Общие сведения о проверке подлинности Windows
Применимо к:Windows 8.1, Windows Server 2012 R2, Windows Server 2012
В этом разделе для ИТ-специалистов перечислены источники документации по способам проверки подлинности и входа в систему в Windows, которые включают оценку продукта, руководства по началу работы, процедуры, руководства по разработке и развертыванию, технические справочники и справочники по командам.
Описание компонента
Проверка подлинности — это процесс проверки удостоверения объекта, службы или пользователя. Задача проверки подлинности объекта заключается в проверке подлинности объекта. Целью проверки подлинности службы или пользователя является проверка подлинности предоставленных учетных данных.
В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. Как правило, удостоверение подтверждается операцией шифрования, использующей ключ, известный только пользователям (как в случае шифрования с открытым ключом), либо общий ключ. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности.
Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Доменные службы Active Directory — это рекомендованная по умолчанию технология хранения информации об удостоверениях (включая криптографические ключи, являющиеся учетными данными пользователей). Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию.
Технологии проверки подлинности варьируются от простого входа, во время которого удостоверение пользователя проверяется на основании информации, известной только пользователю, например пароля, до более мощных механизмов обеспечения безопасности, использующих имеющиеся ресурсы пользователя, например маркеры, сертификаты открытых ключей и биометрию. В бизнес-среде службы или пользователи могут открывать множество приложений или ресурсов на различных типах серверов из одного или многих местоположений. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.
Операционная система Windows реализует набор протоколов проверки подлинности по умолчанию, включая Kerberos, NTLM, протокол TLS/SSL и дайджест, в рамках расширяемой архитектуры. Кроме того, некоторые протоколы объединены в пакеты проверки подлинности, такие как поставщик поддержки согласования и безопасности учетных данных. Эти протоколы и пакеты обеспечивают выполнение проверки подлинности пользователей, компьютеров и служб; процесс проверки подлинности, в свою очередь, позволяет авторизованным пользователям и службам осуществлять безопасный доступ к ресурсам.
Дополнительные сведения о проверке подлинности Windows, включая:
Различия в проверке подлинности Windows между операционными системами Windows
Параметры групповой политики, используемые при проверке подлинности Windows
см. Технический обзор проверки подлинности Windows.
Практическое применение
Проверка подлинности Windows используется для проверки сведений, поступающих от доверенного источника, пользователя или объекта компьютера, например другого компьютера. Windows предоставляет множество различных способов достижения этой цели, как описано ниже.
Цель |
Функция |
Описание |
|---|---|---|
Проверка подлинности в домене Active Directory |
Kerberos |
Операционные системы Microsoft Windows Server реализуют протокол проверки подлинности Kerberos версии 5 и расширения для проверки подлинности с помощью открытого ключа. Клиент проверки подлинности Kerberos применяется в качестве поставщика поддержки безопасности (SSP), и получить к нему доступ можно через интерфейс поставщика поддержки безопасности (SSPI). Начальная проверка подлинности пользователя интегрирована в архитектуру единого входа Winlogon. Центр распространения ключей Kerberos (KDC) встроен в другие службы безопасности Windows Server, работающие на контроллере домена. KDC использует базу данных службы каталогов Active Directory домена в качестве базы данных учетной записи безопасности. Служба каталогов Active Directory необходима для реализаций Kerberos по умолчанию. Дополнительные ресурсы см. в разделе Обзор проверки подлинности Kerberos. |
Безопасная проверка подлинности в сети |
Протокол TLS/SSL в качестве реализованного в Schannel поставщика поддержки безопасности |
Протокол TLS версий 1.0, 1.1 и 1.2, протокол SSL версий 2.0 и 3.0, протокол DTLS версии 1.0 и протокол PCT версии 1.0 основаны на шифровании с открытым ключом. Эти протоколы предоставляются в наборе протоколов проверки подлинности поставщика безопасности Channel (Schannel). Все протоколы Schannel используют модель клиента и сервера. Дополнительные ресурсы см. в разделе Обзор протоколов TLS/SSL (Schannel SSP). |
Проверка подлинности веб-службы или приложения |
Встроенная проверка подлинности Windows Дайджест-проверка подлинности |
Дополнительные ресурсы см. в разделах Встроенная проверка подлинности Windows, Дайджест-проверка подлинности и Расширенная дайджест-проверка подлинности. |
Проверка подлинности приложений прежних версий |
Протокол NTLM |
NTLM — это протокол проверки подлинности с запросом и подтверждением. Помимо проверки подлинности, протокол NTLM также обеспечивает безопасность сеанса, в частности управляет целостностью и конфиденциальностью с помощью функций добавления подписи и печати в NTLM. Дополнительные ресурсы см. в разделе Обзор протокола NTLM. |
Использование многофакторной проверки подлинности |
Поддержка смарт-карты Поддержка биометрии |
Смарт-карты являются портативными, защищенными от несанкционированного вмешательства устройствами, которые позволяют решить проблемы безопасности в таких областях, как идентификация клиентов, вход в домены, подписывание кода и защита электронной почты. Биометрия основывается на измерении неизменных физических характеристик человека для его уникальной идентификации. Отпечатки пальцев — наиболее часто используемые биометрические характеристики. Существуют миллионы встроенных в персональные компьютеры и периферийные устройства биометрических устройств для снятия отпечатков пальцев. Дополнительные ресурсы см. в разделах Общие сведения о смарт-картах и Обзор биометрической платформы Windows [W8]. |
Осуществление локального управления, хранения и повторного использования учетных данных |
Управление учетными данными Локальная система безопасности Пароли |
Диспетчер учетных данных системы Windows обеспечивает безопасное хранение учетных данных. Через приложения и веб-сайты учетные данные собираются на безопасном рабочем столе (для локального доступа и доступа к домену), поэтому каждый раз при доступе к ресурсу предоставляются правильные учетные данные. Дополнительные ресурсы см. в разделах Технический обзор кэширования и хранения учетных данных и Общие сведения о паролях. |
Расширение современной защиты устаревших систем с помощью проверки подлинности |
Расширенная защита для проверки подлинности |
Эта функция улучшает защиту и обработку учетных данных во время проверки подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA). Дополнительные ресурсы см. в разделе Расширенная защита для проверки подлинности. |
Требования к программному обеспечению
Проверка подлинности Windows совместима с более ранними версиями операционной системы Windows. Однако это не значит, что усовершенствования новых выпусков будут работать в более ранних версиях. Дополнительные сведения см. в документации по определенным функциям.
Сведения о диспетчере сервера
Многие функции проверки подлинности можно настроить с помощью групповой политики, которую можно установить с помощью диспетчера сервера. Функция биометрической платформы Windows устанавливается с помощью диспетчера сервера. Другие роли сервера, зависящие от методов проверки подлинности, такие как веб-сервер (IIS) и службы доменов Active Directory, также можно установить с помощью диспетчера сервера.
Ресурсы по теме
Технологии проверки подлинности |
Ресурсы |
|---|---|
Проверка подлинности Windows |
Технический обзор проверки подлинности Windows |
Kerberos |
Обзор проверки подлинности Kerberos Обзор ограниченного делегирования Kerberos Технический справочник по проверке подлинности Kerberos(2003) Руководство по Kerberos (вики-сайт TechNet) |
Протокол TLS/SSL и DTLS (поставщик поддержки безопасности Schannel) |
|
Дайджест-проверка подлинности |
Технический справочник по дайджест-проверке подлинности(2003) |
Протокол NTLM |
Обзор протокола NTLM |
PKU2U |
|
Смарт-карта |
|
Виртуальная смарт-карта |
|
Биометрические данные |
Обзор биометрической платформы Windows [W8]Обзор биометрической платформы Windows [W8] |
Учетные данные |
Защита учетных данных и управление ими Общие сведения о паролях |