Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto navigační téma pro odborníky v oblasti IT obsahuje materiály k dokumentaci pro technologie ověřování a přihlašování systému Windows, které zahrnují vyhodnocení produktu, úvodní příručky, postupy, průvodce návrhem a nasazením, technické reference a odkazy na příkazy.
Popis funkce
Ověřování je proces ověření identity objektu, služby nebo osoby. Při ověřování objektu je cílem ověřit, že je objekt pravý. Při ověřování služby nebo osoby je cílem ověřit, že zadané přihlašovací údaje jsou autentické.
V kontextu sítě je ověření proces prokazování identity vůči síťové aplikaci nebo zdroji. Identita se obvykle prokazuje kryptografickou operací, která používá buď klíč, který zná jenom uživatel – stejně jako u kryptografie veřejného klíče – nebo sdílený klíč. Serverová strana výměny ověřování porovnává podepsaná data se známým kryptografickým klíčem k ověření pokusu o ověření.
Uložení kryptografických klíčů v zabezpečeném centrálním umístění umožňuje škálovatelný a udržovatelný proces ověřování. Služba Active Directory Domain Services je doporučená a výchozí technologie pro ukládání informací o identitě (včetně kryptografických klíčů, které jsou přihlašovacími údaji uživatele). Služba Active Directory se vyžaduje pro výchozí implementace protokolů NTLM a Kerberos.
Techniky ověřování se liší od jednoduchého přihlášení, které identifikuje uživatele na základě něčeho, co zná jenom uživatel – jako heslo, až po výkonnější mechanismy zabezpečení, které používají něco, co uživatel má – například tokeny, certifikáty veřejného klíče a biometrické údaje. V obchodním prostředí můžou služby nebo uživatelé přistupovat k více aplikacím nebo prostředkům na mnoha typech serverů v jednom umístění nebo v několika umístěních. Z těchto důvodů musí ověřování podporovat prostředí pro jiné platformy a pro jiné operační systémy Windows.
Operační systém Windows implementuje výchozí sadu ověřovacích protokolů, včetně protokolů Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) a Digest v rámci rozšiřitelné architektury. Kromě toho se některé protokoly kombinují do ověřovacích balíčků, jako jsou Negotiate a Poskytovatel podpory zabezpečení přihlašovacích údajů. Tyto protokoly a balíčky umožňují ověřování uživatelů, počítačů a služeb; proces ověřování zase umožňuje autorizovaným uživatelům a službám přístup k prostředkům zabezpečeným způsobem.
Další informace o ověřování systému Windows včetně
Podívejte se na technický přehled ověřování systému Windows.
Praktické aplikace
Ověřování systému Windows slouží k ověření, že informace pocházejí z důvěryhodného zdroje, ať už od osoby nebo objektu počítače, například z jiného počítače. Systém Windows nabízí mnoho různých metod pro dosažení tohoto cíle, jak je popsáno níže.
| To... | Feature | Description |
|---|---|---|
| Ověřování v rámci domény služby Active Directory | Kerberos | Operační systémy Microsoft Windows Server implementují ověřovací protokol Kerberos verze 5 a rozšíření pro ověřování pomocí veřejného klíče. Ověřovací klient Kerberos je implementovaný jako zprostředkovatel podpory zabezpečení (SSP) a je přístupný prostřednictvím rozhraní SSPI (Security Support Provider Interface). Počáteční ověřování uživatelů je integrované s architekturou jednotného přihlašování Winlogon. Centrum distribuce klíčů Kerberos (KDC) je integrované s dalšími službami zabezpečení Windows Serveru běžícími na řadiči domény. KDC používá databázi adresářové služby Active Directory domény jako databázi účtu zabezpečení. Služba Active Directory se vyžaduje pro výchozí implementace protokolu Kerberos. Další zdroje informací najdete v tématu Přehled ověřování protokolem Kerberos. |
| Zabezpečené ověřování na webu | TLS/SSL, jak je implementované ve zprostředkovateli podpory zabezpečení Schannel | Protokol TLS (Transport Layer Security) verze 1.0, 1.1 a 1.2, protokol SSL (Secure Sockets Layer), verze 2.0 a 3.0, protokol DATAgram Transport Layer Security verze 1.0 a protokol PCT (Private Communications Transport), verze 1.0, jsou založené na kryptografii s veřejným klíčem. Sada ověřovacích protokolů zprostředkovatele Schannel (Secure Channel) poskytuje tyto protokoly. Všechny protokoly Schannel používají model klienta a serveru. Další prostředky najdete v tématu Tls – přehled SSL (Schannel SSP). |
| Ověřování ve webové službě nebo aplikaci | Integrované ověřování Windows | Další zdroje informací najdete v tématu Integrované ověřování systému Windows. |
| Ověřování ve starších verzích aplikací | protokol NTLM | NTLM je ověřovací protokol ve stylu výzva-odpověď. Kromě ověřování protokol NTLM volitelně poskytuje zabezpečení relací – konkrétně integritu a důvěrnost zpráv prostřednictvím podepisování a zapečetění funkcí v NTLM. Další prostředky naleznete v tématu NtLM Přehled. |
| Využití vícefaktorového ověřování | Podpora čipových karet Biometrická podpora |
Čipové karty jsou odolným a přenosným způsobem, jak poskytovat řešení zabezpečení pro úlohy, jako je ověřování klientů, přihlašování k doménám, podepisování kódu a zabezpečení e-mailů. Biometrické údaje se spoléhají na měření neměnné fyzické charakteristiky osoby k jednoznačné identifikaci této osoby. Otisky prstů jsou jednou z nejčastěji používaných biometrických charakteristik s miliony biometrických zařízení otisku prstu, která jsou vložená do osobních počítačů a periferních zařízení. Další zdroje informací najdete v technických referenčních informacích k čipové kartě. |
| Poskytnutí místní správy, úložiště a opětovného použití přihlašovacích údajů | Správa přihlašovacích údajů Místní bezpečnostní autorita Passwords |
Správa přihlašovacích údajů ve Windows zajišťuje bezpečné ukládání přihlašovacích údajů. Přihlašovací údaje se shromažďují na zabezpečené ploše (pro přístup k místnímu prostředí nebo doméně) prostřednictvím aplikací nebo prostřednictvím webů, aby se při každém přístupu k prostředku zobrazily správné přihlašovací údaje. |
| Rozšíření moderní ochrany ověřování na starší systémy | Rozšířená ochrana pro ověřování | Tato funkce vylepšuje ochranu a zpracování přihlašovacích údajů při ověřování síťových připojení pomocí integrovaného ověřování systému Windows (IWA). |
Softwarové požadavky
Ověřování systému Windows je navržené tak, aby bylo kompatibilní s předchozími verzemi operačního systému Windows. Vylepšení jednotlivých verzí ale nemusí nutně platit pro předchozí verze. Další informace najdete v dokumentaci ke konkrétním funkcím.
Informace o Správci serveru
Mnoho funkcí ověřování je možné nakonfigurovat pomocí zásad skupiny, které je možné nainstalovat pomocí Správce serveru. Funkce Windows Biometric Framework se instaluje pomocí Správce serveru. Další role serveru, které jsou závislé na metodách ověřování, jako je například webový server (IIS) a služba Active Directory Domain Services, je možné nainstalovat také pomocí Správce serveru.
Související prostředky
| Technologie ověřování | Resources |
|---|---|
| Windows authentication |
Technický přehled ověřování Windows Obsahuje témata, která řeší rozdíly mezi verzemi, obecnými koncepty ověřování, přihlašovacími scénáři, architekturami podporovaných verzí a příslušnými nastaveními. |
| Kerberos | Přehled ověřování protokolem Kerberos |
| TLS/SSL a DTLS (zprostředkovatel podpory zabezpečení Schannel) |
TLS – přehled ssl (Schannel SSP) Technické informace o poskytovateli podpory zabezpečení Schannel |
| protokol NTLM |
Přehled NTLM Obsahuje odkazy na aktuální a předchozí zdroje. |
| PKU2U | Představujeme PKU2U ve Windows |
| Chytrá karta | Technické informace o čipových kartách |
| Credentials |
ochrana a správa přihlašovacích údajů Obsahuje odkazy na aktuální a předchozí zdroje.
Přehled hesel |