Windows 驗證概觀
適用於: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
這個適用於 IT 專業人員的瀏覽主題列出 Windows 驗證與登入技術的文件資源,其中包含產品評估、入門指南、程序、設計和部署指南、技術參考及命令參考。
功能說明
驗證是確認物件、服務或個人身分識別的程序。 驗證物件時,目標是要確認該物件為正版。 當您驗證服務或個人時,目標是確認所提供的認證是否真實。
在網路內容中,驗證就是針對網路應用程式或資源提供身分識別的操作。 一般而言,透過密碼編譯操作,使用只有使用者知道的金鑰 (如同公開金鑰密碼編譯) 或是共用金鑰,來證明身分識別。 驗證交換的伺服器端會使用已知的密碼編譯金鑰比較簽署的資料,來驗證該驗證嘗試。
在安全的集中位置儲存密碼編譯金鑰,可以擴充和管理驗證程序。 Active Directory 網域服務是儲存身分識別資訊 (包括使用者認證的密碼編譯金鑰) 的建議和預設的技術。 預設的 NTLM 與 Kerberos 實作需要 Active Directory。
驗證技術範圍從簡單登入,利用只有使用者知道的資訊來識別使用者 (例如密碼),到更強大的安全性機制,利用使用者持有的項目 (例如權杖、公開金鑰憑證以及生物識別技術)。 在商業環境中,服務或使用者可能會在位於單一位置或跨多個位置的多種類型的伺服器上存取多個應用程式或資源。 基於上述原因,驗證必須支援其他平台與其他 Windows 作業系統的環境。
Windows 作業系統實作一組預設的驗證通訊協定 (包括 Kerberos、NTLM、傳輸層安全性/安全通訊端層 (TLS/SSL) 以及摘要),做為可延伸架構的一部分。 此外,有些通訊協定會結合成驗證封裝,例如交涉與認證安全性支援提供者。 這些通訊協定與封裝可以驗證使用者、電腦以及服務;驗證程序接著可讓經過授權的使用者與服務以安全的方式存取資源。
如需 Windows 驗證的詳細資訊,包括
請參閱<Windows 驗證技術概觀>。
實際應用
Windows 驗證是用來確認來自信任來源的資訊,是否出自個人或電腦物件,例如另一部電腦。 Windows 提供許多不同的方法來達成這個目標,如下所述。
執行... |
功能 |
描述 |
|---|---|---|
在 Active Directory 網域內驗證 |
Kerberos |
Microsoft Windows Server 作業系統會針對公開金鑰驗證,實作 Kerberos 第 5 版的驗證通訊協定和延伸。 Kerberos 驗證用戶端是實作為安全性支援提供者 (SSP),而且可以透過安全性支援提供者介面 (SSPI) 進行存取。 初始使用者驗證與 Winlogon 單一登入架構整合。 Kerberos 金鑰發佈中心 (KDC) 則與網域控制站上執行的其他 Windows Server 安全性服務整合。 KDC 使用網域的 Active Directory 目錄服務資料庫做為它的安全性帳戶資料庫。 預設的 Kerberos 需要 Active Directory。 如需其他資源,請參閱<Kerberos 驗證概觀>。 |
在網路上安全的驗證 |
以安全通道安全性支援提供者實作 TLS/SSL |
傳輸層安全性 (TLS) 通訊協定 1.0、1.1、1.2版,安全通訊端層 (SSL)通訊協定 2.0、3.0 版本,資料包傳輸層安全性通訊協定 1.0 版,以及私人通訊傳輸 (PCT) 通訊協定 1.0 版都是以公開金鑰密碼編譯為基礎。 安全通道 (亦稱安全性通道) 提供者驗證通訊協定組合提供這些通訊協定。 所有安全通道通訊協定都使用用戶端與伺服器模型。 如需其他資源,請參閱<TLS/SSL (安全通道 SSP) 概觀>。 |
驗證 Web 服務或應用程式 |
整合式 Windows 驗證 摘要式驗證 |
如需其他資源,請參閱<整合式 Windows 驗證>與<摘要式驗證>以及<進階摘要式驗證>。 |
驗證舊版應用程式 |
NTLM |
NTLM 是一種挑戰回應樣式的驗證通訊協定。除了驗證以外,NTLM 通訊協定可透過 NTLM 中的簽署與密封功能,選擇性提供工作階段安全性,特別是訊息完整性與機密性。 如需其他資源,請參閱<NTLM 概觀>。 |
利用多重要素驗證 |
智慧卡支援 生物識別技術支援 |
智慧卡是防竄改的可攜式工具,為用戶端驗證、登入網域、程式碼簽署及保護電子郵件等工作提供安全性解決方案。 生物識別技術仰賴測量個人不變的身體特徵,來唯一識別該位人員。 對於個人電腦與周邊設備內嵌的數百萬部指紋生物識別裝置,指紋是其中一種最常用的生物識別特徵。 如需其他資源,請參閱<智慧卡概觀>與<Windows 生物特徵辨識架構概觀 [W8]>。 |
提供本機管理、儲存以及重複使用認證的功能 |
認證管理 本機安全性授權 密碼 |
Windows 的認證管理可以確保能安全地儲存認證。 認證是透過應用程式或透過網站在安全桌面上進行收集 (適用於本機或網域存取),因此每次存取資源時,就會呈現正確的認證。 如需其他資源,請參閱<快取和儲存的認證技術概觀>和<密碼概觀>。 |
延伸舊版系統的數據機驗證保護 |
驗證延伸保護 |
這個功能可在使用整合式 Windows 驗證 (IWA) 來驗證網路連線時,增強認證的保護與處理方式。 如需其他資源,請參閱<驗證延伸保護>。 |
軟體需求
Windows 驗證是為了與舊版 Windows 作業系統相容而設計。 不過,每個版本的改進功能不一定適用於舊版。 如需詳細資訊,請參閱特定功能的文件。
伺服器管理員資訊
使用伺服器管理員安裝的群組原則,可用來設定許多驗證功能。 使用伺服器管理員安裝 Windows 生物特徵辨識架構功能。 依存於驗證方法的其他伺服器角色 (例如網頁伺服器 (IIS) 與 Active Directory 網域服務),也可以使用伺服器管理員來安裝。
相關資源
驗證技術 |
資源 |
|---|---|
Windows 驗證 |
Windows 驗證技術概觀 |
Kerberos |
Kerberos 驗證技術參考(2003) Kerberos 存續指南 (TechNet Wiki) |
TLS/SSL 和 DTLS (安全通道安全性支援提供者) |
|
摘要式驗證 |
摘要式驗證技術參考(2003) |
NTLM |
NTLM 概觀 |
PKU2U |
|
智慧卡 |
|
虛擬智慧卡 |
|
生物特徵辨識 |
Windows 生物特徵辨識架構概觀 [W8]Windows 生物特徵辨識架構概觀 [W8] |
認證 |
認證保護和管理 密碼概觀 |