Arquitetura de autenticação do Windows
Aplica-se a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico de visão geral para profissionais de TI explica o esquema básico de arquitetura para autenticação do Windows.
Autenticação é o processo pelo qual o sistema valida logon ou informações de logon do usuário. Nome do usuário e a senha são comparados com uma lista autorizada e, se o sistema detectar uma correspondência, o acesso será concedido à extensão especificada na lista de permissão para esse usuário.
Como parte de uma arquitetura extensível, os sistemas operacionais Windows Server implementam um conjunto padrão de provedores de suporte de segurança autenticação, que incluem Negotiate, o protocolo da Kerberos, NTLM, Schannel (canal seguro) e Digest. Os protocolos usados por esses provedores permitem a autenticação de usuários, computadores e serviços, e o processo de autenticação permite que os usuários autorizados e serviços acessar recursos de forma segura.
No Windows Server, aplicativos de autenticam usuários usando o SSPI abstrair chamadas para autenticação. Portanto, os desenvolvedores não precisam compreender as complexidades de protocolos de autenticação específicos ou criar protocolos de autenticação em seus aplicativos.
Sistemas operacionais Windows Server incluem um conjunto de componentes de segurança que compõem o modelo de segurança do Windows. Esses componentes garantem que os aplicativos não podem obter acesso a recursos sem autenticação e autorização. As seções a seguir descrevem os elementos da arquitetura de autenticação. Autenticação de cartão inteligente é descrita o Referência técnica do Cartão Inteligente do Windows.
Autoridade de Segurança Local
A autoridade de segurança Local (LSA) é um subsistema protegido que autentica e autentica usuários no computador local. Além disso, a LSA mantém informações sobre todos os aspectos de segurança local em um computador (esses aspectos são conhecidos coletivamente como diretiva de segurança local). Ele também fornece vários serviços para conversão entre nomes e identificadores de segurança (SIDs).
O subsistema de segurança mantém controle de diretivas de segurança e as contas que estão em um sistema de computador. No caso de um domínio controlador, essas políticas e as contas são aqueles que estão em vigor para o domínio no qual o controlador de domínio está localizado. Essas diretivas e as contas são armazenadas no Active Directory. O subsistema LSA fornece serviços para validar o acesso a objetos, verificação de direitos de usuário e gerar mensagens de auditoria.
Interface do provedor de suporte de segurança
A Interface de provedor de suporte de segurança (SSPI) é a API que obtém os serviços de segurança integrada para autenticação, integridade de mensagem, mensagem privacidade e qualidade de serviço de segurança para qualquer protocolo de aplicativo distribuído.
SSPI é a implementação de API de serviço de segurança (GSSAPI) genérico. SSPI fornece um mecanismo pelo qual um aplicativo distribuído pode chamar um dos vários provedores de segurança para obter uma conexão autenticada sem o conhecimento dos detalhes de protocolo de segurança.