Overzicht van Windows-authenticatie
Van toepassing op: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
In dit navigatieonderwerp voor IT-professionals vindt u een lijst met documentatiebronnen voor Windows-authenticatie en aanmeldingstechnologieën, zoals productevaluatie, Aan de slag-handleidingen, procedures, ontwerp- en implementatiehandleidingen, technische naslaginformatie en naslaginformatie over opdrachten.
Functiebeschrijving
Authenticatie is een proces voor het controleren van de identiteit van een object, service of persoon. Wanneer u een object verifieert, is het doel te bepalen of het object echt is. Verifieert u een service of persoon, dan is het doel te bepalen of de opgegeven referenties echt zijn.
Als authenticatie in een netwerkcontext wordt toegepast, gaat het om het bewijzen van de identiteit aan een netwerktoepassing of bron. Meestal wordt de identiteit bewezen door middel van een cryptografische bewerking die gebruikmaakt van een sleutel die alleen de gebruiker kent, net als bij de openbare-sleutelcryptografie, of een gedeelde sleutel. Aan de serverzijde van de authenticatie-uitwisseling worden de ondertekende gegevens vergeleken met een bekende cryptografische sleutel om de authenticatiepoging te valideren.
Het opslaan van de cryptografische sleutels op een beveiligde centrale locatie maken het authenticatieproces schaalbaar en bruikbaar. Active Directory Domain Services is de aanbevolen en de standaardtechnologie voor het opslaan van identiteitsgegevens (inclusief de cryptografische sleutels die de referenties van de gebruikers zijn). Active Directory is vereist voor standaard NTLM- en Kerberos-implementaties.
Authenticatietechnieken variëren van een eenvoudige aanmelding waarmee gebruikers worden geïdentificeerd op basis van iets wat alleen de gebruiker weet, zoals een wachtwoord, tot krachtigere beveiligingsmechanismen die gebruikmaken van iets wat de gebruiker heeft, zoals tokens, certificaten voor openbare sleutels en biometrie. In een zakelijke omgeving hebben services of gebruikers mogelijk toegang tot meerdere toepassingen of bronnen op veel verschillende soorten servers binnen één locatie of op meerdere locaties. Daarom moet authenticatie omgevingen voor andere platforms en voor andere Windows-besturingssystemen ondersteunen.
Het Windows-besturingssysteem implementeert een standaardset authenticatieprotocollen, waaronder Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) en Digest, als onderdeel van een uitbreidbare architectuur. Bovendien worden sommige protocollen gecombineerd tot authenticatiepakketten zoals Negotiate en Credential Security Support Provider. Met deze protocollen en pakketten wordt de authenticatie van gebruikers, computers en services ingeschakeld; met het authenticatieproces krijgen gebruikers en services vervolgens op een veilige manier toegang tot bronnen.
Voor meer informatie over Windows-authenticatie, inclusief
Verschillen in de Windows-verificatie tussen Windows-besturingssystemen
Architectuur van interface voor provider van beveiligingsondersteuning
Instellingen voor Groepsbeleid in Windows-verificatie gebruikt
gaat u naar Windows-verificatie technisch overzicht.
Praktische toepassingen
Windows-authenticatie wordt gebruikt om te controleren of de informatie afkomstig is van een betrouwbare bron, of dit nu een persoon of een computerobject is, zoals een andere computer. Windows biedt veel verschillende methoden om dit doel te bereiken. Deze worden hieronder beschreven.
Doel |
Functie |
Beschrijving |
|---|---|---|
Authenticatie binnen een Active Directory-domein |
Kerberos |
In de Microsoft Windows Server-besturingssystemen zijn het Kerberos versie 5-verificatieprotocol en extensies voor openbare sleutel geïmplementeerd De Kerberos-verificatieclient is geïmplementeerd als een SSP (Security Support Provider) en is toegankelijk via de SSPI (Security Support Provider Interface). Initiële gebruikersauthenticatie is geïntegreerd met de Winlogon-architectuur voor eenmalige aanmelding. Het Kerberos Key Distribution Center (KDC) is geïntegreerd met andere beveiligingsservices van Windows Server die op de domeincontroller worden uitgevoerd. De KDC gebruikt de directoryservice van de Active Directory-database van het domein als beveiligingsaccountdatabase. Active Directory is vereist voor standaard-Kerberos-implementaties. Zie Overzicht van Kerberos-authenticatie (Engelstalig) voor aanvullende bronnen. |
Veilige authenticatie op het web |
TLS/SSL zoals geïmplementeerd in Schannel Security Support Provider |
De versies 1.0, 1.1 en 1.2 van het protocol Transport Layer Security (TLS), de versies 2.0 en 3.0 van het protocol Secure Sockets Layer (SSL), versie 1.0 van het protocol Datagram Transport Layer Security en versie 1.0 van het protocol Private Communications Transport (PCT) zijn gebaseerd op openbare-sleutelcryptografie. De suite Secure Channel-provider (Schannel) voor authenticatieprotocollen biedt deze protocollen. Alle Schannel-protocollen maken gebruik van een client-servermodel. Zie Overzicht van TLS/SSL (Schannel-SSP) (Engelstalig) voor aanvullende bronnen. |
Authenticatie bij een webservice of toepassing |
Geïntegreerde Windows-authenticatie Verificatiesamenvatting |
Zie Integrated Windows Authentication (Engelstalig), Digest Authentication (Engelstalig) en Advanced Digest Authentication (Engelstalig) voor aanvullende bronnen. |
Authenticatie bij oudere toepassingen |
NTLM |
NTLM is een authenticatieprotocol met een vraag en antwoord-opzet. Naast authenticatie biedt het NTLM-protocol optioneel sessiebeveiliging, in het bijzonder berichtintegriteit en vertrouwelijkheid via ondertekenings- en verzegelingsfuncties in NTLM. Zie Overzicht van NTLM (Engelstalig) voor aanvullende bronnen. |
Meervoudige authenticatie benutten |
Smartcardondersteuning Ondersteuning van biometrie |
Smartcards vormen een draagbare beveiligingsoplossing tegen onrechtmatige wijziging, en worden gebruikt voor taken zoals clientverificatie, aanmelding bij domeinen, ondertekening van code en beveiliging van e-mail. Bij biometrie wordt gebruikgemaakt van onveranderlijke fysieke kenmerken van een persoon, op basis waarvan de persoon kan worden geïdentificeerd. Vingerafdrukken vormen een van de meestgebruikte biometrische kenmerken. Er zijn miljoenen biometrische vingerafdrukapparaten ingesloten in pc's en randapparatuur. Zie Smartcards - Overzicht en Windows Biometric Framework Overview [W8] (Engelstalig) voor aanvullende bronnen. |
Lokaal beheer en hergebruik en lokale opslag van referenties |
Referentiebeheer Lokale certificeringsinstantie Wachtwoorden |
Met referentiebeheer in Windows worden referenties veilig opgeslagen. Referenties worden verzameld op het beveiligde bureaublad (voor lokale of domeintoegang), via apps of via websites, zodat de juiste referenties worden weergegeven wanneer een resource wordt geopend. Zie Technisch overzicht van referenties in cache en opgeslagen referenties en Wachtwoorden-overzicht (Engelstalig) voor aanvullende bronnen. |
Moderne authenticatiebeveiliging uitbreiden naar oudere systemen |
Uitgebreide beveiliging voor authenticatie |
Deze functie verbetert de beveiliging en behandelen van referenties bij het verifiëren van netwerkverbindingen via geïntegreerde Windows-verificatie (IWA). Zie Uitgebreide beveiliging voor verificatie voor aanvullende bronnen. |
Softwarevereisten
Windows-verificatie is ontworpen voor compatibiliteit met eerdere versies van het Windows-besturingssysteem. De verbeteringen van elke versie zijn echter niet altijd van toepassing op eerdere versies. Raadpleeg voor meer informatie de documentatie over de specifieke functies.
Serverbeheergegevens
Veel authenticatiefuncties kunnen worden geconfigureerd met groepsbeleid. Deze functie kan worden geïnstalleerd met Serverbeheer. De functie Windows Biometric Framework wordt geïnstalleerd met Serverbeheer. Andere serverfuncties die afhankelijk zijn van authenticatiemethoden, zoals Web Server (IIS) en Active Directory Domain Services, kunnen ook worden geïnstalleerd met Serverbeheer.
Verwante bronnen
Authenticatietechnologieën |
Bronnen |
|---|---|
Windows-verificatie |
Windows-verificatie technisch overzicht |
Kerberos |
Overzicht van Kerberos-authenticatie Overzicht van Kerberos-beperkte overdracht Kerberos Authentication Technical Reference(2003) (Engelstalig) Kerberos Survival Guide (TechNet-wiki) (Engelstalig) |
TLS/SSL en DTLS (Schannel Security Support Provider) |
|
Verificatiesamenvatting |
Digest Authentication Technical Reference(2003) (Engelstalig) |
NTLM |
Overzicht van NTLM |
PKU2U |
|
Smartcard |
|
Virtuele smartcard |
Virtual Smart Card Overview (Engelstalig) Understanding and Evaluating Virtual Smart Cards (Engelstalig) |
Biometrie |
Windows Biometric Framework Overview [W8] (Engelstalig)Windows Biometric Framework Overview [W8] (Engelstalig) |
Referenties |
Beveiliging en beheer van referenties Wachtwoorden-overzicht |