Visão geral da autenticação do Windows
Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
Este tópico de navegação para profissionais de TI lista os recursos de documentação para as tecnologias de logon e autenticação do Windows que incluem avaliação do produto, guias de introdução, procedimentos, guias de design e implantação, referências técnicas e referências de comandos.
Descrição do recurso
A autenticação é um processo de verificação da identidade de um objeto, um serviço ou uma pessoa. Quando você autentica um objeto, a meta é verificar se ele é genuíno. Ao autenticar um serviço ou uma pessoa, a meta é verificar se as credenciais apresentadas são autênticas.
Em um contexto de rede, a autenticação é o ato de fornecer identidade para um aplicativo ou recurso de rede. Normalmente, a identidade é aprovada por uma operação criptográfica que usa uma chave conhecida somente pelo usuário, como a criptografia de chave pública, ou uma chave compartilhada. O lado do servidor da troca de autenticação compara os dados assinados com uma chave de criptografia conhecida para validar a tentativa de autenticação.
O armazenamento das chaves criptográficas em um local central seguro torna o processo de autenticação escalonável e passível de manutenção. Os Serviços de Domínio Active Directory consistem na tecnologia padrão recomendada para armazenar informações de identidade (incluindo as chaves criptográficas que são as credenciais do usuário). O Active Directory é exigido para as implementações de Kerberos e NTLM padrão.
A gama de técnicas de autenticação de um logon simples, que identifica os usuários com base em alguma coisa que somente os usuários conhecem, como uma senha até os mecanismos de segurança mais avançados que usam algo que o usuário tem, como tokens, certificados de chaves públicas e biometria. Em um ambiente de negócios, os serviços ou usuários podem acessar vários aplicativos ou recursos em muitos tipos de servidores em um único local ou em vários locais. Por esses motivos, a autenticação deve dar suporte a ambientes de outras plataformas e de outros sistemas operacionais Windows.
O sistema operacional Windows implementa um conjunto padrão de protocolos de autenticação, incluindo Kerberos, NTLM, TLS/SSL e Digest, como parte de uma arquitetura extensível. Além disso, alguns protocolos são combinados com os pacotes de autenticação, como Negotiate e Credential Security Support Provider. Estes protocolos e pacotes permitem a autenticação de usuários, computadores e serviços; o processo de autenticação, por sua vez, permite que os usuários e os serviços autorizados acessem recursos de forma segura.
Para obter mais informações sobre a Autenticação do Windows, incluindo
Diferenças na autenticação do Windows entre sistemas operacionais Windows
Arquitetura de interface de provedor de suporte de segurança
Configurações de diretiva de grupo usadas na autenticação do Windows
consulte o Visão geral técnica de autenticação do Windows.
Aplicações práticas
A Autenticação do Windows é usada para verificar se a informação vem de uma fonte confiável, de uma pessoa ou objeto de computador, como outro computador. O Windows fornece muitos métodos diferentes para alcançar essa meta conforme descrito abaixo.
Para... |
Recurso |
Descrição |
|---|---|---|
Autenticar em um domínio do Active Directory |
Kerberos |
Os sistemas operacionais Microsoft Windows Server implementam o protocolo de autenticação Kerberos versão 5 e as extensões para autenticação de chave pública. O cliente de autenticação Kerberos é implementado como um SSP (provedor de suporte de segurança) e pode ser acessado na interface SSPI. A autenticação de usuário inicial é integrada à arquitetura de logon único Winlogon. O KDC (Centro de Distribuição de Chaves Kerberos) está integrado aos serviços de segurança do Windows Server que executam o controlador de domínio. O KDC usa o banco de dados de serviço do diretório Active Directory de domínio como o banco de dados de contas de segurança. O Active Directory é exigido para as implementações de Kerberos padrão. Para obter recursos adicionais, consulte Visão Geral da Autenticação Kerberos. |
Autenticação segura na Web |
TLS/SSL conforme implementado no Provedor de Suporte de Segurança Schannel |
O protocolo TLS (Transport Layer Security) versões 1.0, 1.1 e 1.2, protocolo SSL (Secure Sockets Layer), versões 2.0 e 3.0, protocolo Datagram Transport Layer Security versão 1.0 e o protocolo PCT (Private Communications Transport), versão 1.0 são baseados em criptografia de chave pública. O pacote de protocolos de autenticação do provedor de Canal Seguro (Schannel) fornece esses protocolos. Todos os protocolos Schannel usam um modelo de cliente e de servidor. Para obter recursos adicionais, consulte Visão geral do TLS/SSL (SSP Schannel). |
Autenticar em um aplicativo ou serviço Web |
Autenticação Integrada do Windows Autenticação Digest |
Para obter recursos adicionais, consulte Autenticação integrada do Windows e Autenticação Digest e Autenticação Digest avançada. |
Autenticar em aplicativos herdados |
NTLM |
O NTLM é um protocolo de autenticação de estilo desafio-resposta. Além da autenticação, o protocolo NTLM fornece opcionalmente a segurança da sessão, especificamente a integridade e confidencialidade da mensagem através da atribuição e vedação das funções em NTLM. Para obter recursos adicionais, consulte Visão Geral do NTLM. |
Aproveitar autenticação multifator |
Suporte de cartão inteligente Suporte biométrico |
Cartões inteligentes são resistentes a violações e constituem um método portátil para fornecer soluções de segurança para tarefas, como autenticação do cliente, registro em domínios, assinatura de código e proteção de email. A biometria depende da medição de uma característica física imutável de uma pessoa para identificá-la. As impressões digitais são uma das características biométricas mais usadas, com milhões de dispositivos biométricos de impressões digitais que são incorporados a computadores pessoais e periféricos. Para obter recursos adicionais, veja Smart Card Overview e Visão geral do Windows Biometric Framework [W8]. |
Oferecer gerenciamento local, armazenamento e reutilização de credenciais |
Gerenciamento de credenciais Autoridade de Segurança Local Senhas |
O gerenciamento de credenciais no Windows garante que as credenciais sejam armazenadas com segurança. As credenciais são coletadas na Área de Trabalho Protegida (para acesso de domínio ou local), através de aplicativos ou sites para que as credenciais corretas sejam apresentadas sempre que um recurso é acessado. Para ter acesso a recursos adicionais, consulte Visão geral técnica de credenciais em cache e armazenadas e Visão geral de senhas. |
Estender a moderna proteção de autenticação aos sistemas herdados |
Proteção estendida para autenticação |
Esse recurso aprimora a proteção e a manipulação de credenciais ao autenticar as conexões de rede usando a IWA (Autenticação Integrada do Windows). Para obter recursos adicionais, consulte Proteção estendida para autenticação. |
Requisitos de software
A Autenticação do Windows é projetada para ser compatível com as versões anteriores no sistema operacional Windows. Porém, os aprimoramentos de cada versão não são necessariamente aplicáveis às versões anteriores. Consulte a documentação sobre os recursos específicos para obter mais informações.
Informações sobre o Gerenciador do Servidor
Muitos recursos de autenticação podem ser configurados usando a Política de Grupo, que pode ser instalada usando o Gerenciador do Servidor. O recurso Windows Biometric Framework é instalado usando o Gerenciador do Servidor. Outras funções de servidores que são dependentes dos métodos de autenticação, como o IIS (Servidor Web) e Serviços de Domínio Active Directory também podem ser instalados usando o Gerenciador do Servidor.
Recursos relacionados
Tecnologias de autenticação |
Recursos |
|---|---|
Autenticação do Windows |
Visão geral técnica de autenticação do Windows |
Kerberos |
Visão Geral da Autenticação Kerberos Visão geral da delegação restrita de Kerberos Referência técnica da autenticação Kerberos(2003) Guia de sobrevivência Kerberos (Wiki do TechNet) |
TLS/SSL e DTLS (provedor de suporte de segurança Schannel) |
Visão geral do TLS/SSL (SSP Schannel) Referência de provedor de suporte técnico segurança Schannel |
Autenticação digest |
|
NTLM |
Visão Geral do NTLM |
PKU2U |
|
Cartão inteligente |
|
Cartão inteligente virtual |
|
Biometria |
Visão geral do Windows Biometric Framework [W8]Visão geral do Windows Biometric Framework [W8] |
Credenciais |
Proteção e gerenciamento de credenciais Visão geral de senhas |