Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma přehledu pro IT profesionály vysvětluje základní schéma architektury ověřování systému Windows.
Ověřování je proces, pomocí kterého systém ověřuje přihlašovací údaje uživatele. Jméno a heslo uživatele se porovná s autorizovaným seznamem a pokud systém zjistí shodu, udělí se přístup v rozsahu uvedeném v seznamu oprávnění pro daného uživatele.
V rámci rozšiřitelné architektury implementují operační systémy Windows Server výchozí sadu zprostředkovatelů podpory zabezpečení ověřování, mezi které patří Negotiate, protokol Kerberos, NTLM, Schannel (zabezpečený kanál) a Digest. Protokoly používané těmito poskytovateli umožňují ověřování uživatelů, počítačů a služeb a proces ověřování umožňuje autorizovaným uživatelům a službám zabezpečený přístup k prostředkům.
Ve Windows Serveru aplikace ověřují uživatele pomocí SSPI, které abstrahuje volání pro ověřování. Vývojáři proto nemusí rozumět složitostem konkrétních ověřovacích protokolů ani do svých aplikací vytvářet ověřovací protokoly.
Operační systémy Windows Server zahrnují sadu součástí zabezpečení, které tvoří model zabezpečení Systému Windows. Tyto komponenty zajišťují, že aplikace nemohou získat přístup k prostředkům bez ověřování a autorizace. Následující části popisují prvky architektury ověřování.
Místní bezpečnostní autorita
Místní autorita zabezpečení (LSA) je chráněný subsystém, který ověřuje a přihlašuje uživatele k místnímu počítači. Kromě toho LSA udržuje informace o všech aspektech místního zabezpečení na počítači (tyto aspekty se souhrnně označují jako místní zásady zabezpečení). Poskytuje také různé služby pro překlad mezi názvy a identifikátory zabezpečení (SID).
Subsystém zabezpečení sleduje zásady zabezpečení a účty, které jsou v počítačovém systému. V případě řadiče domény jsou tyto zásady a účty ty, které platí pro doménu, ve které se nachází řadič domény. Tyto zásady a účty jsou uložené ve službě Active Directory. Subsystém LSA poskytuje služby pro ověřování přístupu k objektům, kontrolu uživatelských práv a generování zpráv auditu.
SSPI (Security Support Provider Interface)
Rozhraní SSPI (Security Support Provider Interface) je rozhraní API, které získává integrované služby zabezpečení pro ověřování, integritu zpráv, ochranu osobních údajů zpráv a kvalitu zabezpečení pro každý distribuovaný aplikační protokol.
SSPI je implementace obecného rozhraní API služby zabezpečení (GSSAPI). SSPI poskytuje mechanismus, pomocí kterého může distribuovaná aplikace volat jednoho z několika poskytovatelů zabezpečení k získání ověřeného připojení bez znalosti podrobností protokolu zabezpečení.