(0) exportieren Drucken
Alle erweitern

Windows-Authentifizierung: Übersicht

Veröffentlicht: Februar 2012

Letzte Aktualisierung: August 2012

Betrifft: Windows 8, Windows Server 2012

In diesem Navigationsthema für IT-Professionals sind Dokumentationsressourcen für Technologien zur Windows-Authentifizierung und -Anmeldung aufgeführt, die Produktbewertungen, "Erste Schritte"-Handbücher, Verfahren, Entwurfs- und Bereitstellungshandbücher, technische Referenzen und Befehlsverzeichnisse für Windows Server 2012 und Windows 8 enthalten.

Authentifizierung ist der Vorgang, durch den die Identität eines Objekts, eines Dienstes oder einer Person überprüft wird. Ziel der Authentifizierung eines Objekts ist es, sicherzustellen, dass das Objekt echt und unverfälscht ist. Beim Authentifizieren eines Diensts oder einer Person ist das Ziel, sicherzustellen, dass die vorgelegten Anmeldeinformationen authentisch sind.

Im Netzwerkkontext dient die Authentifizierung dazu, die Identität gegenüber einer Netzwerkanwendung oder -ressource nachzuweisen. Die Identität wird üblicherweise durch einen kryptografischen Vorgang nachgewiesen, für den entweder ein Schlüssel, der nur dem Benutzer bekannt ist – wie beispielsweise bei der Kryptografie mit öffentlichem Schlüssel –, oder ein vorinstallierter Schlüssel verwendet wird. Auf der Serverseite der Authentifizierungskommunikation werden die signierten Daten mit einem bekannten Kryptografieschlüssel verglichen, um den Authentifizierungsversuch zu überprüfen.

Durch die Speicherung der Kryptografieschlüssel an einem zentralen Ort wird der Authentifizierungsvorgang skalierbar und verwaltbar. Die Active Directory-Domänendienste sind die empfohlene und standardmäßig verwendete Technologie für das Speichern von Identitätsinformationen (einschließlich der Kryptografieschlüssel, die die Anmeldeinformationen des Benutzers darstellen). Active Directory ist für Standardimplementierungen von Kerberos und NTLM erforderlich.

Die Authentifizierungstechniken reichen von der einfachen Anmeldung, bei der die Benutzer anhand von Informationen identifiziert werden, die nur der jeweilige Benutzer kennt (beispielsweise ein Kennwort), bis hin zu leistungsfähigeren Sicherheitsmechanismen, bei denen der Benutzer anhand von etwas identifiziert wird, das sich in seinem Besitz befindet oder das ihn auszeichnet (beispielsweise Token, Zertifikate, die auf einem öffentlichen Schlüssel basieren, und biometrische Eigenschaften). In einer Unternehmensumgebung ist es Diensten oder Benutzern eventuell möglich, auf unterschiedliche Anwendungen oder Ressourcen auf verschiedenen Arten von Servern an einem einzigen Standort oder auch standortübergreifend zugreifen. Aus diesem Grund muss die Authentifizierung Umgebungen unterstützen, die auf anderen Plattformen und anderen Windows-Betriebssystemen basieren.

Mit dem Windows-Betriebssystem wird im Rahmen einer erweiterbaren Architektur ein Standardsatz von Authentifizierungsprotokollen implementiert, u. a. Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Digest. Darüber hinaus werden einige Protokolle zu Authentifizierungspaketen zusammengefasst, beispielsweise Negotiate und der Credential Security Support Provider. Mit diesen Protokollen und Paketen können Benutzer, Computer und Dienste authentifiziert werden. Der Authentifizierungsprozess wiederum ermöglicht Benutzern und Diensten einen sicheren Zugriff auf Ressourcen.

Mithilfe der Windows-Authentifizierung wird überprüft, ob die Informationen von einer vertrauenswürdigen Quelle stammen, ungeachtet dessen, ob es sich um eine Person oder ein Computerobjekt, beispielsweise einen anderen Computer, handelt. Windows stellt viele verschiedene Methoden bereit, um dies zu erreichen. Im Folgenden werden diese Methoden beschrieben.

 

Zweck Feature Beschreibung

Authentifizieren innerhalb einer Active Directory-Domäne

Kerberos

Mit dem Betriebssystem Microsoft Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichem Schlüssel implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert. Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center), (KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Datenbank des Active Directory-Verzeichnisdienstes als Sicherheitskonten-Datenbank. Active Directory ist für Standardimplementierungen von Kerberos erforderlich.

Weitere Ressourcen finden Sie unter Kerberos-Authentifizierung: Übersicht.

Sichere Authentifizierung im Web

TLS/SSL wie im Schannel-Security Support Provider implementiert

Die TLS-Protokollversionen 1.0, 1.1 und 1.2, die SSL-Protokollversionen 2.0 und 3.0 und das PCT-Protokoll (Private Communications Transport), Version 1.0, basieren auf der Kryptografie mit öffentlichem Schlüssel. Die Authentifizierungsprotokollsuite des Secure Channel-Anbieters (Schannel) stellt diese Protokolle bereit. Alle Schannel-Protokolle verwenden ein Client- und Servermodell.

Weitere Ressourcen finden Sie unter Übersicht über TLS/SSL (Schannel SSP).

Authentifizieren bei einem Webdienst oder einer Anwendung

Integrierte Windows-Authentifizierung

Digestauthentifizierung

Weitere Ressourcen finden Sie unter Integrierte Windows-Authentifizierung und Digestauthentifizierung und Erweiterte Digestauthentifizierung.

Authentifizieren bei älteren Anwendungen

NTLM

NTLM ist ein Protokoll für die Abfrage/Rückmeldung-Authentifizierung. Zusätzlich zur Authentifizierung bietet das NTLM-Protokoll die optionale Unterstützung für die Sitzungssicherheit, insbesondere im Hinblick auf Nachrichtenintegrität und Vertraulichkeit, durch in NTLM enthaltene Signatur-und Versiegelungsfunktionen.

Weitere Ressourcen finden Sie unter NTLM: Übersicht.

Nutzen der mehrstufigen Authentifizierung

Unterstützung von Smartcards

Biometrie-Unterstützung

Smartcards sind eine manipulationsresistente und transportable Möglichkeit, um Sicherheitslösungen für Aufgaben wie die Clientauthentifizierung, die Anmeldung bei Domänen, Codesignatur und den Schutz von E-Mails bereitzustellen.

Bei der Biometrie wird ein unveränderliches physisches Merkmal einer Person erfasst, um diese Person eindeutig identifizieren zu können. Fingerabdrücke gehören zu den am häufigsten genutzten biometrischen Merkmalen, weshalb Millionen PCs und Peripheriegeräte mit biometrischen Fingerabdrucklesern ausgestattet sind.

Weitere Ressourcen finden Sie unter Smartcard: Übersicht und Windows-Biometrieframework (Übersicht).

Bereitstellen der lokalen Verwaltung, Speicherung und Wiederverwendung von Anmeldeinformationen

Verwaltung von Anmeldeinformationen

Lokale Sicherheitsautorität

Kennwörter

Durch die Verwaltung von Anmeldeinformationen in Windows wird sichergestellt, Anmeldeinformationen sicher gespeichert werden. Anmeldeinformationen werden über Apps oder Websites auf dem sicheren Desktop (für lokalen oder Domänenzugriff) gesammelt, sodass beim Zugriff auf eine Ressource stets die richtigen Anmeldeinformationen vorgelegt werden.

Weitere Ressourcen finden Sie unter Schließfach für Anmeldeinformationen: Übersicht und Passwords Overview.

Erweitern des Authentifizierungsschutzes auf Legacysysteme

Erweiterter Schutz für Authentifizierung

Durch dieses Feature wird der Schutz und die Handhabung von Anmeldeinformationen verbessert, wenn Netzwerkverbindungen mithilfe der integrierten Windows-Authentifizierung (IWA) authentifiziert werden.

Weitere Ressourcen finden Sie unter Erweiterter Schutz für die Authentifizierung.

 

Feature Übersicht über die Änderungen Ressourcen

Kerberos

Gesamstrukturinterne, domänenübergreifende eingeschränkte Delegierung

Verbesserungen bei der Problembehandlung (Protokoll und Verfolgung, Integration in DirectAccess)

Unterstützung für Verbundidentitäten mittels FAST

Unterstützung für Autorisierungsdaten mit Anspruchsinformationen

Neues bei der Kerberos-Authentifizierung

TLS/SSL wie im Schannel-Security Support Provider implementiert

TLS-Unterstützung für SNI-Erweiterungen (Server Name Indicator, Servernamensanzeige)

Datagram Transport Layer Security (DTLS)

Neues in TLS/SSL (Schannel SSP)

Integrierte Windows-Authentifizierung und NTLM

Keine Änderungen an der Funktionalität

Standardmäßig in Windows Server 2012 und Windows 8 enthalten.

Unterstützung von Smartcards

Virtuelle Smartcards ahmen die Funktionalität physischer Smartcards nach. Eine virtuelle Smartcard ist im Prinzip eine Smartcard, die ständig auf dem Computer verfügbar ist.

Neues bei Smartcards

Biometrie-Unterstützung

Verbesserungen der schnellen Benutzerumschaltung für biometrische Geräte und Unterstützung des Anmeldeinformationsanbieters

Neue und geänderte Funktionalität

Verwaltung von Anmeldeinformationen

Architekturänderungen am früheren Windows-Tresor, der jetzt Schließfach für Anmeldeinformationen heißt

Neue und geänderte Funktionalität

Verwaltete Dienstkonten

Die Verwaltung eigenständiger verwalteter Dienstkonten ist jetzt dank des Hinzufügens gruppenverwalteter Dienstkonten, die die Funktionalität auf Servergruppen erweitern, einfacher.

Gruppenverwaltete Dienstkonten: Übersicht

Eine Liste der veralteten Features in Windows Server 2012 finden Sie unter In Windows Server 2012 entfernte oder veraltete Features.

Die Windows-Authentifizierung ist so konzipiert, dass sie mit früheren Versionen des Windows-Betriebssystem kompatibel ist. Verbesserungen in einer neuen Version stehen jedoch nicht notwendigerweise auch in früheren Versionen zur Verfügung. Weitere Informationen finden Sie in der Dokumentation zu den verschiedenen Features.

Viele Authentifizierungsfeatures können mit der Gruppenrichtlinie konfiguriert werden, die mithilfe des Server-Managers installiert werden kann. Das Windows-Biometrieframework wird mithilfe des Server-Managers installiert. Andere Serverrollen, die von den verwendeten Authentifizierungsmethoden abhängen, beispielsweise der Webserver (IIS) und die Active Directory-Domänendienste, können ebenfalls mithilfe des Server-Managers installiert werden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft