Архитектура проверки подлинности Windows
Применимо к:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
В этом разделе Обзор для ИТ-специалистов объясняет основные архитектурные схему для проверки подлинности Windows.
Проверка подлинности — это процесс, с помощью которого система проверяет сведения для входа или входа пользователя. Имя пользователя и пароль сравниваются со списком доступа, и если система обнаруживает совпадение, предоставляется доступ область, указанную в списке разрешений для этого пользователя.
В рамках расширяемой архитектуры операционных систем Windows Server реализации по умолчанию набор поставщиков поддержки безопасности проверки подлинности, которые включают Negotiate, Kerberos протокола, NTLM, Schannel (безопасный канал) и дайджест. Включение протоколов, используемых для этих поставщиков проверки подлинности пользователей, компьютеров и служб, и процесс проверки подлинности позволяет авторизованным пользователям и службам для доступа к ресурсам, защищенным образом.
В Windows Server приложений проверку подлинности пользователей с помощью абстрактного вызовы для проверки подлинности SSPI. Таким образом разработчики не должны понимать сложности конкретных протоколов проверки подлинности или построения протоколы проверки подлинности в свои приложения.
Операционные системы Windows Server включает набор компонентов безопасности, составляющие модель безопасности Windows. Эти компоненты убедитесь, что приложения не удается получить доступ к ресурсам без проверки подлинности и авторизации. Элементы архитектуры проверки подлинности в следующих разделах. Проверка подлинности смарт-карты описан вТехнический справочник по смарт-картам в Windows.
Локальная система безопасности
Локального администратора безопасности (LSA) является Защищенная подсистема, выполняет проверку подлинности и вход пользователей на локальном компьютере. Кроме того локальный администратор безопасности содержит сведения обо всех аспектах локальной безопасности компьютера (эти аспекты которые в совокупности называются локальной политики безопасности). Он также предоставляет различные службы для трансляции имена и идентификаторы безопасности (SID).
Сохраняет сведения о подсистеме безопасности, политики безопасности и учетных записей, на компьютере. В случае домена контроллера эти политики учетных записей и те, которые действуют для домена, в котором находится контроллер домена. Эти политики и учетные записи хранятся в Active Directory. Подсистема LSA предоставляет службы для проверки доступа к объектам, проверки прав пользователя и создание сообщений аудита.
Интерфейс поставщика поддержки безопасности
Интерфейс поставщика поддержки безопасности (SSPI) является API, который получает интегрированные службы безопасности для проверки подлинности, проверку целостности сообщений, сообщение о конфиденциальности и безопасности качества обслуживания для любого протокола распределенного приложения.
SSPI — это реализация универсальных безопасности API службы (GSSAPI). SSPI представляет собой механизм, с помощью которого распределенного приложения можно вызвать один из нескольких поставщиков безопасности для получения подключение с проверкой подлинности без ведома подробных сведений о безопасности протокола.