Architettura di autenticazione di Windows
Si applica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Questa panoramica per i professionisti IT viene illustrato lo schema dell'architettura di base per l'autenticazione di Windows.
L'autenticazione è il processo mediante il quale il sistema convalida accesso o informazioni di accesso dell'utente. Nome dell'utente e password vengono confrontati con un elenco autorizzato, e se il sistema rileva una corrispondenza, l'extent specificato nell'elenco di autorizzazioni per tale utente viene concesso l'accesso.
Come parte di un'architettura estensibile, i sistemi operativi Windows Server implementa un set predefinito di autenticazione security support provider, che includono Negotiate, il protocollo Kerberos, NTLM, Schannel (canale sicuro) e Digest. I protocolli utilizzati da questi provider consentono l'autenticazione di utenti, computer e servizi e il processo di autenticazione consente a utenti e servizi autorizzati di accedere alle risorse in modo sicuro.
In Windows Server, applicazioni autenticano gli utenti tramite l'interfaccia SSPI per eseguire un'astrazione di chiamate per l'autenticazione. In questo modo, gli sviluppatori non sono necessario comprendere le complessità dei protocolli di autenticazione specifici o compilare protocolli di autenticazione nelle proprie applicazioni.
Sistemi operativi Windows Server includono un set di componenti di sicurezza che costituiscono il modello di sicurezza di Windows. Questi componenti assicurarsi che le applicazioni non possono accedere alle risorse senza autenticazione e autorizzazione. Nelle sezioni seguenti vengono descrivono gli elementi dell'architettura di autenticazione. Autenticazione con smart card è descritta nelWindows Smart Card Technical Reference.
Autorità di sicurezza locale
L'autorità di protezione locale (LSA) è un sottosistema protetto che autentica ed effettua l'accesso agli utenti di computer locale. Inoltre, LSA gestisce le informazioni su tutti gli aspetti di protezione locale su un computer (questi aspetti sono noti come criteri di protezione locali). Offre inoltre vari servizi per la conversione tra i nomi e ID di sicurezza (SID).
Il sottosistema di sicurezza tiene traccia dei criteri di protezione e gli account in un computer. Nel caso di un dominio controller, tali criteri e gli account sono quelli che sono attive per il dominio in cui si trova il controller di dominio. Questi criteri e gli account vengono archiviati in Active Directory. Il sottosistema LSA fornisce servizi per convalidare l'accesso agli oggetti, controllo dei diritti utente e la generazione di messaggi di controllo.
Security Support Provider Interface
Security Support Provider Interface (SSPI) è l'API che consente di ottenere servizi di sicurezza integrata per l'autenticazione, integrità dei messaggi, la riservatezza dei messaggi e protezione qualità del servizio per qualsiasi protocollo di applicazione distribuita.
SSPI è l'implementazione di API servizio di protezione (GSSAPI) generico. SSPI fornisce un meccanismo mediante il quale un'applicazione distribuita può chiamare uno dei diversi provider di sicurezza per ottenere una connessione autenticata senza conoscere i dettagli del protocollo di sicurezza.