | Технический справочник по смарт-картам |
| Подтверждение компетенции | Защита учетных данных и управление ими Содержит ссылки на текущие и прошлые ресурсы Общие сведения о паролях |