Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto referenční téma s přehledem popisuje koncepty, na kterých je založené ověřování systému Windows.
Ověřování je proces ověření identity objektu nebo osoby. Při ověřování objektu je cílem ověřit, že je objekt pravý. Při ověřování osoby je cílem ověřit, že osoba není podvodníkem.
V kontextu sítě je ověření proces prokazování identity vůči síťové aplikaci nebo zdroji. Identita se obvykle prokazuje kryptografickou operací, která používá buď klíč, který zná pouze uživatel (jako u kryptografie veřejného klíče), nebo sdílený klíč. Serverová strana výměny ověřování porovnává podepsaná data se známým kryptografickým klíčem k ověření pokusu o ověření.
Uložení kryptografických klíčů v zabezpečeném centrálním umístění umožňuje škálovatelný a udržovatelný proces ověřování. Služba Active Directory je doporučená a výchozí technologie pro ukládání informací o identitě, které zahrnují kryptografické klíče, které jsou přihlašovacími údaji uživatele. Služba Active Directory se vyžaduje pro výchozí implementace protokolů NTLM a Kerberos.
Techniky ověřování se liší od jednoduchého přihlášení k operačnímu systému nebo přihlášení ke službě nebo aplikaci, která identifikuje uživatele na základě něčeho, co zná jenom uživatel, například heslo, až po výkonnější mechanismy zabezpečení, které používají něco, co má uživatel, například tokeny, certifikáty veřejného klíče, obrázky nebo biologické atributy. V podnikovém prostředí můžou uživatelé přistupovat k více aplikacím na mnoha typech serverů v jednom umístění nebo v několika umístěních. Z těchto důvodů musí ověřování podporovat prostředí pro jiné platformy a pro jiné operační systémy Windows.
Ověřování a autorizace: Analogie cest
Cestovní analogie může pomoct vysvětlit, jak funguje ověřování. K zahájení cesty je obvykle potřeba několik přípravných úkolů. Cestovatel musí prokázat svou skutečnou totožnost svým hostitelským orgánům. Tento doklad může být ve formě důkazu o občanství, rodné místo, osobní poukázce, fotografiích nebo cokoli, co vyžaduje zákon hostitelské země. Identita cestujícího je ověřena vydáním pasu, který je analogický systémovému účtu vydávanému a spravovanému organizací – bezpečnostním principálem. Pas a zamýšlený cíl jsou založeny na sadě pravidel a předpisů vydaných vládním orgánem.
Cesta
Když cestovatel dorazí na mezinárodní hranici, pohraniční stráž požádá o doklady a cestující předloží svůj pas. Proces je dvounásobný:
Stráž ověřuje pas tím, že zjistí, zda byl vydán bezpečnostní autoritou, které místní vláda důvěřuje (alespoň důvěřuje k vydávání pasů), a také kontroluje, zda pas nebyl změněn.
Stráž ověřuje cestovatele tím, že ověří, že tvář odpovídá tváři osoby, která je na pasu na obrázku, a že jsou v pořádku další požadované přihlašovací údaje.
Pokud cestovní pas prokáže platnost a cestovatel prokáže, že je jeho vlastníkem, ověření proběhne úspěšně a cestující může být povolen přístup přes hranice.
Tranzitivní důvěryhodnost mezi bezpečnostními orgány je základem ověřování; typ ověřování, který probíhá na mezinárodních hranicích, je založen na důvěryhodnosti. Místní vláda nezná cestovatele, ale věří, že hostitelská vláda cestovatele zná. Když hostitelská vláda vydala cestovní pas, nevěděla ani cestovatele. Důvěřuje agentuře, která vydala rodný certifikát nebo jinou dokumentaci. Agentura, která vydala rodný certifikát, zase důvěřovala lékaři, který certifikát podepsal. Lékař byl svědkem narození cestovatele a orazítkoval certifikát přímým dokladem o totožnosti, v tomto případě otiskem novorozencovy nohy. Důvěryhodnost, která se tímto způsobem přenáší prostřednictvím důvěryhodných zprostředkovatelů, je tranzitivní.
Přenositelný vztah důvěryhodnosti je základem zabezpečení sítě v architektuře klienta nebo serveru Windows. Vztah důvěryhodnosti prochází v celé sadě domén, jako je strom domény, a tvoří vztah mezi doménou a všemi doménami, které této doméně důvěřují. Pokud má například doména A tranzitivní vztah důvěryhodnosti s doménou B a pokud doména B důvěřuje doméně C, doména A důvěřuje doméně C.
Mezi ověřováním a autorizací je rozdíl. Při autentizaci systém prokazuje, že jste tím, kým se vydáváte. Při autorizaci systém ověřuje, že máte práva k tomu, co chcete udělat. Chcete-li provést analogii ohraničení k dalšímu kroku, pouze ověření, že cestovatel je správným vlastníkem platného pasu, nemusí nutně autorizovat cestujícího k vstupu do země. Obyvatelé konkrétní země mohou vstoupit do jiné země jednoduše předložením pasu pouze v situacích, kdy země, která je zapsána, uděluje neomezené povolení všem občanům dané země vstoupit.
Podobně můžete všem uživatelům z určité domény udělit oprávnění k přístupu k prostředku. Každý uživatel, který patří do této domény, má přístup k prostředku, stejně jako Kanada umožňuje americkým občanům vstoupit do Kanady. Občané USA, kteří se pokoušejí vstoupit do Brazílie nebo Indie, zjistí, že nemohou do těchto zemí vstoupit jen předložením pasu, protože obě tyto země vyžadují, aby návštěvníci z USA měli platné vízum. Ověřování tedy nezaručuje přístup k prostředkům ani autorizaci k používání prostředků.
Credentials
Caution
Když uživatel provede místní přihlášení, před ověřením pomocí zprostředkovatele identity v síti se přihlašovací údaje ověřují místně proti kopii uložené v mezipaměti. Pokud je ověření mezipaměti úspěšné, získá uživatel přístup k ploše i v případě, že je zařízení offline. Pokud ale uživatel změní heslo v cloudu, nebude se ověřovatel uložený v mezipaměti aktualizován, což znamená, že bude mít stále přístup k místnímu počítači pomocí starého hesla.
Cestovní pas a případně související víza jsou pro cestovatele přijaté přihlašovací údaje. Tyto přihlašovací údaje však nemusí umožnit cestujícímu vstoupit nebo mít přístup ke všem prostředkům v rámci dané země. Například pro účast na konferenci se vyžadují další přihlašovací údaje. Ve Windows je možné přihlašovací údaje spravovat, aby mohli držitelé účtů přistupovat k prostředkům přes síť, aniž by museli opakovaně zadávat své přihlašovací údaje. Tento typ přístupu umožňuje uživatelům jednorázově ověřit přístup ke všem aplikacím a zdrojům dat, které mají oprávnění používat bez zadání jiného identifikátoru účtu nebo hesla. Platforma Windows využívá schopnost používat jednu identitu uživatele (udržovanou službou Active Directory) v síti tím, že místně ukládají přihlašovací údaje uživatele do mezipaměti v místní autoritě zabezpečení operačního systému (LSA). Když se uživatel přihlásí k doméně, ověřovací balíčky systému Windows transparentně používají přihlašovací údaje k poskytování jednotného přihlašování při ověřování přihlašovacích údajů síťovým prostředkům. Další informace o přihlašovacích údajích naleznete v tématu Procesy přihlašovacích údajů v ověřování systému Windows.
Formulář vícefaktorového ověřování pro cestovatele může být požadavek na přenos a prezentaci více dokumentů k ověření své identity, jako je cestovní pas a informace o registraci konference. Systém Windows implementuje tento formulář nebo ověřování prostřednictvím čipových karet, virtuálních čipových karet a biometrických technologií.
Principy zabezpečení a účty
V systému Windows je objekt zabezpečení jakýkoli uživatel, služba, skupina nebo počítač, který může inicializovat akci. Bezpečnostní entity mají účty, které mohou být místní pro daný počítač nebo založené na doméně. Například klientské počítače připojené k doméně systému Windows se můžou účastnit síťové domény tím, že komunikují s řadičem domény, i když není přihlášený žádný uživatel. Aby mohl počítač zahájit komunikaci, musí mít v doméně aktivní účet. Před přijetím komunikace z počítače ověří místní bezpečnostní autorita na řadiči domény identitu počítače a pak definuje kontext zabezpečení počítače stejně jako pro objekt zabezpečení člověka. Tento kontext zabezpečení definuje identitu a možnosti uživatele nebo služby v určitém počítači nebo uživateli, službě, skupině nebo počítači v síti. Definuje například prostředky, jako je sdílená složka nebo tiskárna, ke kterým má přístup, a akce, jako je čtení, zápis nebo úprava, které můžou provádět uživatel, služba nebo počítač v daném prostředku. Další informace naleznete v tématu Objekty zabezpečení.
Účet je prostředek k identifikaci žadatele – uživatele nebo služby – který požaduje přístup nebo prostředky. Cestovatel, který uchovává autentický pas, má účet s hostitelskou zemí. Uživatelé, skupiny uživatelů, objektů a služeb můžou mít jednotlivé účty nebo sdílet účty. Účty můžou být členy skupin a dají se jim přiřadit konkrétní práva a oprávnění. Účty mohou být omezeny na místní počítač, pracovní skupinu, síť nebo přiřazené členství k doméně.
Předdefinované účty a skupiny zabezpečení, z nichž jsou členy, jsou definovány v každé verzi Windows. Pomocí skupin zabezpečení můžete přiřadit stejná oprávnění zabezpečení mnoha uživatelům, kteří jsou úspěšně ověřeni, což zjednodušuje správu přístupu. Pravidla pro vydávání cestovních pasů můžou vyžadovat, aby byl cestující přiřazen k určitým skupinám, jako je podnikání nebo turista nebo vláda. Tento proces zajišťuje konzistentní oprávnění zabezpečení napříč všemi členy skupiny. Přiřazením oprávnění pomocí skupin zabezpečení znamená, že řízení přístupu k prostředkům zůstává konstantní a snadno se spravuje a audituje. Přidáním a odebráním uživatelů, kteří vyžadují přístup z příslušných skupin zabezpečení podle potřeby, můžete minimalizovat četnost změn seznamů řízení přístupu (ACL).
Samostatné účty spravované služby a virtuální účty byly zavedeny v systémech Windows Server 2008 R2 a Windows 7, aby poskytovaly nezbytné aplikace, jako je Microsoft Exchange Server a Internetová informační služba (IIS), s izolací vlastních doménových účtů a současně eliminovaly potřebu správce ručně spravovat hlavní název služby (SPN) a přihlašovací údaje pro tyto účty. Skupinové účty spravované služby byly zavedeny ve Windows Serveru 2012 a poskytují stejné funkce v rámci domény, ale také rozšiřují tuto funkci na více serverech. Při připojování ke službě hostované na serverové farmě, jako je například vyrovnávání zatížení sítě, vyžadují ověřovací protokoly podporující vzájemné ověřování, aby všechny instance služeb používaly stejný objekt zabezpečení.
Další informace o účtech najdete tady:
Delegovaný ověřování
Aby bylo možné použít analogii pro cestování, mohou země vydat stejný přístup všem členům oficiální vládní delegace, stejně jako pokud jsou delegáti dobře známí. Toto delegování umožňuje jednomu členu jednat na autoritu jiného člena. V systému Windows dochází k delegovanému ověřování, když síťová služba přijme požadavek na ověření od uživatele a předpokládá identitu tohoto uživatele, aby bylo možné zahájit nové připojení k druhé síťové službě. Pokud chcete podporovat delegované ověřování, musíte vytvořit front-endové nebo první vrstvé servery, jako jsou webové servery, které zodpovídají za zpracování požadavků na ověřování klientů a back-endových nebo n-úrovňových serverů, jako jsou velké databáze, které zodpovídají za ukládání informací. Právo na nastavení delegovaného ověřování můžete delegovat uživatelům ve vaší organizaci, abyste snížili administrativní zatížení správců.
Když vytvoříte službu nebo počítač, který je pro delegování důvěryhodný, necháte tuto službu nebo počítač dokončit delegované ověřování, obdržíte lístek pro uživatele, který žádost provádí, a pak pro tohoto uživatele získá přístup k informacím. Tento model omezuje přístup k datům na back-endových serverech jenom na uživatele nebo služby, které prezentují přihlašovací údaje se správnými tokeny řízení přístupu. Kromě toho umožňuje auditování přístupu těchto back-endových prostředků. Vyžadováním přístupu k veškerým datům pomocí přihlašovacích údajů delegovaných na server pro použití jménem klienta zajistíte, že server nebude možné ohrozit a získat přístup k citlivým informacím uloženým na jiných serverech. Delegované ověřování je užitečné pro vícevrstvé aplikace, které jsou navržené tak, aby používaly funkce jednotného přihlašování v několika počítačích.
Ověřování v relacích důvěryhodnosti mezi doménami
Většina organizací, které mají více než jednu doménu, má legitimní potřebu uživatelů přistupovat ke sdíleným prostředkům umístěným v jiné doméně, stejně jako cestující může cestovat do různých oblastí v zemi. Řízení tohoto přístupu vyžaduje, aby se uživatelé v jedné doméně mohli ověřovat a autorizovat k používání prostředků v jiné doméně. Aby bylo možné poskytovat možnosti ověřování a autorizace mezi klienty a servery v různých doménách, musí mezi těmito dvěma doménami existovat vztah důvěryhodnosti. Vztahy důvěryhodnosti jsou základní technologií, pomocí které probíhá zabezpečená komunikace služby Active Directory, a představují nedílnou součást zabezpečení síťové architektury Windows Serveru.
Pokud mezi dvěma doménami existuje vztah důvěryhodnosti, ověřovací mechanismy pro každou doménu důvěřují ověřování pocházející z druhé domény. Vztahy důvěryhodnosti pomáhají zajistit řízený přístup ke sdíleným prostředkům v doméně prostředků – důvěryhodná doména – ověřením, že příchozí žádosti o ověření pocházejí z důvěryhodné autority – důvěryhodné domény. Tímto způsobem fungují důvěry jako mosty, které umožňují předávat pouze ověřené autentizační požadavky mezi doménami.
Způsob, jakým důvěryhodná doména předává požadavky na ověřování, závisí na její konfiguraci. Vztahy důvěryhodnosti můžou být jednosměrné tím, že poskytují přístup z důvěryhodné domény k prostředkům v důvěryhodné doméně nebo obousměrně tím, že z každé domény poskytují přístup k prostředkům v druhé doméně. Vztahy důvěryhodnosti jsou také netransitivní, v takovém případě vztah důvěryhodnosti existuje pouze mezi dvěma partnerskými doménami vztahu důvěryhodnosti nebo přenositelným vztahem důvěryhodnosti, v takovém případě se vztah důvěryhodnosti automaticky rozšíří na všechny ostatní domény, kterým některý z partnerů důvěřuje.
Informace o tom, jak funguje důvěryhodnost, najdete v tématu Jak fungují důvěryhodnost domén a doménových struktur.
Přechod protokolu
Přechod protokolu pomáhá návrhářům aplikací tím, že umožňuje aplikacím podporovat různé mechanismy ověřování na úrovni ověřování uživatelů a přepnutím na protokol Kerberos pro funkce zabezpečení, jako je vzájemné ověřování a omezené delegování, v následujících aplikačních vrstvách.
Další informace o převodu protokolů naleznete v tématu Převod protokolu Kerberos a omezené delegování.
Omezené delegování
Omezené delegování umožňuje správcům určit a vynutit hranice důvěryhodnosti aplikací omezením rozsahu, ve kterém můžou aplikační služby jednat jménem uživatele. Můžete zadat konkrétní služby, ze kterých může počítač, který je důvěryhodný pro delegování, požadovat prostředky. Flexibilita omezení autorizačních práv pro služby pomáhá zlepšit návrh zabezpečení aplikací snížením příležitostí pro ohrožení nedůvěryhodných služeb.
Další informace o omezeném delegování najdete v tématu Přehled omezeného delegování protokolu Kerberos.