Arquitectura de autenticación de Windows
Se aplica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tema de introducción para profesionales de TI explica el esquema de la arquitectura básico para la autenticación de Windows.
La autenticación es el proceso mediante el cual el sistema valida la información de inicio de sesión o el inicio de sesión del usuario. Nombre de usuario y la contraseña se comparan con una lista autorizada, y si el sistema detecta a una coincidencia, se concede acceso a la extensión especificada en la lista de permisos para dicho usuario.
Como parte de una arquitectura extensible, los sistemas operativos Windows Server implementan un conjunto predeterminado de proveedores de compatibilidad de seguridad de autenticación, que incluyen Negotiate, el protocolo de Kerberos, NTLM, Schannel (canal seguro) y Digest. Los protocolos utilizados por estos proveedores permiten la autenticación de usuarios, equipos y servicios, y permite que el proceso de autenticación de usuarios y servicios autorizados tener acceso a recursos de forma segura.
En Windows Server, las aplicaciones de autentican usuarios mediante la SSPI abstraer las llamadas para la autenticación. Por lo tanto, los desarrolladores no es necesario comprender las complejidades de los protocolos de autenticación específicos o generar protocolos de autenticación en sus aplicaciones.
Sistemas operativos Windows Server incluyen un conjunto de componentes que constituyen el modelo de seguridad de Windows. Estos componentes garantizan que las aplicaciones no pueden obtener acceso a recursos sin autenticación y autorización. Las secciones siguientes describen los elementos de la arquitectura de autenticación. Autenticación de tarjeta inteligente se describe en elReferencia técnica de las tarjetas inteligentes de Windows.
Autoridad de seguridad local
La autoridad de seguridad Local (LSA) es un subsistema protegido que autentica e inicia sesión en el equipo local a los usuarios. Además, LSA mantiene información sobre todos los aspectos de seguridad local en un equipo (estos aspectos se conocen colectivamente como la directiva de seguridad local). También proporciona diversos servicios para la traducción entre nombres e identificadores de seguridad (SID).
El subsistema de seguridad realiza un seguimiento de las directivas de seguridad y las cuentas que se encuentran en un sistema informático. En el caso de un dominio de controlador, estas directivas y las cuentas son aquellos que están en vigor para el dominio donde se encuentra el controlador de dominio. Estas directivas y las cuentas se almacenan en Active Directory. El subsistema LSA proporciona servicios para validar el acceso a objetos, comprobación de derechos de usuario y generar mensajes de auditoría.
Interfaz del proveedor de soporte técnico de seguridad
La interfaz del proveedor de compatibilidad con seguridad (SSPI) es la API que obtiene los servicios de seguridad integrados para autenticación, integridad de mensajes, privacidad de mensajes y seguridad calidad de servicio para cualquier protocolo de aplicaciones distribuidas.
SSPI es la implementación de la API de servicio de seguridad genérica (GSSAPI). SSPI proporciona un mecanismo mediante el cual una aplicación distribuida puede llamar a uno de varios proveedores de seguridad para obtener una conexión autenticada sin conocimiento de los detalles del protocolo de seguridad.