Architektur der Windows-Authentifizierung
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
In diesem Übersichtsartikel für IT-Fachkräfte wird das grundlegende Architekturschema für die Windows-Authentifizierung erläutert.
Die Authentifizierung ist der Prozess, durch den das System die Anmeldeinformationen eines Benutzers überprüft. Der Name und das Kennwort eines Benutzers werden mit einer Berechtigungsliste verglichen, und wenn das System eine Übereinstimmung erkennt, wird der Zugriff im Umfang gewährt, der in der Berechtigungsliste für diesen Benutzer angegeben ist.
Als Teil einer erweiterbaren Architektur implementieren die Windows Server-Betriebssysteme eine Standardgruppe von Anbietern zur Unterstützung der Authentifizierungssicherheit, zu denen Negotiate, das Kerberos-Protokoll, NTLM, Schannel (secure channel) und Digest gehören. Die von diesen Anbietern verwendeten Protokolle ermöglichen die Authentifizierung von Benutzern, Computern und Diensten, und der Authentifizierungsprozess erlaubt es autorisierten Benutzern und Diensten, auf sichere Weise auf Ressourcen zuzugreifen.
In Windows Server authentifizieren Anwendungen Benutzer, indem sie die SSPI zur Abstraktion von Aufrufen zur Authentifizierung verwenden. Entwickler*innen müssen daher nicht die Komplexität spezifischer Authentifizierungsprotokolle verstehen oder Authentifizierungsprotokolle mit ihren Anwendungen integrieren.
Windows Server-Betriebssysteme umfassen mehrere Sicherheitskomponenten, aus denen sich das Windows-Sicherheitsmodell zusammensetzt. Diese Komponenten stellen sicher, dass Anwendungen ohne Authentifizierung und Autorisierung keinen Zugriff auf Ressourcen erhalten. In den folgenden Abschnitten werden die Elemente der Authentifizierungsarchitektur beschrieben.
Lokale Sicherheitsautorität
Die lokale Sicherheitsautorität (Local Security Authority, LSA) ist ein geschütztes Subsystem, das Benutzer auf dem lokalen Computer authentifiziert und anmeldet. Darüber hinaus verwaltet LSA Informationen zu allen Aspekten der lokalen Sicherheit auf einem Computer (diese Aspekte werden unter dem Begriff „lokale Sicherheitsrichtlinie“ zusammengefasst). Sie bietet auch verschiedene Dienste für die Übersetzung zwischen Namen und Sicherheitsbezeichnern (SIDs).
Das Sicherheitssubsystem überwacht die Sicherheitsrichtlinien und die Konten in einem Computersystem. Bei einem Domänencontroller sind diese Richtlinien und Konten diejenigen, die für die Domäne gelten, in der sich der Domänencontroller befindet. Diese Richtlinien und Konten werden in Active Directory gespeichert. Das LSA-Sicherheitssubsystem stellt Dienste bereit, mit denen der Zugriff auf Objekte und Benutzerberechtigungen überprüft sowie Überwachungsmeldungen erstellt werden können.
Security Support Provider-Schnittstelle
Die SSPI (Security Support Provider Interface, Security Support Provider-Schnittstelle) ist die API, die integrierte Sicherheitsdienste für Authentifizierung, Nachrichtenintegrität, Nachrichtenschutz und Sicherheitsqualität für jedes verteilte Anwendungsprotokoll abruft.
SSPI ist die Implementierung der Generic Security Service API (GSSAPI). SSPI bietet einen Mechanismus, mit dem eine verteilte Anwendung einen von mehreren Sicherheitsanbietern aufrufen kann, um eine authentifizierte Verbindung herzustellen, ohne die Details des Sicherheitsprotokolls zu kennen.