Windows-Authentifizierung: Übersicht
Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
In diesem Navigationsthema für IT-Experten sind Dokumentationsressourcen für Technologien zur Windows-Authentifizierung und -Anmeldung aufgeführt, die Produktbewertungen, "Erste Schritte"-Handbücher, Verfahren, Entwurfs- und Bereitstellungshandbücher, technische Referenzen und Befehlsverzeichnisse enthalten.
Featurebeschreibung
Authentifizierung ist der Vorgang, durch den die Identität eines Objekts, eines Dienstes oder einer Person überprüft wird. Ziel der Authentifizierung eines Objekts ist es, sicherzustellen, dass das Objekt echt und unverfälscht ist. Beim Authentifizieren eines Diensts oder einer Person ist das Ziel, sicherzustellen, dass die vorgelegten Anmeldeinformationen authentisch sind.
Im Netzwerkkontext dient die Authentifizierung dazu, die Identität gegenüber einer Netzwerkanwendung oder -ressource nachzuweisen. Die Identität wird üblicherweise durch einen kryptografischen Vorgang nachgewiesen, für den entweder ein Schlüssel, der nur dem Benutzer bekannt ist – wie beispielsweise bei der Kryptografie mit öffentlichem Schlüssel –, oder ein vorinstallierter Schlüssel verwendet wird. Auf der Serverseite der Authentifizierungskommunikation werden die signierten Daten mit einem bekannten Kryptografieschlüssel verglichen, um den Authentifizierungsversuch zu überprüfen.
Durch die Speicherung der Kryptografieschlüssel an einem zentralen Ort wird der Authentifizierungsvorgang skalierbar und verwaltbar. Die Active Directory-Domänendienste sind die empfohlene und standardmäßig verwendete Technologie für das Speichern von Identitätsinformationen (einschließlich der Kryptografieschlüssel, die die Anmeldeinformationen des Benutzers darstellen). Active Directory ist für Standardimplementierungen von Kerberos und NTLM erforderlich.
Die Authentifizierungstechniken reichen von der einfachen Anmeldung, bei der die Benutzer anhand von Informationen identifiziert werden, die nur der jeweilige Benutzer kennt (beispielsweise ein Kennwort), bis hin zu leistungsfähigeren Sicherheitsmechanismen, bei denen der Benutzer anhand von etwas identifiziert wird, das sich in seinem Besitz befindet oder das ihn auszeichnet (beispielsweise Token, Zertifikate, die auf einem öffentlichen Schlüssel basieren, und biometrische Eigenschaften). In einer Unternehmensumgebung ist es Diensten oder Benutzern eventuell möglich, auf unterschiedliche Anwendungen oder Ressourcen auf verschiedenen Arten von Servern an einem einzigen Standort oder auch standortübergreifend zugreifen. Aus diesem Grund muss die Authentifizierung Umgebungen unterstützen, die auf anderen Plattformen und anderen Windows-Betriebssystemen basieren.
Mit dem Windows-Betriebssystem wird im Rahmen einer erweiterbaren Architektur ein Standardsatz von Authentifizierungsprotokollen implementiert, u. a. Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Digest. Darüber hinaus werden einige Protokolle zu Authentifizierungspaketen zusammengefasst, beispielsweise Negotiate und der Credential Security Support Provider. Mit diesen Protokollen und Paketen können Benutzer, Computer und Dienste authentifiziert werden. Der Authentifizierungsprozess wiederum ermöglicht Benutzern und Diensten einen sicheren Zugriff auf Ressourcen.
Weitere Informationen zur Windows-Authentifizierung einschließlich der Aspekte
Unterschiede in der Windows-Authentifizierung zwischen Windows-Betriebssysteme
Anmeldeinformationen Prozesse in der Windows-Authentifizierung
finden Sie unter Technische Übersicht über Windows-Authentifizierung.
Praktische Anwendung
Mithilfe der Windows-Authentifizierung wird überprüft, ob die Informationen von einer vertrauenswürdigen Quelle stammen, ungeachtet dessen, ob es sich um eine Person oder ein Computerobjekt, beispielsweise einen anderen Computer, handelt. Windows stellt viele verschiedene Methoden bereit, um dies zu erreichen. Im Folgenden werden diese Methoden beschrieben.
Zweck |
Feature |
Beschreibung |
|---|---|---|
Authentifizieren innerhalb einer Active Directory-Domäne |
Kerberos |
Mit dem Betriebssystem Microsoft Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichem Schlüssel implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert. Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, (KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Datenbank des Active Directory-Verzeichnisdienstes als Sicherheitskonten-Datenbank. Active Directory ist für Standardimplementierungen von Kerberos erforderlich. Weitere Ressourcen finden Sie unter Kerberos-Authentifizierung: Übersicht. |
Sichere Authentifizierung im Web |
TLS/SSL wie im Schannel-Security Support Provider implementiert |
Die TLS-Protokollversionen (Transport Layer Security) 1.0, 1.1 und 1.2, SSL-Protokollversionen (Secure Sockets Layer) 2.0 und 3.0, DTLS-Protokollversion (Datagram Transport Layer Security) 1.0 sowie PCT-Protokollversion (Private Communications Transport) 1.0 basieren auf Kryptografie mit öffentlichem Schlüssel. Die Authentifizierungsprotokollsuite des Secure Channel-Anbieters (Schannel) stellt diese Protokolle bereit. Alle Schannel-Protokolle verwenden ein Client- und Servermodell. Weitere Ressourcen finden Sie unter Übersicht über TLS/SSL (Schannel SSP). |
Authentifizieren bei einem Webdienst oder einer Anwendung |
Integrierte Windows-Authentifizierung Digestauthentifizierung |
Weitere Ressourcen finden Sie unter Integrierte Windows-Authentifizierung und Digestauthentifizierung sowie Erweiterte Digestauthentifizierung. |
Authentifizieren bei älteren Anwendungen |
NTLM |
NTLM ist ein Protokoll für die Abfrage/Rückmeldung-Authentifizierung. Zusätzlich zur Authentifizierung bietet das NTLM-Protokoll die optionale Unterstützung für die Sitzungssicherheit, insbesondere im Hinblick auf Nachrichtenintegrität und Vertraulichkeit, durch in NTLM enthaltene Signatur-und Versiegelungsfunktionen. Weitere Ressourcen finden Sie unter NTLM: Übersicht. |
Nutzen der mehrstufigen Authentifizierung |
Unterstützung von Smartcards Biometrie-Unterstützung |
Smartcards sind eine manipulationsresistente und transportable Möglichkeit, um Sicherheitslösungen für Aufgaben wie die Clientauthentifizierung, die Anmeldung bei Domänen, Codesignatur und den Schutz von E-Mails bereitzustellen. Bei der Biometrie wird ein unveränderliches physisches Merkmal einer Person erfasst, um diese Person eindeutig identifizieren zu können. Fingerabdrücke gehören zu den am häufigsten genutzten biometrischen Merkmalen, weshalb Millionen PCs und Peripheriegeräte mit biometrischen Fingerabdrucklesern ausgestattet sind. Weitere Ressourcen finden Sie unter Smartcard: Übersicht und Windows-Biometrieframework: Übersicht [W8]. |
Bereitstellen der lokalen Verwaltung, Speicherung und Wiederverwendung von Anmeldeinformationen |
Verwaltung von Anmeldeinformationen Lokale Sicherheitsautorität Kennwörter |
Durch die Verwaltung von Anmeldeinformationen in Windows wird sichergestellt, Anmeldeinformationen sicher gespeichert werden. Anmeldeinformationen werden über Apps oder Websites auf dem sicheren Desktop (für lokalen oder Domänenzugriff) gesammelt, sodass beim Zugriff auf eine Ressource stets die richtigen Anmeldeinformationen vorgelegt werden. Weitere Ressourcen finden Sie unter Technische Übersicht zu zwischengespeicherten und gespeicherten Anmeldeinformationen und Kennwörter: Übersicht. |
Erweitern des Authentifizierungsschutzes auf Legacysysteme |
Erweiterter Schutz für Authentifizierung |
Durch dieses Feature wird der Schutz und die Handhabung von Anmeldeinformationen verbessert, wenn Netzwerkverbindungen mithilfe der integrierten Windows-Authentifizierung (IWA) authentifiziert werden. Weitere Ressourcen finden Sie unter Erweiterter Schutz für die Authentifizierung. |
Softwareanforderungen
Die Windows-Authentifizierung ist so konzipiert, dass sie mit früheren Versionen des Windows-Betriebssystem kompatibel ist. Verbesserungen in einer neuen Version stehen jedoch nicht notwendigerweise auch in früheren Versionen zur Verfügung. Weitere Informationen finden Sie in der Dokumentation zu den verschiedenen Features.
Informationen zum Server-Manager
Viele Authentifizierungsfeatures können mit der Gruppenrichtlinie konfiguriert werden, die mithilfe des Server-Managers installiert werden kann. Das Windows-Biometrieframework wird mithilfe des Server-Managers installiert. Andere Serverrollen, die von den verwendeten Authentifizierungsmethoden abhängen, beispielsweise der Webserver (IIS) und die Active Directory-Domänendienste, können ebenfalls mithilfe des Server-Managers installiert werden.
Verwandte Ressourcen
Authentifizierungstechnologien |
Ressourcen |
|---|---|
Windows-Authentifizierung |
Technische Übersicht über Windows-Authentifizierung |
Kerberos |
Kerberos-Authentifizierung: Übersicht Eingeschränkte Kerberos-Delegierung: Übersicht Technische Referenz für die Kerberos-Authentifizierung(2003) Sicherheitsleitfaden für Kerberos (TechNet Wiki) |
TLS/SSL und DTLS (Schannel-Sicherheitssupportanbieter) |
|
Digestauthentifizierung |
|
NTLM |
NTLM: Übersicht |
PKU2U |
|
Smartcard |
|
Virtuelle Smartcard |
|
Biometrie |
Windows-Biometrieframework (Übersicht) [W8]Windows-Biometrieframework (Übersicht) [W8] |
Anmeldeinformationen |
Schutz und Verwaltung von Anmeldeinformationen Kennwörter: Übersicht |