TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Windows-Authentifizierung: Übersicht

 

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012

In diesem Navigationsthema für IT-Experten sind Dokumentationsressourcen für Technologien zur Windows-Authentifizierung und -Anmeldung aufgeführt, die Produktbewertungen, "Erste Schritte"-Handbücher, Verfahren, Entwurfs- und Bereitstellungshandbücher, technische Referenzen und Befehlsverzeichnisse enthalten.

Authentifizierung ist der Vorgang, durch den die Identität eines Objekts, eines Dienstes oder einer Person überprüft wird. Ziel der Authentifizierung eines Objekts ist es, sicherzustellen, dass das Objekt echt und unverfälscht ist. Beim Authentifizieren eines Diensts oder einer Person ist das Ziel, sicherzustellen, dass die vorgelegten Anmeldeinformationen authentisch sind.

Im Netzwerkkontext dient die Authentifizierung dazu, die Identität gegenüber einer Netzwerkanwendung oder -ressource nachzuweisen. Die Identität wird üblicherweise durch einen kryptografischen Vorgang nachgewiesen, für den entweder ein Schlüssel, der nur dem Benutzer bekannt ist – wie beispielsweise bei der Kryptografie mit öffentlichem Schlüssel –, oder ein vorinstallierter Schlüssel verwendet wird. Auf der Serverseite der Authentifizierungskommunikation werden die signierten Daten mit einem bekannten Kryptografieschlüssel verglichen, um den Authentifizierungsversuch zu überprüfen.

Durch die Speicherung der Kryptografieschlüssel an einem zentralen Ort wird der Authentifizierungsvorgang skalierbar und verwaltbar. Die Active Directory-Domänendienste sind die empfohlene und standardmäßig verwendete Technologie für das Speichern von Identitätsinformationen (einschließlich der Kryptografieschlüssel, die die Anmeldeinformationen des Benutzers darstellen). Active Directory ist für Standardimplementierungen von Kerberos und NTLM erforderlich.

Die Authentifizierungstechniken reichen von der einfachen Anmeldung, bei der die Benutzer anhand von Informationen identifiziert werden, die nur der jeweilige Benutzer kennt (beispielsweise ein Kennwort), bis hin zu leistungsfähigeren Sicherheitsmechanismen, bei denen der Benutzer anhand von etwas identifiziert wird, das sich in seinem Besitz befindet oder das ihn auszeichnet (beispielsweise Token, Zertifikate, die auf einem öffentlichen Schlüssel basieren, und biometrische Eigenschaften). In einer Unternehmensumgebung ist es Diensten oder Benutzern eventuell möglich, auf unterschiedliche Anwendungen oder Ressourcen auf verschiedenen Arten von Servern an einem einzigen Standort oder auch standortübergreifend zugreifen. Aus diesem Grund muss die Authentifizierung Umgebungen unterstützen, die auf anderen Plattformen und anderen Windows-Betriebssystemen basieren.

Mit dem Windows-Betriebssystem wird im Rahmen einer erweiterbaren Architektur ein Standardsatz von Authentifizierungsprotokollen implementiert, u. a. Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Digest. Darüber hinaus werden einige Protokolle zu Authentifizierungspaketen zusammengefasst, beispielsweise Negotiate und der Credential Security Support Provider. Mit diesen Protokollen und Paketen können Benutzer, Computer und Dienste authentifiziert werden. Der Authentifizierungsprozess wiederum ermöglicht Benutzern und Diensten einen sicheren Zugriff auf Ressourcen.

Weitere Informationen zur Windows-Authentifizierung einschließlich der Aspekte

finden Sie unter Technische Übersicht über Windows-Authentifizierung.

Mithilfe der Windows-Authentifizierung wird überprüft, ob die Informationen von einer vertrauenswürdigen Quelle stammen, ungeachtet dessen, ob es sich um eine Person oder ein Computerobjekt, beispielsweise einen anderen Computer, handelt. Windows stellt viele verschiedene Methoden bereit, um dies zu erreichen. Im Folgenden werden diese Methoden beschrieben.

Zweck

Feature

Beschreibung

Authentifizieren innerhalb einer Active Directory-Domäne

Kerberos

Mit dem Betriebssystem Microsoft Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichem Schlüssel implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert. Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, (KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Datenbank des Active Directory-Verzeichnisdienstes als Sicherheitskonten-Datenbank. Active Directory ist für Standardimplementierungen von Kerberos erforderlich.

Weitere Ressourcen finden Sie unter Kerberos-Authentifizierung: Übersicht.

Sichere Authentifizierung im Web

TLS/SSL wie im Schannel-Security Support Provider implementiert

Die TLS-Protokollversionen (Transport Layer Security) 1.0, 1.1 und 1.2, SSL-Protokollversionen (Secure Sockets Layer) 2.0 und 3.0, DTLS-Protokollversion (Datagram Transport Layer Security) 1.0 sowie PCT-Protokollversion (Private Communications Transport) 1.0 basieren auf Kryptografie mit öffentlichem Schlüssel. Die Authentifizierungsprotokollsuite des Secure Channel-Anbieters (Schannel) stellt diese Protokolle bereit. Alle Schannel-Protokolle verwenden ein Client- und Servermodell.

Weitere Ressourcen finden Sie unter Übersicht über TLS/SSL (Schannel SSP).

Authentifizieren bei einem Webdienst oder einer Anwendung

Integrierte Windows-Authentifizierung

Digestauthentifizierung

Weitere Ressourcen finden Sie unter Integrierte Windows-Authentifizierung und Digestauthentifizierung sowie Erweiterte Digestauthentifizierung.

Authentifizieren bei älteren Anwendungen

NTLM

NTLM ist ein Protokoll für die Abfrage/Rückmeldung-Authentifizierung. Zusätzlich zur Authentifizierung bietet das NTLM-Protokoll die optionale Unterstützung für die Sitzungssicherheit, insbesondere im Hinblick auf Nachrichtenintegrität und Vertraulichkeit, durch in NTLM enthaltene Signatur-und Versiegelungsfunktionen.

Weitere Ressourcen finden Sie unter NTLM: Übersicht.

Nutzen der mehrstufigen Authentifizierung

Unterstützung von Smartcards

Biometrie-Unterstützung

Smartcards sind eine manipulationsresistente und transportable Möglichkeit, um Sicherheitslösungen für Aufgaben wie die Clientauthentifizierung, die Anmeldung bei Domänen, Codesignatur und den Schutz von E-Mails bereitzustellen.

Bei der Biometrie wird ein unveränderliches physisches Merkmal einer Person erfasst, um diese Person eindeutig identifizieren zu können. Fingerabdrücke gehören zu den am häufigsten genutzten biometrischen Merkmalen, weshalb Millionen PCs und Peripheriegeräte mit biometrischen Fingerabdrucklesern ausgestattet sind.

Weitere Ressourcen finden Sie unter Smartcard: Übersicht und Windows-Biometrieframework: Übersicht [W8].

Bereitstellen der lokalen Verwaltung, Speicherung und Wiederverwendung von Anmeldeinformationen

Verwaltung von Anmeldeinformationen

Lokale Sicherheitsautorität

Kennwörter

Durch die Verwaltung von Anmeldeinformationen in Windows wird sichergestellt, Anmeldeinformationen sicher gespeichert werden. Anmeldeinformationen werden über Apps oder Websites auf dem sicheren Desktop (für lokalen oder Domänenzugriff) gesammelt, sodass beim Zugriff auf eine Ressource stets die richtigen Anmeldeinformationen vorgelegt werden.

Weitere Ressourcen finden Sie unter Technische Übersicht zu zwischengespeicherten und gespeicherten Anmeldeinformationen und Kennwörter: Übersicht.

Erweitern des Authentifizierungsschutzes auf Legacysysteme

Erweiterter Schutz für Authentifizierung

Durch dieses Feature wird der Schutz und die Handhabung von Anmeldeinformationen verbessert, wenn Netzwerkverbindungen mithilfe der integrierten Windows-Authentifizierung (IWA) authentifiziert werden.

Weitere Ressourcen finden Sie unter Erweiterter Schutz für die Authentifizierung.

Die Windows-Authentifizierung ist so konzipiert, dass sie mit früheren Versionen des Windows-Betriebssystem kompatibel ist. Verbesserungen in einer neuen Version stehen jedoch nicht notwendigerweise auch in früheren Versionen zur Verfügung. Weitere Informationen finden Sie in der Dokumentation zu den verschiedenen Features.

Viele Authentifizierungsfeatures können mit der Gruppenrichtlinie konfiguriert werden, die mithilfe des Server-Managers installiert werden kann. Das Windows-Biometrieframework wird mithilfe des Server-Managers installiert. Andere Serverrollen, die von den verwendeten Authentifizierungsmethoden abhängen, beispielsweise der Webserver (IIS) und die Active Directory-Domänendienste, können ebenfalls mithilfe des Server-Managers installiert werden.

Authentifizierungstechnologien

Ressourcen

Windows-Authentifizierung

Technische Übersicht über Windows-Authentifizierung
Enthält Themen, die Unterschiede zwischen den Versionen, allgemeine Authentifizierungskonzepte, Anmeldungsszenarien, Architekturen für unterstützte Versionen und geeignete Einstellungen behandeln.

Kerberos

Kerberos-Authentifizierung: Übersicht

Eingeschränkte Kerberos-Delegierung: Übersicht

Technische Referenz für die Kerberos-Authentifizierung(2003)

Sicherheitsleitfaden für Kerberos (TechNet Wiki)

TLS/SSL und DTLS (Schannel-Sicherheitssupportanbieter)

Übersicht über TLS/SSL (Schannel SSP)

Schannel Security Support Provider-technische Referenz

Digestauthentifizierung

Technische Referenz für die Digestauthentifizierung(2003)

NTLM

NTLM: Übersicht
Enthält Links zu aktuellen und früheren Ressourcen

PKU2U

Einführung zu PKU2U in Windows

Smartcard

Smartcard: Übersicht

Technische Referenz zu Windows-Smartcards

Virtuelle Smartcard

Virtuelle Smartcard: Übersicht

Virtuelle Smartcards: Grundlegendes und Bewertung

Biometrie

Windows-Biometrieframework (Übersicht) [W8]Windows-Biometrieframework (Übersicht) [W8]

Anmeldeinformationen

Schutz und Verwaltung von Anmeldeinformationen
Enthält Links zu aktuellen und früheren Ressourcen

Kennwörter: Übersicht
Enthält Links zu aktuellen und früheren Ressourcen

Anzeigen:
© 2016 Microsoft