Windows 驗證概觀
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
這個適用於 IT 專業人員的瀏覽主題列出 Windows 驗證與登入技術的文件資源,其中包含產品評估、入門指南、程序、設計和部署指南、技術參考及命令參考。
功能描述
驗證是確認物件、服務或個人身分識別的程序。 驗證物件時,目標是要確認該物件為正版。 當您驗證服務或個人時,目標是確認所提供的認證是否真實。
在網路內容中,驗證就是針對網路應用程式或資源提供身分識別的操作。 身份通常藉由密碼學操作舉證,以只有使用者知道的金鑰 - 一如公共金鑰密碼學 - 或共用金鑰。 驗證交換的伺服器端會使用已知的密碼編譯金鑰比較簽署的資料,來驗證該驗證嘗試。
在安全的集中位置儲存密碼編譯金鑰,可以擴充和管理驗證程序。 Active Directory 網域服務是建議用來儲存身分資訊 (包括使用者憑證的密碼學金鑰) 和預設技術。 預設的 NTLM 與 Kerberos 實作需要 Active Directory。
驗證技術範圍從簡單登入,以只有使用者知道的內容辨別使用者 -比方密碼,到更強大的資安機制,利用使用者擁有的東西 - 比方權杖、公共金鑰證書和生物辨識技術。 在商業環境中,服務或使用者可能會在位於單一位置或跨多個位置的多種類型的伺服器上存取多個應用程式或資源。 基於上述原因,驗證必須支援其他平台與其他 Windows 作業系統的環境。
Windows 作業系統實作一組預設的驗證通訊協定 (包括 Kerberos、NTLM、傳輸層安全性/安全通訊端層 (TLS/SSL) 以及摘要),做為可延伸架構的一部分。 此外,有些通訊協定會結合成驗證封裝,例如交涉與認證安全性支援提供者。 這些通訊協定與封裝可以驗證使用者、電腦以及服務;驗證程序接著可讓經過授權的使用者與服務以安全的方式存取資源。
如需 Windows 驗證的詳細資訊,包括
請參閱 Windows 驗證技術總覽。
實際應用
Windows 驗證是用來確認來自信任來源的資訊,是否出自個人或電腦物件,例如另一部電腦。 Windows 提供許多不同的方法來達成這個目標,如下所述。
| 收件人... | 功能 | 描述 |
|---|---|---|
| 在 Active Directory 網域內驗證 | Kerberos | Microsoft Windows Server 作業系統會針對公開金鑰驗證,實作 Kerberos 第 5 版的驗證通訊協定和延伸。 Kerberos 驗證用戶端是實作為安全性支援提供者 (SSP),而且可以透過安全性支援提供者介面 (SSPI) 進行存取。 初始使用者驗證與 Winlogon 單一登入架構整合。 Kerberos 金鑰發佈中心 (KDC) 則與網域控制站上執行的其他 Windows Server 安全性服務整合。 KDC 使用網域的 Active Directory 目錄服務資料庫,當作它的資安帳戶資料庫。 預設的 Kerberos 需要 Active Directory。 其他資源方面,請參閱 Kerberos 驗證概總覽。 |
| 在網路上安全的驗證 | 以安全通道安全性支援提供者實作 TLS/SSL | 傳輸層資安 (TLS) 通訊協定 1.0、1.1 和 1.2 版、資安通訊端層 (SSL) 通訊協定 2.0 和 3.0 版、資料包傳輸層資安通訊協定 1.0 版及私人通訊傳輸 (PCT) 通訊協定 1.0 版都以公共金鑰密碼學為基礎。 安全通道 (亦稱安全性通道) 提供者驗證通訊協定組合提供這些通訊協定。 所有安全通道通訊協定都使用用戶端與伺服器模型。 額外資源,請參閱 TLS - SSL (安全通道 SSP) 總覽。 |
| 驗證 Web 服務或應用程式 | 整合式 Windows 驗證 摘要式驗證 |
如需其他資源,請參閱<整合式 Windows 驗證>與<摘要式驗證>以及<進階摘要式驗證>。 |
| 驗證舊版應用程式 | NTLM | NTLM 是巔覆反應風格的驗證通訊協定。除了驗證以外,NTLM 通訊協定可選擇性為工作階段提供資安--特別是透過 NTLM 裡的簽章功能維持訊息的一致性與機密性。 額外資源,請參閱 NTLM 總覽。 |
| 利用多重要素驗證 | 智慧卡支援 生物識別技術支援 |
智慧卡是防竄改的可攜式工具,為用戶端驗證、登入網域、程式碼簽署及保護電子郵件等工作提供安全性解決方案。 生物識別技術仰賴測量個人不變的身體特徵,來唯一識別該位人員。 對於個人電腦與周邊設備內嵌的數百萬部指紋生物識別裝置,指紋是其中一種最常用的生物識別特徵。 其他資源,請參閱 智慧卡技術參考。 |
| 提供本機管理、儲存以及重複使用認證的功能 | 認證管理 本機安全性授權 密碼 |
Windows 的認證管理可以確保能安全地儲存認證。 認證是透過應用程式或透過網站在安全桌面上進行收集 (適用於本機或網域存取),因此每次存取資源時,就會呈現正確的認證。 |
| 延伸舊版系統的數據機驗證保護 | 驗證延伸保護 | 這個功能可在使用整合式 Windows 驗證 (IWA) 來驗證網路連線時,增強認證的保護與處理方式。 |
軟體需求
Windows 驗證是為了與舊版 Windows 作業系統相容而設計。 不過,每個版本的改進功能不一定適用於舊版。 如需詳細資訊,請參閱特定功能的文件。
伺服器管理員資訊
使用伺服器管理員安裝的群組原則,可用來設定許多驗證功能。 使用伺服器管理員安裝 Windows 生物特徵辨識架構功能。 依存於驗證方法的其他伺服器角色 (例如網頁伺服器 (IIS) 與 Active Directory 網域服務),也可以使用伺服器管理員來安裝。
相關資源
| 驗證技術 | 資源 |
|---|---|
| Windows 驗證 | Windows 驗證技術概觀 包含處理不同版本、一般驗證概念、登入案例、支援的版本架構適用設定的主題。 |
| Kerberos | Kerberos 驗證概觀 Kerberos 驗證技術參考(2003) |
| TLS/SSL 和 DTLS (安全通道安全性支援提供者) | TLS - SSL (Schannel SSP) 總覽 |
| 摘要式驗證 | 摘要式驗證技術參考(2003) |
| NTLM | NTLM 概觀 包含目前和過去資源的連結 |
| PKU2U | Windows 的 PKU2U 簡介 |
| 智慧卡 | 智慧卡技術參考 |
| 認證 | 認證保護和管理 包含目前和過去資源的連結 密碼概觀 |