Architektur der Windows-Authentifizierung
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Diese Übersicht für IT-Spezialisten erläutert das grundlegende Architektur Schema für die Windows-Authentifizierung.
Authentifizierung ist der Prozess, durch den das System die Anmeldung oder die Anmeldeinformationen eines Benutzers überprüft. Name und Kennwort eines Benutzers werden mit einer autorisierten Liste verglichen, und wenn das System eine Übereinstimmung findet, Zugriff auf den Block in der Berechtigungsliste für diesen Benutzer angegeben.
Im Rahmen einer erweiterbaren Architektur implementieren die Windows Server-Betriebssysteme einen Standardsatz von Security Support Authentifizierungsanbietern, die Negotiate, Kerberos-Protokoll, NTLM, Schannel (secure Channel) und Digest enthalten. Die von diesen Anbietern verwendeten Protokolle ermöglichen die Authentifizierung von Benutzern, Computern und Diensten, und der Authentifizierungsprozess ermöglicht autorisierten Benutzern und Diensten Zugriff auf Ressourcen auf sichere Weise.
In Windows Server authentifizieren Applications von Benutzern mithilfe der SSPI Aufrufe für die Authentifizierung zu abstrahieren. Daher müssen Entwickler nicht verstehen, die Komplexität der bestimmter Authentifizierungsprotokolle oder Authentifizierungsprotokolle in ihre Programme zu erstellen.
Windows Server-Betriebssysteme enthalten eine Reihe von Sicherheitskomponenten, aus denen das Windows-Sicherheitsmodell. Diese Komponenten stellen Sie sicher, dass die Anwendung auf Ressourcen ohne Authentifizierung und Autorisierung zugreifen können. Den folgenden Abschnitten werden die Elemente der authentifizierungsarchitektur. Authentifizierung mit Smartcards finden Sie unter derTechnische Referenz zu Windows-Smartcards.
Lokale Sicherheitsautorität
Die lokale Sicherheitsinstanz (LSA) ist ein geschütztes Subsystem, das authentifiziert und Benutzer auf dem lokalen Computer anmeldet. Darüber hinaus verwaltet die LSA Informationen zu allen Aspekten der lokalen Sicherheit auf einem Computer (diese Aspekte werden zusammenfassend als die lokale Sicherheitsrichtlinie bezeichnet). Darüber hinaus verschiedene Dienste für die Übersetzung zwischen Namen und Sicherheits-IDs (SIDs).
Das Sicherheitssubsystem behält den Überblick über die Sicherheitsrichtlinien und die Konten, die auf einem Computer. Im Fall einer Domäne sind Controller, diese Richtlinien und Konten für die Domäne gültig sind in der sich der Domänencontroller befindet. Diese Richtlinien und Konten werden in Active Directory gespeichert. Das LSA-Subsystem stellt Dienste für den Zugriff auf Objekte überprüfen, Benutzerrechte überprüfen und Generieren von Nachrichten zu überwachen.
Security Support Provider Interface
Die Security Support Provider Interface (SSPI) ist die API, die integrierte Sicherheitsdienste für Authentifizierung, Nachrichtenintegrität, Nachrichtendatenschutz und Sicherheits Quality-of-Service für jedes beliebige verteilte Anwendungsprotokoll abruft.
SSPI ist die Implementierung von Generic Security Service API (GSSAPI). SSPI bietet einen Mechanismus, mit dem eine verteilte Anwendung eine von mehreren Sicherheitsfunktionen, um eine authentifizierte Verbindung ohne Kenntnis der Details des Sicherheitsprotokolls zu erhalten aufrufen kann.