Información general de la autenticación de Windows
Se aplica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
En este tema sobre navegación para profesionales de TI, se enumeran los recursos de documentación para las tecnologías de inicio de sesión y autenticación de Windows, que incluyen la evaluación del producto, guías de tareas iniciales, procedimientos, guías de diseño e implementación, referencias técnicas y referencias de comandos.
Descripción de la característica
La autenticación es un proceso que comprueba la identidad de un objeto, un servicio o una persona. Cuando se autentica un objeto, el objetivo es comprobar que el objeto sea auténtico. Cuando se autentica un servicio o una persona, el objetivo es comprobar que las credenciales presentadas sean auténticas.
En un contexto de redes, la autenticación es el acto de probar la identidad a una aplicación o recurso de red. Por lo general, la identidad se demuestra mediante una operación criptográfica que utiliza una clave que solo el usuario conoce (como con un criptografía de clave pública) o una clave compartida. La parte del servidor del intercambio de autenticación compara los datos firmados con una clave criptográfica conocida para validar el intento de autenticación.
Almacenar las claves criptográficas en una ubicación central segura hace que el proceso de autenticación sea escalable y fácil de mantener. Los Servicios de dominio de Active Directory son la tecnología predeterminada y recomendada para almacenar información de identidades (incluidas las claves criptográficas que corresponden a las credenciales del usuario). Se requiere Active Directory para implementaciones de NTLM y Kerberos predeterminadas.
Las técnicas de autenticación abarcan desde un simple inicio de sesión, que identifica a los usuarios en función de algo que solo el usuario conoce (como una contraseña) hasta mecanismos de seguridad más eficaces que emplean algo que tiene el usuario (como tokens, certificados de clave pública y biometría). En un entorno empresarial, los servicios o los usuarios podrían acceder a varias aplicaciones o recursos en diversos tipos de servidores dentro de una sola ubicación o en distintas ubicaciones. Por dichos motivos, la autenticación debe admitir entornos para otras plataformas y para otros sistemas operativos de Windows.
El sistema operativo Windows implementa un conjunto predeterminado de protocolos de autenticación, entre ellos Kerberos, NTLM, Seguridad de la capa de transporte/Capa de sockets seguros (TLS/SSL) y autenticación implícita, como parte de una arquitectura extensible. Además, algunos protocolos se combinan en paquetes de autenticación como Negotiate y el Proveedor de soporte técnico de seguridad de credenciales. Estos protocolos y paquetes permiten la autenticación de usuarios, equipos y servicios. El proceso de autenticación, a su vez, permite que los usuarios y servicios autorizados obtengan acceso a recursos de un modo seguro.
Para obtener más información acerca de Autenticación de Windows que incluye
Diferencias en la autenticación de Windows entre los sistemas operativos Windows
Configuración de directiva de grupo utilizada en la autenticación de Windows
consulte la Introducción técnica de autenticación de Windows.
Aplicaciones prácticas
Se usa Autenticación de Windows para comprobar que la información provenga de una fuente de confianza, ya sea de una persona o un objeto de equipo, como otro equipo. Windows proporciona muchos métodos diferentes para alcanzar este objetivo como se describe a continuación.
Para... |
Característica |
Descripción |
|---|---|---|
Autenticación dentro de un dominio de Active Directory |
Kerberos |
Los sistemas operativos de Microsoft Windows Server implementan las extensiones y el protocolo de autenticación de la versión 5 de Kerberos para la autenticación de clave pública. El cliente de autenticación Kerberos se implementa como un proveedor de compatibilidad para seguridad (SSP) al que se puede acceder a través de la interfaz del proveedor de compatibilidad para seguridad (SSPI). La autenticación inicial de usuario está integrada con la arquitectura de inicio de sesión único de Winlogon. El Centro de distribución de claves Kerberos (KDC) está integrado con otros servicios de seguridad de Windows Server que se ejecutan en el controlador de dominio. El KDC utiliza la base de datos del servicio de directorio Active Directory como base de datos de una cuenta de seguridad. Se requiere Active Directory para implementaciones de Kerberos predeterminadas. Para obtener recursos adicionales, consulte Información general de la autenticación Kerberos. |
Autenticación segura en la red |
TLS/SSL tal como se implementó en el Proveedor de compatibilidad con seguridad de Schannel |
Las versiones 1.0, 1.1 y 1.2 de los protocolos de seguridad de la capa de transporte (TLS), las versiones 2.0 y 3.0 del protocolo de capa de sockets seguros (SSL), la versión 1.0 del protocolo de seguridad de la capa de transporte del datagrama (DTLS) y la versión 1.0 del protocolo de transporte de comunicaciones privadas (PCT) se basan en la criptografía de clave pública. El conjunto de protocolos de autenticación del proveedor de Canal seguro (Schannel) proporciona estos protocolos. Todos los protocolos de Schannel usan un modelo de cliente y servidor. Para obtener recursos adicionales, consulte Información general de TLS/SSL (Schannel SSP). |
Autenticación para una aplicación o un servicio web |
Autenticación de Windows integrada Autenticación implícita |
Para obtener recursos adicionales, vea los temas acerca de la autenticación integrada de Windows, la autenticación implícita y la autenticación implícita avanzada. |
Autenticación para aplicaciones heredadas |
NTLM |
NTLM es un protocolo de autenticación de estilo desafío/respuesta. Además de la autenticación, el protocolo NTLM proporciona seguridad de sesión de forma opcional, específicamente integridad del mensaje y confidencialidad a través de funciones de firma y sello en NTLM. Para obtener recursos adicionales, consulte Información general de NTLM. |
Uso de la autenticación multifactor |
Autorización mediante tarjeta inteligente Compatibilidad biométrica |
Las tarjetas inteligentes ofrecen una forma difícil de manipular y portátil para proporcionar soluciones de seguridad para tareas como la autenticación de clientes, el inicio de sesión en dominios, la firma de código y el correo electrónico seguro. La biométrica depende de la medición de una característica física inalterable de una persona para identificar únicamente a esa persona. Las huellas digitales son una de las características biométricas más utilizadas, ya que se cuenta con millones de dispositivos biométricos que captan huellas digitales integrados a equipos personales y periféricos. Para obtener recursos adicionales, consulte Información general de las tarjetas inteligentes e Información general del Marco biométrico de Windows [W8]. |
Proporcionar administración, almacenamiento y reutilización locales de credenciales |
Administración de credenciales Autoridad de seguridad local Contraseñas |
La administración de credenciales en Windows se asegura de que las credenciales se almacenen de forma segura. Las credenciales se recopilan en el escritorio seguro (para acceso local o de dominio), a través de aplicaciones o sitios web, para que se presenten las credenciales correctas cada vez que se acceda a un recurso. Para obtener recursos adicionales, consulte Introducción técnica a las credenciales almacenadas y almacenadas en caché y Información general sobre contraseñas. |
Extensión de la protección de la autenticación moderna a sistemas heredados |
Protección extendida para autenticación |
Esta característica mejora la protección y el manejo de las credenciales al autenticar las conexiones de red mediante Autenticación de Windows integrada (IWA). Para obtener recursos adicionales, consulte Protección extendida para autenticación. |
Requisitos de software
El diseño de Autenticación de Windows permite que sea compatible con versiones anteriores del sistema operativo de Windows. Sin embargo, las mejoras que se presentan con cada versión no se aplican necesariamente a las versiones anteriores. Consulte la documentación sobre características específicas para obtener más información.
Información sobre el Administrador del servidor
Muchas características de autenticación pueden configurarse con la Directiva de grupo, que se puede instalar con Administrador del servidor. La característica Marco biométrico de Windows se instala con el Administrador del servidor. Con el Administrador del servidor también se pueden instalar otros servidores, según los métodos de autenticación, como el servidor web (ISS) y los Servicios de dominio de Active Directory.
Recursos relacionados
Tecnologías de autenticación |
Recursos |
|---|---|
Autenticación de Windows. |
Introducción técnica de autenticación de Windows |
Kerberos |
Información general de la autenticación Kerberos Introducción a la delegación limitada de Kerberos Referencia técnica de autenticación Kerberos(2003) Guía de supervivencia de Kerberos (Wiki de TechNet) |
TLS/SSL y DTLS (proveedor de compatibilidad para seguridad de Schannel) |
Información general de TLS/SSL (Schannel SSP) Referencia técnica del proveedor de compatibilidad con seguridad Schannel |
Autenticación implícita |
|
NTLM |
Información general de NTLM |
PKU2U |
|
Tarjeta inteligente |
|
Tarjeta inteligente virtual |
Información general de las tarjetas inteligentes virtuales Descripción y evaluación de las tarjetas inteligentes virtuales |
Biometría |
Información general del Marco biométrico de Windows [W8]Información general del Marco biométrico de Windows [W8] |
Credenciales |
Protección y administración de credenciales Información general sobre contraseñas |