Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Ověřování systému Windows je základním kamenem zabezpečeného přístupu v podnikových prostředích a umožňuje uživatelům a službám pracovat se systémy a současně chránit citlivé informace. Tento článek poskytuje odborníkům v oblasti IT komplexní přehled o tom, jak Windows zpracovává přihlašovací údaje během ověřování. Zabývá se klíčovými komponentami, mechanismy a architekturami, které se týkají správy přihlašovacích údajů, ověřování a úložiště, a zajišťuje jasné porozumění procesu ověřování v různých operačních systémech Windows.
Konkrétně jsou pokryty tyto komponenty:
Zadávání přihlašovacích údajů pro přihlašování do aplikací a služeb
databáze Správce účtů zabezpečení
Přehled ověřování přihlašovacích údajů systému Windows
Správa přihlašovacích údajů systému Windows je proces, pomocí kterého operační systém přijímá přihlašovací údaje ze služby nebo uživatele a zabezpečuje tyto informace pro budoucí prezentaci do ověřovacího cíle. Pokud je počítač připojený k doméně, ověřovacím cílem je řadič domény. Přihlašovací údaje použité při ověřování jsou digitální dokumenty, které přidružují identitu uživatele k nějaké formě ověření pravosti, jako je certifikát, heslo nebo PIN kód.
Ve výchozím nastavení se přihlašovací údaje systému Windows ověřují vůči databázi Správce účtů zabezpečení (SAM) v místním počítači nebo službě Active Directory v počítači připojeném k doméně prostřednictvím služby Winlogon. Přihlašovací údaje se shromažďují prostřednictvím vstupu uživatele v přihlašovacím uživatelském rozhraní nebo prostřednictvím programového rozhraní (API), které se mají předložit ověřovacímu cíli.
Místní informace o zabezpečení jsou uloženy v registru pod HKEY_LOCAL_MACHINE\SECURITY. Uložené informace zahrnují nastavení zásad, výchozí hodnoty zabezpečení a informace o účtu, jako jsou přihlašovací údaje uložené v mezipaměti. Tady je uložená také kopie databáze SAM, i když je chráněná proti zápisu.
Následující diagram znázorňuje požadované součásti a cesty, které přihlašovací údaje procházejí systémem k ověření uživatele nebo procesu úspěšného přihlášení.
Následující tabulka popisuje jednotlivé komponenty, které spravují přihlašovací údaje v procesu ověřování v okamžiku přihlášení pro všechny systémy.
| Component | Description |
|---|---|
| Přihlášení uživatele | Winlogon.exe je spustitelný soubor zodpovědný za správu zabezpečených uživatelských interakcí. Služba Winlogon zahájí proces přihlášení pro operační systémy Windows předáním přihlašovacích údajů shromážděných akcí uživatele na zabezpečené ploše (přihlašovací uživatelské rozhraní) místní autoritě zabezpečení (LSA) prostřednictvím secur32.dll. |
| Přihlášení k aplikaci | Přihlášení aplikací nebo služeb, která nevyžadují interaktivní přihlášení. Většina procesů iniciovaných uživatelem běží v uživatelském režimu pomocí, secur32.dll zatímco procesy zahájené při spuštění, jako jsou služby, běží v režimu jádra pomocí Ksecdd.sys.Další informace o uživatelském režimu a režimu jádra naleznete v tématu Aplikace a uživatelský režim nebo služby a režim jádra. |
secur32.dll |
Množství poskytovatelů ověřování, kteří tvoří základ procesu autentizace. |
lsasrv.dll |
Služba LSA Server, která vynucuje zásady zabezpečení a funguje jako správce balíčků zabezpečení pro LSA. LSA obsahuje funkci Negotiate, která po určení úspěšného protokolu vybere protokol NTLM nebo Kerberos. |
| Poskytovatelé podpory zabezpečení | Sada zprostředkovatelů, kteří mohou jednotlivě vyvolat jeden nebo více ověřovacích protokolů. Výchozí sada poskytovatelů se může měnit s každou verzí operačního systému Windows a vlastní zprostředkovatelé je možné zapsat. |
netlogon.dll |
Služby, které služba Net Logon provádí, jsou následující:
|
samsrv.dll |
Správce účtů zabezpečení (SAM), který ukládá místní účty zabezpečení, vynucuje místně uložené zásady a podporuje rozhraní API. |
| Registry | Registr obsahuje kopii databáze SAM, nastavení místních zásad zabezpečení, výchozí hodnoty zabezpečení a informace o účtu, které jsou přístupné pouze systému. |
Zadání přihlašovacích údajů pro přihlášení uživatele
Architektura zprostředkovatele přihlašovacích údajů, která byla zavedena v systému Windows Server 2008, je primárním mechanismem pro shromažďování přihlašovacích údajů uživatele během přihlašování. Umožňuje flexibilní a rozšiřitelný způsob shromažďování přihlašovacích údajů od uživatelů, jako jsou hesla, čipové karty nebo biometrické údaje. Architektura zprostředkovatele přihlašovacích údajů nahrazuje starší architekturu GINA (Graphical Identification and Authentication), která se používá v dřívějších verzích Windows.
Pokud se chcete dozvědět o architektuře GINA (Graphical Identification and Authentication) ve starších verzích Windows, rozbalte tuto část.
Architektura GINA (Graphical Identification and Authentication) se vztahuje na operační systémy Windows Server 2003, Microsoft Windows 2000 Server, Windows XP a Windows 2000 Professional. V těchto systémech každá interaktivní přihlašovací relace vytvoří samostatnou instanci služby Winlogon. Architektura GINA se načte do procesního prostoru používaného winlogonem, přijme a zpracuje přihlašovací údaje a provede volání ověřovacích rozhraní prostřednictvím LSALogonUser.
Instance Winlogonu pro interaktivní přihlášení běží v Session 0. Sezení 0 hostuje systémové služby a další kritické procesy, včetně procesu LSA (Local Security Authority – Místní bezpečnostní úřad).
Následující diagram znázorňuje proces pověření pro systém Windows Server 2003, Microsoft Windows 2000 Server, Windows XP a Microsoft Windows 2000 Professional.
Architektura zprostředkovatele přihlašovacích údajů
Architektura zprostředkovatele přihlašovacích údajů používá rozšiřitelný návrh pomocí zprostředkovatelů přihlašovacích údajů. Různé přihlašovací dlaždice představují tyto poskytovatele na zabezpečené ploše, které umožňují libovolný počet přihlašovacích scénářů, včetně různých účtů pro stejného uživatele a různých metod ověřování, jako jsou heslo, čipová karta a biometrické údaje.
Následující diagram znázorňuje proces přihlašovacích údajů pro architekturu zprostředkovatele přihlašovacích údajů:
Winlogon vždy spustí přihlašovací uživatelské rozhraní procesu, jakmile obdrží událost zabezpečené sekvence pozornosti. Přihlašovací uživatelské rozhraní se dotazuje každého zprostředkovatele přihlašovacích údajů na počet různých typů přihlašovacích údajů, které je zprostředkovatel nakonfigurován k vypsání. Zprostředkovatelé přihlašovacích údajů mají možnost zadat jednu z těchto dlaždic jako výchozí. Jakmile všichni poskytovatelé zobrazí výčet dlaždic, zobrazí je přihlašovací uživatelské rozhraní uživateli. Uživatel pracuje s dlaždicí a zadává přihlašovací údaje. Přihlašovací uživatelské rozhraní odesílá tyto přihlašovací údaje k ověřování.
Poskytovatelé přihlašovacích údajů nejsou mechanismy vynucení; používají se ke shromažďování a serializaci přihlašovacích údajů. Místní bezpečnostní autorita a ověřovací balíčky vynucují bezpečnostní opatření.
Poskytovatelé přihlašovacích údajů jsou zaregistrovaní v počítači a zodpovídají za následující úlohy:
Popis informací o přihlašovacích údaji požadovaných pro ověření
Zpracování komunikace a logiky s externími ověřovacími autoritami
Zabalení přihlašovacích údajů pro interaktivní přihlášení a přihlášení k síti
Zabalení přihlašovacích údajů pro interaktivní přihlášení a přihlášení k síti zahrnuje proces serializace. Při serializaci přihlašovacích údajů se uživateli může zobrazit více přihlašovacích dlaždic. Proto může vaše organizace řídit zobrazení přihlášení, jako jsou uživatelé, cílové systémy pro přihlášení, přístup před přihlášením k síti a zásadám uzamčení/odemknutí pracovní stanice pomocí přizpůsobených zprostředkovatelů přihlašovacích údajů. Na stejném počítači může existovat více zprostředkovatelů přihlašovacích údajů. Zprostředkovatelé jednotného přihlašování (SSO) je možné vyvinout jako standardního zprostředkovatele přihlašovacích údajů nebo jako poskytovatele přístupu před přihlášením (PLAP).
Každá verze Systému Windows obsahuje jednoho výchozího zprostředkovatele přihlašovacích údajů a jednoho výchozího zprostředkovatele přístupu před přihlášením, označovaného také jako zprostředkovatel jednotného přihlašování. Poskytovatel jednotného přihlašování umožňuje uživatelům vytvořit připojení k síti před přihlášením k místnímu počítači. Když je tento zprostředkovatel implementován, zprostředkovatel nezobrazuje dlaždice v uživatelském rozhraní pro přihlášení.
Poskytovatel jednotného přihlašování je určený k použití v následujících scénářích:
Ověřování sítě a přihlášení k počítači zpracovává různí poskytovatelé přihlašovacích údajů, včetně následujících variant tohoto scénáře:
Uživatel se může připojit k síti, jako je připojení k virtuální privátní síti (VPN), než se přihlásí k počítači, ale toto připojení se nevyžaduje.
K načtení informací používaných během interaktivního ověřování v místním počítači se vyžaduje ověření sítě.
Za několika síťovými ověřováními následuje jeden z dalších scénářů. Uživatel se například ověřuje u poskytovatele internetových služeb(ISP), ověřuje se v síti VPN a pak používá přihlašovací údaje svého uživatelského účtu k místnímu přihlášení.
Pověření uložená v mezipaměti jsou zakázaná a před místním přihlášením k ověření uživatele se vyžaduje připojení ke službě Vzdálený přístup prostřednictvím sítě VPN.
Uživatel domény nemá nastavený místní účet na počítači připojeném k doméně a před dokončením interaktivního přihlášení musí navázat připojení ke službě Vzdálený přístup prostřednictvím připojení VPN.
Ověřování sítě a přihlášení počítače zpracovává stejný poskytovatel přihlašovacích údajů, kde uživatel musí připojit k síti před přihlášením k počítači.
Výčet přihlašovacích ikon
Zprostředkovatel přihlašovacích údajů vytvoří výčet přihlašovacích dlaždic v následujících případech:
Pro přihlášení k pracovní stanici. Zprostředkovatel přihlašovacích údajů obvykle serializuje přihlašovací údaje pro ověřování pro místní autoritu zabezpečení. Tento proces zobrazuje dlaždice specifické pro každého uživatele a specifické pro cílové systémy jednotlivých uživatelů.
Architektura přihlašování a ověřování umožňuje uživateli použít dlaždice vytvořené zprostředkovatelem přihlašovacích údajů k odemknutí pracovní stanice. Aktuálně přihlášený uživatel je obvykle výchozí dlaždicí, ale pokud je přihlášených více uživatelů, zobrazí se celá řada dlaždic.
Poskytovatel přihlašovacích údajů vyčísluje dlaždice v reakci na žádost uživatele o změnu hesla nebo jiných soukromých informací, jako je pin kód. Aktuálně přihlášený uživatel je obvykle výchozí dlaždicí, ale pokud je přihlášených více uživatelů, zobrazí se celá řada dlaždic.
Zprostředkovatel přihlašovacích údajů vytvoří výčet dlaždic na základě serializovaných přihlašovacích údajů, které se mají použít pro ověřování na vzdálených počítačích. Uživatelské rozhraní přihlašovacích údajů nepoužívá stejnou instanci poskytovatele jako přihlašovací uživatelské rozhraní, odemknutí pracovní stanice nebo změnu hesla. Informace o stavu se proto nedají udržovat ve zprostředkovateli mezi instancemi uživatelského rozhraní přihlašovacích údajů. Výsledkem této struktury je jedna dlaždice pro každé přihlášení ke vzdálenému počítači za předpokladu, že jsou přihlašovací údaje správně serializovány. Tento scénář se používá také v nástroji Řízení uživatelských účtů (UAC), který může pomoct zabránit neoprávněným změnám počítače tím, že uživatele vyzve k zadání oprávnění nebo hesla správce před povolením akcí, které by mohly ovlivnit operaci počítače nebo které by mohly změnit nastavení, která mají vliv na ostatní uživatele počítače.
Zadání přihlašovacích údajů pro přihlášení k aplikacím a službám
Ověřování systému Windows je určeno ke správě přihlašovacích údajů pro aplikace nebo služby, které nevyžadují interakci uživatele. Aplikace v uživatelském režimu jsou omezené na to, k jakým systémovým prostředkům mají přístup, zatímco služby můžou mít neomezený přístup k systémové paměti a externím zařízením.
Systémové služby a aplikace na úrovni přenosu přistupují ke zprostředkovateli zabezpečení (SSP) prostřednictvím rozhraní SSPI (Security Support Provider Interface) ve Windows, která poskytuje funkce pro výčet balíčků zabezpečení dostupných v systému, výběru balíčku a použití daného balíčku k získání ověřeného připojení.
Při ověření připojení klienta nebo serveru:
Aplikace na straně klienta připojení odesílá přihlašovací údaje na server pomocí funkce SSPI
InitializeSecurityContext (General).Aplikace na straně serveru připojení reaguje funkcí SSPI
AcceptSecurityContext (General).Funkce SSPI
InitializeSecurityContext (General)aAcceptSecurityContext (General)se opakují, dokud se všechny nezbytné ověřovací zprávy nevymění a nepovedou k úspěšnému či neúspěšnému ověření.Po ověření připojení používá LSA na serveru informace z klienta k sestavení kontextu zabezpečení, který obsahuje přístupový token.
Server pak může volat funkci SSPI
ImpersonateSecurityContext, aby připojil přístupový token k vláknu zosobnění služby.
Aplikace a uživatelský režim
Uživatelský režim ve Windows se skládá ze dvou systémů schopných předávat vstupně-výstupní požadavky příslušným ovladačům režimu jádra: systém prostředí, který spouští aplikace napsané pro mnoho různých typů operačních systémů, a celočíselný systém, který provozuje funkce specifické pro systém jménem systému prostředí.
Integrovaný systém spravuje funkce specifické pro konkrétní operační systém ve prospěch systému prostředí a skládá se z procesu bezpečnostního systému (LSA), služby pracovní stanice a serverní služby. Proces systému zabezpečení se zabývá tokeny zabezpečení, uděluje nebo odepře oprávnění pro přístup k uživatelským účtům na základě oprávnění prostředků, zpracovává žádosti o přihlášení a spouští ověřování přihlášení a určuje systémové prostředky, které musí operační systém auditovat.
Aplikace se mohou spouštět v uživatelském režimu, kde může běžet pod libovolnou hlavní identitou, včetně v rámci zabezpečení místního systému (SYSTEM). Aplikace se také můžou spouštět v režimu jádra, kde může aplikace běžet v kontextu zabezpečení místního systému (SYSTEM).
SSPI je k dispozici prostřednictvím secur32.dll modulu, což je rozhraní API používané k získání integrovaných služeb zabezpečení pro ověřování, integritu zpráv a ochranu osobních údajů zpráv. Poskytuje abstrakční vrstvu mezi protokoly na úrovni aplikace a protokoly zabezpečení. Vzhledem k tomu, že různé aplikace vyžadují různé způsoby identifikace nebo ověřování uživatelů a různých způsobů šifrování dat při cestě po síti, poskytuje SSPI způsob, jak přistupovat k knihovnám DLL s dynamickým propojením, které obsahují různé ověřovací a kryptografické funkce. Tyto knihovny DLL se nazývají poskytovatelé podpory zabezpečení (SSP).
Účty spravovaných služeb a virtuální účty byly zavedeny v systémech Windows Server 2008 R2 a Windows 7, aby poskytovaly klíčové aplikace, jako je Microsoft SQL Server a Internetová informační služba (IIS), s izolací vlastních doménových účtů a současně eliminuje nutnost správce ručně spravovat hlavní název služby (SPN) a přihlašovací údaje pro tyto účty. Další informace o těchto funkcích a jejich rolích při ověřování najdete v dokumentaci k účtům spravované služby pro Windows 7 a Windows Server 2008 R2 a účty spravované služby skupiny – přehled.
Služby a režim jádra
I když většina aplikací pro Windows běží v kontextu zabezpečení uživatele, který je spustí, není to pravda o službách. Řadič služeb ovládá mnoho služeb systému Windows, jako jsou síťové a tiskové služby, když uživatel spustí počítač. Tyto služby můžou běžet jako místní služba nebo místní systém a můžou běžet i po odhlášení posledního uživatele člověka.
Note
Služby se obvykle spouštějí v kontextech zabezpečení označovaných jako Místní systém (SYSTEM), Síťová služba nebo Místní služba. Windows Server 2008 R2 zavedl služby, které běží pod účtem spravované služby, což jsou objekty zabezpečení domény.
Před spuštěním služby se kontroler služby přihlásí pomocí účtu, který je určený pro službu, a pak zobrazí přihlašovací údaje služby pro ověřování LSA. Služba Systému Windows implementuje programové rozhraní, které může správce kontroleru služby použít k řízení služby. Službu Systému Windows je možné spustit automaticky při spuštění systému nebo ručně pomocí programu řízení služeb. Když se například klientský počítač s Windows připojí k doméně, služba messenger v počítači se připojí k řadiči domény a otevře zabezpečený kanál. Aby služba získala ověřené připojení, musí mít přihlašovací údaje, kterým důvěřuje místní autorita zabezpečení vzdáleného počítače (LSA). Při komunikaci s jinými počítači v síti používá LSA přihlašovací údaje pro účet domény místního počítače, stejně jako všechny ostatní služby spuštěné v kontextu zabezpečení místního systému a síťové služby. Služby v místním počítači běží jako SYSTEM, takže přihlašovací údaje nemusí být předány LSA.
Soubor ksecdd.sys tyto přihlašovací údaje spravuje a šifruje a používá místní procedurální volání do LSA. Typ souboru je DRV (ovladač) a je známý jako zprostředkovatel zabezpečení v režimu jádra (SSP) a je kompatibilní se standardem FIPS 140-2 Level 1 počínaje systémem Windows Server 2008.
Režim jádra má úplný přístup k hardwarovým a systémovým prostředkům počítače. Režim jádra zastaví služby a aplikace v uživatelském režimu v přístupu ke kritickým oblastem operačního systému, ke kterým by neměly mít přístup.
Místní bezpečnostní autorita
Místní úřad zabezpečení (LSA) je chráněný systémový proces, který ověřuje a přihlašuje uživatele na místní počítač. Kromě toho LSA udržuje informace o všech aspektech místního zabezpečení na počítači (tyto aspekty se souhrnně označují jako místní zásady zabezpečení) a poskytuje různé služby pro překlad mezi názvy a identifikátory zabezpečení (SID). Proces systému zabezpečení, služba LSASS (Local Security Authority Server Service), sleduje zásady zabezpečení a účty, které mají vliv na počítačový systém.
LSA ověří identitu uživatele na základě toho, která z následujících dvou entit vydala účet uživatele:
Místní autorita zabezpečení: LSA může ověřit informace o uživatelích kontrolou databáze Správce účtů zabezpečení (SAM), která se nachází na stejném počítači. Každá pracovní stanice nebo členský server může ukládat místní uživatelské účty a informace o místních skupinách. Tyto účty se ale dají použít pouze pro přístup k dané pracovní stanici nebo počítači.
Bezpečnostní autorita pro místní doménu nebo důvěryhodnou doménu: LSA kontaktuje entitu, která účet vydala, a požádá o ověření, že účet je platný a že žádost pochází od držitele účtu.
Služba podsystému místní bezpečnostní autority (LSASS) ukládá přihlašovací údaje v paměti pro uživatele s aktivními relacemi systému Windows. Uložené přihlašovací údaje umožňují uživatelům bezproblémový přístup k síťovým prostředkům, jako jsou sdílené složky, poštovní schránky Exchange Serveru a sharepointové weby, aniž by museli znovu zadávat přihlašovací údaje pro každou vzdálenou službu.
LSASS může ukládat přihlašovací údaje ve více formulářích, včetně:
Reverzibilním způsobem zašifrovaný otevřený text.
Vstupenky Kerberos (vstupenky pro udělení vstupu (TGTs), vstupenky na služby).
Hash NT.
Hash LAN Manageru (LM).
Pokud se uživatel přihlásí k Windows pomocí čipové karty, LSASS neukládá heslo v prostém textu, ale ukládá odpovídající NT hash hodnotu pro účet a PIN v prostém textu pro čipovou kartu. Pokud je atribut účtu povolený pro čipovou kartu, která je vyžadována pro interaktivní přihlášení, je pro účet automaticky generována náhodná hodnota hash NT místo původní hodnoty hash hesla. Hodnota hash hesla, která se automaticky vygeneruje při nastavení atributu, se nezmění.
Pokud se uživatel přihlásí k počítači se systémem Windows pomocí hesla, které je kompatibilní s hodnotami hash LAN Manageru (LM), bude tento ověřovací objekt v paměti. Úložiště přihlašovacích údajů v prostém textu v paměti nelze zakázat, i když jsou zprostředkovatelé přihlašovacích údajů, kteří je vyžadují, zakázáni.
Uložené přihlašovací údaje jsou přímo přidružené k přihlašovacím relacím místní služby LSASS (Local Security Authority Subsystem Service), které se spustí po posledním restartování a nejsou zavřené. Relace LSA s uloženými přihlašovacími údaji LSA se například vytvoří, když uživatel provede kteroukoli z následujících akcí:
Přihlásí se k místní relaci nebo relaci protokolu RDP (Remote Desktop Protocol) v počítači.
Spustí úlohu pomocí možnosti Spustit jako .
Spustí aktivní službu systému Windows na počítači.
Spustí naplánovanou úlohu nebo dávkovou úlohu.
Spustí úlohu v místním počítači pomocí nástroje pro vzdálenou správu.
V některých případech jsou tajné kódy LSA, což jsou tajné údaje, které jsou přístupné pouze pro procesy účtu SYSTEM, uloženy na pevném disku. Některé z těchto tajných kódů jsou přihlašovací údaje, které se musí po restartování zachovat a jsou uložené v šifrované podobě na pevném disku. Přihlašovací údaje uložené jako tajné kódy LSA můžou zahrnovat:
Heslo účtu pro účet služby Active Directory Domain Services (AD DS) počítače.
Hesla účtů pro služby systému Windows, které jsou nakonfigurované v počítači.
Hesla účtů pro nakonfigurované naplánované úlohy
Hesla účtů pro fondy aplikací a webové stránky IIS.
Hesla pro účty Microsoft.
Klientský operační systém Windows poskytuje dodatečnou ochranu pro LSA, aby se zabránilo čtení paměti a injektáže kódu nechráněným procesy, které byly zavedeny ve Windows 8.1. Tato ochrana zvyšuje zabezpečení přihlašovacích údajů, které LSA ukládá a spravuje.
Další informace o těchto dodatečných ochraně najdete v tématu Konfigurace další ochrany LSA.
Přihlašovací údaje a ověřování uložené v mezipaměti
Mechanismy ověřování spoléhají na prezentaci přihlašovacích údajů v době přihlášení. Pokud je však počítač odpojený od řadiče domény a uživatel prezentuje přihlašovací údaje domény, systém Windows používá proces přihlašovacích údajů uložených v mezipaměti v ověřovacím mechanismu.
Pokaždé, když se uživatel přihlásí k doméně, systém Windows uloží zadané přihlašovací údaje do mezipaměti a uloží je do podregistru zabezpečení v registru operačního systému. S přihlašovacími údaji uloženými v mezipaměti se uživatel může přihlásit k členu domény, aniž by se připojil k řadiči domény v této doméně.
Úložiště a ověřování přihlašovacích údajů
Není vždy žádoucí použít jednu sadu přihlašovacích údajů pro přístup k různým prostředkům. Správce může například chtít použít administrativní přihlašovací údaje namísto uživatelských při přístupu ke vzdálenému serveru. Podobně platí, že pokud uživatel přistupuje k externím prostředkům, jako je bankovní účet, může používat jenom přihlašovací údaje, které se liší od přihlašovacích údajů domény.
Procesy přihlašovacích údajů vzdáleného přihlášení
Protokol RDP (Remote Desktop Protocol) spravuje přihlašovací údaje uživatele, který se připojuje ke vzdálenému počítači pomocí klienta vzdálené plochy, který byl zaveden v systému Windows 8. Přihlašovací údaje ve formátu prostého textu se odesílají cílovému hostiteli, kde se hostitel pokusí provést proces ověřování, a v případě úspěchu připojí uživatele k povoleným prostředkům. Protokol RDP neukládá přihlašovací údaje do klienta, ale přihlašovací údaje domény uživatele se ukládají do LSASS.
Režim omezeného správce poskytuje dodatečné zabezpečení pro scénáře vzdáleného přihlášení, které byly zavedeny v systémech Windows Server 2012 R2 a Windows 8.1. Tento režim vzdálené plochy způsobí, že klientská aplikace provede výzvu k přihlášení do sítě pomocí jednosměrné funkce NT (NTOWF) nebo použije vstupenku služby Kerberos při autentizaci vůči vzdálenému hostiteli. Po ověření správce nemá správce příslušné přihlašovací údaje k účtu v LSASS, protože nebyly dodány vzdálenému hostiteli. Místo toho má správce přihlašovací údaje účtu počítače pro relaci. Přihlašovací údaje správce nejsou zadané vzdálenému hostiteli, takže akce se provádějí jako účet počítače. Prostředky jsou také omezené na účet počítače a správce nemá přístup k prostředkům pomocí vlastního účtu.
Proces automatického restartování přihlašovacích údajů
Když se uživatel přihlásí, LSA uloží přihlašovací údaje uživatele do šifrované paměti, které jsou přístupné pouze LSASS.exe, který byl zaveden ve Windows 8.1. Když služba Windows Update zahájí automatické restartování bez přítomnosti uživatele, použijí se tyto přihlašovací údaje ke konfiguraci automatickéhologu pro uživatele.
Při restartování se uživatel automaticky přihlásí pomocí mechanismu autologonu a poté se počítač dodatečně uzamkne, aby chránil uživatelskou relaci. Uzamčení se zahájí prostřednictvím Winlogonu, zatímco správa přihlašovacích údajů provádí LSA. Díky automatickému přihlášení a uzamčení uživatelovy relace na konzoli se aplikace zamykací obrazovky restartují a jsou k dispozici.
Další informace o ARSO naleznete v tématu Winlogon Automatické restartování Sign-On (ARSO).
Windows Vault a Správce přihlašovacích údajů
Správce přihlašovacích údajů je funkce Ovládacích panelů pro ukládání a správu uživatelských jmen a hesel, která byla zavedena v systémech Windows Server 2008 R2 a Windows 7. Správce přihlašovacích údajů umožňuje uživatelům ukládat přihlašovací údaje relevantní pro jiné systémy a weby v zabezpečeném trezoru Windows.
Uživatelé můžou ukládat a ukládat přihlašovací údaje z podporovaných prohlížečů a aplikací pro Windows na místním počítači, aby to vyhovovalo, když se potřebují k těmto prostředkům přihlásit. Přihlašovací údaje se ukládají do speciálních zašifrovaných složek v počítači v profilu uživatele. Aplikace, které tuto funkci podporují (pomocí rozhraní API Správce přihlašovacích údajů), jako jsou webové prohlížeče a aplikace, můžou během procesu přihlášení prezentovat správné přihlašovací údaje ostatním počítačům a webům.
Když web, aplikace nebo jiný počítač požaduje ověření prostřednictvím protokolu NTLM nebo Kerberos, zobrazí se dialogové okno, ve kterém zaškrtnete políčko Aktualizovat výchozí přihlašovací údaje nebo Uložit heslo. Aplikace, která podporuje rozhraní API Správce přihlašovacích údajů, generuje toto dialogové okno, které umožňuje uživateli uložit přihlašovací údaje místně. Pokud uživatel zaškrtne políčko Uložit heslo, správce přihlašovacích údajů sleduje uživatelské jméno, heslo a související informace o používané ověřovací službě.
Při příštím použití služby správce přihlašovacích údajů automaticky dodá přihlašovací údaje uložené ve službě Windows Vault. Pokud není akceptovaná, zobrazí se uživateli výzva k zadání správných přístupových informací. Pokud je přístup udělen pomocí nových přihlašovacích údajů, Správce přihlašovacích údajů přepíše předchozí přihlašovací údaje novým přihlašovacím údajem a uloží nové přihlašovací údaje do trezoru Windows.
Databáze Správce účtů zabezpečení
Správce účtů zabezpečení (SAM) je databáze, ve které jsou uložené místní uživatelské účty a skupiny. Nachází se v každém operačním systému Windows; Pokud je však počítač připojený k doméně, služba Active Directory spravuje účty domény v doménách služby Active Directory.
Klientské počítače s operačním systémem Windows se například účastní síťové domény tím, že komunikují s řadičem domény i v případě, že není přihlášen žádný uživatel. Aby mohl počítač zahájit komunikaci, musí mít v doméně aktivní účet. Před přijetím komunikace z počítače ověří LSA na řadiči domény identitu počítače a pak vytvoří kontext zabezpečení počítače stejně jako pro objekt zabezpečení člověka. Tento kontext zabezpečení definuje identitu a možnosti uživatele nebo služby v určitém počítači, uživateli, službě nebo počítači v síti. Přístupový token obsažený v kontextu zabezpečení například definuje prostředky (například sdílenou složku nebo tiskárnu), ke kterým je možné přistupovat, a akce (například čtení, zápis nebo úprava), které může objekt zabezpečení (uživatel, počítač nebo služba) s daným prostředkem provádět.
Kontext zabezpečení uživatele nebo počítače se může lišit od jednoho počítače k druhému, například když se uživatel přihlásí k serveru nebo k jiné pracovní stanici, než je vlastní primární pracovní stanice uživatele. Může se také lišit od jedné relace po jinou, například když správce upraví práva a oprávnění uživatele. Kontext zabezpečení se navíc obvykle liší, když uživatel nebo počítač pracuje samostatně, v síti nebo jako součást domény služby Active Directory.
Místní domény a důvěryhodné domény
Pokud mezi dvěma doménami existuje vztah důvěryhodnosti, mechanismy ověřování pro každou doménu spoléhají na platnost ověřování pocházejících z druhé domény. Vztahy důvěry pomáhají poskytovat řízený přístup ke sdíleným prostředkům v důvěřující doméně tím, že ověřují, že příchozí žádosti o ověření pocházejí z důvěryhodné autority v důvěryhodné doméně. Tímto způsobem fungují důvěry jako mosty, které umožňují předávat pouze ověřené autentizační požadavky mezi doménami.
Způsob, jakým určitá důvěryhodnost předává požadavky na ověřování, závisí na tom, jak je nakonfigurována. Vztahy důvěryhodnosti můžou být jednosměrné tím, že poskytují přístup z důvěryhodné domény k prostředkům v důvěryhodné doméně nebo obousměrně tím, že z každé domény poskytují přístup k prostředkům v druhé doméně. Vztahy důvěryhodnosti jsou také nepřenosné, v takovém případě existuje vztah důvěryhodnosti pouze mezi dvěma partnerskými doménami vztahu důvěryhodnosti, nebo tranzitivní, v takovém případě se vztah důvěryhodnosti automaticky rozšíří na všechny ostatní domény, kterým některý z partnerů důvěřuje.
Informace o důvěryhodných vztazích domén a lesů týkajících se ověřování najdete v tématu Delegované ověřování a vztahy důvěryhodnosti.
Certifikáty v ověřování systému Windows
Infrastruktura veřejných klíčů (PKI) je kombinace softwarových, šifrovacích technologií, procesů a služeb, které organizaci umožňují zabezpečit komunikaci a obchodní transakce. Schopnost infrastruktury veřejných klíčů zabezpečit komunikaci a obchodní transakce je založená na výměně digitálních certifikátů mezi ověřenými uživateli a důvěryhodnými prostředky.
Digitální certifikát je elektronický dokument, který obsahuje informace o entitě, do které patří, entitu, která ho vydala, jedinečné sériové číslo nebo jiné jedinečné identifikační číslo, datum vystavení a vypršení platnosti a digitální otisk prstu.
Ověřování je proces určení, jestli může být vzdálený hostitel důvěryhodný. Aby bylo možné vytvořit jeho důvěryhodnost, musí vzdálený hostitel poskytnout přijatelný ověřovací certifikát.
Vzdálení hostitelé navazují svou důvěryhodnost získáním certifikátu od certifikační autority (CA). Certifikační autorita zase může mít certifikaci od vyšší autority, která vytvoří řetězec důvěryhodnosti. Pokud chcete zjistit, jestli je certifikát důvěryhodný, musí aplikace určit identitu kořenové certifikační autority a pak určit, jestli je důvěryhodný.
Podobně musí vzdálený hostitel nebo místní počítač určit, jestli je certifikát prezentovaný uživatelem nebo aplikací autentický. Certifikát předaný uživatelem prostřednictvím LSA a SSPI je na místním počítači, v síti nebo v doméně prostřednictvím úložišť certifikátů ve službě Active Directory vyhodnocován z hlediska pravosti pro místní přihlášení.
Aby bylo možno vytvořit certifikát, ověřovací data procházejí hashovacími algoritmy, jako je algoritmus SHA (Secure Hash Algorithm), aby se vytvořila hodnota hash zprávy. Otisk zprávy se pak digitálně podepíše pomocí soukromého klíče odesílatele, aby prokázal, že odesílatel otisk zprávy vytvořil.
Ověřování čipovou kartou
Příkladem ověřování založeného na certifikátech je technologie čipových karet. Přihlášení k síti pomocí čipové karty poskytuje silnou formu ověřování, protože při ověřování uživatele v doméně používá identifikaci na základě kryptografie a doklad o vlastnictví. Služba AD CS (Active Directory Certificate Services) poskytuje kryptografickou identifikaci prostřednictvím vystavení přihlašovacího certifikátu pro každou čipovou kartu.
Technologie virtuálních čipových karet byla zavedena ve Windows 8. Uloží certifikát čipové karty do počítače a pak ho chrání pomocí čipu TPM (Trusted Platform Module) odolného proti manipulaci zařízení. Tímto způsobem se počítač skutečně stane čipovou kartou, která musí dostat PIN kód uživatele, aby bylo možné ověřit.
Informace o ověřování čipové karty naleznete v Windows Smart Card Technical Reference.
Vzdálené a bezdrátové ověřování
Vzdálené a bezdrátové síťové ověřování je další technologie, která k ověřování používá certifikáty. Servery služby IAS (Internet Authentication Service) a virtuální privátní sítě používají Protocol-Transport k provádění ověřování na základě certifikátů mnoho typů síťového přístupu, včetně virtuální privátní sítě (VPN) a bezdrátových připojení(EAP-TLS), protokolu PEAP (Protected Extensible Authentication Protocol) nebo IPsec (Internet Protocol Security).
Informace o ověřování založeném na certifikátech v sítích naleznete v tématu Ověřování přístupu k síti a certifikáty.
Související obsah
- koncepty ověřování systému Windows
- Technický přehled ověřování Systému Windows