Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einige der Terminologie, die beim Diskutieren von Sicherheit verwendet wird, sind möglicherweise nicht vertraut. Dieses Thema enthält kurze Erläuterungen einiger Sicherheitsbedingungen, ist jedoch nicht für die Bereitstellung umfassender Dokumentationen für jedes Element vorgesehen.
Weitere Informationen zu begriffen, die in der Dokumentation zu Windows Communication Foundation (WCF) verwendet werden, finden Sie unter Grundlegende Konzepte von Windows Communication Foundation.
Zugriffssteuerungsliste (Access Control List, ACL)
Eine Liste der Sicherheitsschutzmechanismen, die für ein Objekt gelten. (Ein Objekt kann eine Datei, ein Prozess, ein Ereignis oder ein anderes Objekt mit einem Sicherheitsdeskriptor sein.) Ein Eintrag in einer ACL ist ein Zugriffssteuerungseintrag (Access Control Entry, ACE). Es gibt zwei Arten von ACLs: diskretionär und system.
Authentifizierung
Der Prozess zum Überprüfen, ob ein Benutzer, ein Computer, ein Dienst oder ein Prozess wer oder was er sein soll.
Autorisierung
Der Akt der Kontrolle des Zugriffs und der Rechte auf eine Ressource. Beispielsweise können Mitglieder einer Gruppe eine Datei lesen, aber nur Mitglieder einer anderen Gruppe erlauben, die Datei zu ändern.
Zertifizierungsstelle (CA)-Zertifikat
Identifiziert die Zertifizierungsstelle, die Server- und Clientauthentifizierungszertifikate an die Server und Clients ausgibt, die diese Zertifikate anfordern. Da er einen öffentlichen Schlüssel enthält, der in digitalen Signaturen verwendet wird, wird er auch als Signaturzertifikat bezeichnet. Wenn es sich bei der Zertifizierungsstelle um eine Stammzertifizierungsstelle handelt, kann das Zertifizierungsstellenzertifikat als Stammzertifikat bezeichnet werden. Auch als Websitezertifikat bezeichnet.
Zertifizierungsstellenhierarchie
Eine Zertifizierungsstellenhierarchie enthält mehrere Zertifizierungsstellen. Sie ist so organisiert, dass jede Zertifizierungsstelle von einer anderen Zertifizierungsstelle auf einer höheren Ebene der Hierarchie zertifiziert wird, bis der Obere der Hierarchie, auch als Stammzertifizierungsstelle bezeichnet, erreicht wird.
Zertifikat
Eine digital signierte Erklärung, die Informationen über eine Entität und den öffentlichen Schlüssel der Entität enthält, sodass diese beiden Informationsteile verbunden werden. Ein Zertifikat wird von einer vertrauenswürdigen Organisation oder Entität ausgestellt, die als Zertifizierungsstelle bekannt ist, nachdem die Zertifizierungsstelle überprüft hat, dass die Entität tatsächlich die angegebene ist.
Zertifikate können unterschiedliche Datentypen enthalten. Beispielsweise enthält ein X.509-Zertifikat folgende Zertifikatdaten: Format, Seriennummer, Algorithmus der Signatur, Name der ausstellenden Zertifizierungsstelle, Name und öffentlicher Schlüssel der Entität, die das Zertifikat anfordert, sowie Signatur der Zertifizierungsstelle.
Zertifikatspeicher
In der Regel wird ein permanenter Speicher gespeichert, in dem Zertifikate, Zertifikatsperrlisten (CRLs) und Zertifikatvertrauenslisten (CERTIFICATE Trust Lists, CTLs) gespeichert werden. Es ist jedoch möglich, einen Zertifikatspeicher nur im Speicher zu erstellen und zu öffnen, wenn Sie mit Zertifikaten arbeiten, die nicht dauerhaft gespeichert werden müssen.
Ansprüche
Informationen, die von einer Entität an eine andere übergeben werden, die zur Bestätigung der Identität des Absenders verwendet wird. Beispiel: ein Benutzernamen- und Kennworttoken oder ein X.509-Zertifikat.
Clientzertifikat
Bezieht sich auf ein Zertifikat, das für die Clientauthentifizierung verwendet wird, z. B. die Authentifizierung eines Webbrowsers auf einem Webserver. Wenn ein Webbrowserclient versucht, auf einen gesicherten Webserver zuzugreifen, sendet der Client sein Zertifikat an den Server, damit er die Identität des Clients überprüfen kann.
Zugangsdaten
Authentifizierte Anmeldedaten, die von einem Sicherheitsprinzipal verwendet werden, um die eigene Identität festzustellen, beispielsweise ein Kennwort oder ein Kerberos-Protokollticket. Anmeldeinformationen werden verwendet, um den Zugriff auf Ressourcen zu steuern.
aufbereitete Daten
Ein dateninhaltstyp, der durch den kryptografischen Standard für öffentliche Schlüssel (PKCS) #7 definiert ist, der aus einem beliebigen Datentyp und einem Nachrichtenhash (Digest) des Inhalts besteht.
digitale Signatur
Daten, die die Identität eines Absenders an die gesendeten Informationen binden. Eine digitale Signatur kann mit jeder Nachricht, Datei oder anderen digital codierten Informationen gebündelt oder separat übertragen werden. Digitale Signaturen werden in öffentlichen Schlüsselumgebungen verwendet und stellen Authentifizierungs- und Integritätsdienste bereit.
Kodierung
Der Vorgang zum Umwandeln von Daten in einen Datenstrom von Bits. Die Codierung ist Teil des Serialisierungsprozesses, mit dem Daten in einen Datenstrom von 1 und Nullen konvertiert werden.
Austauschschlüsselpaar
Ein öffentliches/privates Schlüsselpaar, das zum Verschlüsseln von Sitzungsschlüsseln verwendet wird, sodass sie sicher gespeichert und mit anderen Benutzern ausgetauscht werden können.
Rautenzeichen
Ein numerischer Wert fester Größe, der durch Anwenden einer mathematischen Funktion (siehe Hashingalgorithmus) auf eine beliebige Datenmenge abgerufen wird. Die Daten enthalten normalerweise zufällige Werte, die auch als Nonce bezeichnet werden. Dienst und Client steuern eine Nonce zum Austausch bei, um die Komplexität des Ergebnisses zu erhöhen. Das Ergebnis wird auch als Nachrichtendigest bezeichnet. Das Senden eines Hashwerts ist sicherer als das Senden vertraulicher Daten, z. B. eines Kennworts, auch wenn das Kennwort verschlüsselt ist. Der Hash-Absender und -Empfänger müssen sich mit dem Hashingalgorithmus und den Nonces einverstanden erklären, damit ein Hash überprüft werden kann, sobald er empfangen wurde.
Hashalgorithmus
Ein Algorithmus, der verwendet wird, um einen Hashwert einiger Daten zu erzeugen, z. B. eine Nachricht oder einen Sitzungsschlüssel. Typische Hashingalgorithmen sind MD2, MD4, MD5 und SHA-1.
Kerberos-Protokoll
Ein Protokoll, das definiert, wie Clients mit einem Netzwerkauthentifizierungsdienst interagieren. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC), und sie präsentieren diese Tickets für Server, wenn Verbindungen hergestellt werden. Kerberos-Tickets stellen die Netzwerkanmeldeinformationen des Clients dar.
Lokale Sicherheitsbehörde (LSA)
Ein geschütztes Subsystem, das Benutzer auf das lokale System authentifiziert und deren Aktivität protokolliert. LSA verwaltet auch Informationen zu allen Aspekten der lokalen Sicherheit auf einem System, die gemeinsam als lokale Sicherheitsrichtlinie des Systems bezeichnet werden.
Verhandeln
Ein SSP (Security Support Provider), der als Anwendungsschicht zwischen der SSPI (Security Support Provider Interface) und den anderen SSPs fungiert. Wenn eine SSPI zur Anmeldung bei einem Netzwerk von einer Anwendung aufgerufen wird, kann ein SSP zur Verarbeitung der Anforderung angegeben werden. Wenn die Anwendung angibt Negotiate, Negotiate analysiert die Anforderung und wählt den besten SSP aus, um die Anforderung basierend auf der vom Kunden konfigurierten Sicherheitsrichtlinie zu verarbeiten.
Nonce
Ein zufällig generierter Wert, der verwendet wird, um "Replay"-Angriffe zu besiegen.
Nichtabstreitbarkeit
Die Fähigkeit, Benutzer zu identifizieren, die bestimmte Aktionen ausgeführt haben, und somit unwiderlegbar gegen Versuche eines Benutzers, Verantwortung abzulehnen, vorzugehen. Beispielsweise kann ein System die ID eines Benutzers protokollieren, wenn eine Datei gelöscht wird.
Public Key Cryptography Standard (PKCS)
Spezifikationen von RSA Data Security, Inc. in Zusammenarbeit mit Entwicklern sicherer Systeme weltweit, um die Bereitstellung von Public Key-Kryptografie zu beschleunigen.
PKCS Nr. 7
Der Standard für die Kryptografienachrichtensyntax. Eine allgemeine Syntax für Daten, auf die Kryptografie angewendet werden kann, z. B. digitale Signaturen und Verschlüsselung. Sie stellt außerdem eine Syntax zum Verteilen von Zertifikaten oder Zertifikatsperrlisten und anderen Nachrichtenattributen wie Zeitstempeln für die Nachricht bereit.
Klartext
Eine Nachricht, die nicht verschlüsselt ist. Nur-Text-Nachrichten werden manchmal als Klartextnachrichten bezeichnet.
Privileg
Das Recht eines Benutzers, verschiedene systembezogene Vorgänge auszuführen, z. B. das Herunterfahren des Systems, das Laden von Gerätetreibern oder das Ändern der Systemzeit. Das Zugriffstoken eines Benutzers enthält eine Liste der Berechtigungen, die der Benutzer oder die Gruppen des Benutzers besitzen.
privater Schlüssel
Die geheime Hälfte eines Schlüsselpaars, das in einem Public Key-Algorithmus verwendet wird. Private Schlüssel werden in der Regel verwendet, um einen symmetrischen Sitzungsschlüssel zu verschlüsseln, eine Nachricht digital zu signieren oder eine Nachricht zu entschlüsseln, die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurde. Siehe auch "Öffentlicher Schlüssel".
Prozess
Der Sicherheitskontext, unter dem eine Anwendung ausgeführt wird. In der Regel ist der Sicherheitskontext einem Benutzer zugeordnet, sodass alle Anwendungen, die unter einem bestimmten Prozess ausgeführt werden, die Berechtigungen und Berechtigungen des eigenen Benutzers übernehmen.
Öffentliches/privates Schlüsselpaar
Eine Reihe von kryptografischen Schlüsseln, die für die Kryptografie für öffentliche Schlüssel verwendet werden. Für jeden Benutzer verwaltet ein Kryptografiedienstanbieter (CSP) in der Regel zwei öffentliche/private Schlüsselpaare: ein Austauschschlüsselpaar und ein digitales Signaturschlüsselpaar. Beide Schlüsselpaare werden von Sitzung zu Sitzung beibehalten.
öffentlicher Schlüssel
Ein kryptografischer Schlüssel, der in der Regel beim Entschlüsseln eines Sitzungsschlüssels oder einer digitalen Signatur verwendet wird. Der öffentliche Schlüssel kann auch verwendet werden, um eine Nachricht zu verschlüsseln, wobei sichergestellt wird, dass nur die Person mit dem entsprechenden privaten Schlüssel die Nachricht entschlüsseln kann.
Verschlüsselung öffentlicher Schlüssel
Verschlüsselung, die ein Schlüsselpaar verwendet, einen Schlüssel zum Verschlüsseln von Daten und den anderen Schlüssel zum Entschlüsseln von Daten. Im Gegensatz dazu verwenden symmetrische Verschlüsselungsalgorithmen, die denselben Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwenden. In der Praxis wird die Kryptografie für öffentliche Schlüssel in der Regel verwendet, um den Sitzungsschlüssel zu schützen, den ein symmetrischer Verschlüsselungsalgorithmus verwendet. In diesem Fall wird der öffentliche Schlüssel verwendet, um den Sitzungsschlüssel zu verschlüsseln, der wiederum zum Verschlüsseln einiger Daten verwendet wurde, und der private Schlüssel wird für die Entschlüsselung verwendet. Neben dem Schutz von Sitzungsschlüsseln kann die Kryptografie für öffentliche Schlüssel auch verwendet werden, um eine Nachricht (mithilfe des privaten Schlüssels) digital zu signieren und die Signatur zu überprüfen (mithilfe des öffentlichen Schlüssels).
Public Key-Infrastruktur (PKI)
Eine Infrastruktur, die eine integrierte Gruppe von Diensten und Verwaltungstools zum Erstellen, Bereitstellen und Verwalten von Anwendungen mit öffentlichem Schlüssel bereitstellt.
Zurückweisung
Die Fähigkeit eines Benutzers, eine Aktion falsch zu verweigern, während andere Parteien nichts anderes nachweisen können. Beispielsweise ein Benutzer, der eine Datei löscht und wer dies erfolgreich verweigern kann.
Stammzertifizierungsstelle
Die Zertifizierungsstelle an der Spitze der Zertifizierungsstellenhierarchie. Die Stammzertifizierungsstelle zertifiziert CAs auf der nächsten Ebene der Hierarchie.
Sicherer Hashalgorithmus (SHA)
Ein Hashingalgorithmus, der einen Nachrichtendigest generiert. Der SHA wird u. a. zusammen mit dem Digital Signature Algorithm (DSA) im Digital Signature Standard (DSS) verwendet. Es gibt vier Arten von SHAs: SHA-1, SHA-256, SHA-384 und SHA-512. SHA-1 generiert einen 160-Bit-Nachrichtenhash. SHA-256, SHA-384 und SHA-512 generieren 256-Bit-, 384-Bit- bzw. 512-Bit-Nachrichtenhashes. Der SHA wurde vom National Institute of Standards and Technology (NIST) und von der National Security Agency (NSA) entwickelt.
Secure Sockets Layer (SSL)
Ein Protokoll für die sichere Netzwerkkommunikation mit einer Kombination aus Public- und Secret Key-Technologie.
Sicherheitskontext
Die Sicherheitsattribute oder Regeln, die gerade gültig sind, z. B. der Benutzer, der derzeit am Computer angemeldet ist, oder die PIN, die vom Smartcard-Benutzer eingegeben wurde. Im Hinblick auf die SSPI stellt ein Sicherheitskontext eine nicht transparente Datenstruktur mit Sicherheitsdaten für eine Verbindung dar, beispielsweise einen Sitzungsschlüssel oder eine Angabe der Sitzungsdauer.
Sicherheitsprinzipal
Eine Entität, die vom Sicherheitssystem erkannt wird. Prinzipale können menschliche Benutzer sowie autonome Prozesse einschließen.
Sicherheitssupportanbieter (SSP)
Eine Dynamic Link Library (DLL), die den SSPI implementiert, indem mindestens ein Sicherheitspaket für Anwendungen zur Verfügung gestellt wird. Jedes Sicherheitspaket stellt Zuordnungen zwischen Aufrufen der SSPI-Funktion einer Anwendung und den Funktionen eines tatsächlichen Sicherheitsmodells bereit. Sicherheitspakete unterstützen Sicherheitsprotokolle wie kerberos-Authentifizierung und Microsoft LAN Manager (LanMan).
SSPI (Security Support Provider Interface)
Eine gemeinsame Schnittstelle zwischen Anwendungen auf Transportebene, z. B. Remoteprozeduraufruf (REMOTE Procedure Call, RPC) von Microsoft und Sicherheitsanbietern wie der verteilten Windows-Sicherheit. SSPI ermöglicht einer Transportanwendung, einen Sicherheitsanbieter zum Herstellen einer authentifizierten Verbindung auszuwählen. Diese Aufrufe erfordern keine Detailkenntnisse bezüglich des Sicherheitsprotokolls.
Sicherheitstokendienst
Dienste, die für das Ausgeben und Verwalten von benutzerdefinierten Sicherheitstoken (ausgestellten Token) in einem Multiservice-Szenario entwickelt wurden. Die benutzerdefinierten Token sind in der Regel SAML-Token (Security Assertions Markup Language), die benutzerdefinierte Anmeldeinformationen enthalten.
Serverzertifikat
Bezieht sich auf ein Zertifikat, das für die Serverauthentifizierung verwendet wird, z. B. die Authentifizierung eines Webservers für einen Webbrowser. Wenn ein Webbrowserclient versucht, auf einen gesicherten Webserver zuzugreifen, sendet der Server sein Zertifikat an den Browser, damit er die Identität des Servers überprüfen kann.
Sitzung
Ein durch eine einzelne Schlüsselinformation geschützter Nachrichtenaustausch. SSL-Sitzungen verwenden beispielsweise einen einzelnen Schlüssel, um mehrere Nachrichten hin- und herzusenden.
Sitzungsschlüssel
Ein zufällig generierter Schlüssel, der einmal verwendet und dann verworfen wird. Sitzungsschlüssel sind symmetrisch (für Verschlüsselung und Entschlüsselung verwendet). Sie werden mit der Nachricht gesendet, geschützt durch Verschlüsselung mit einem öffentlichen Schlüssel vom vorgesehenen Empfänger. Ein Sitzungsschlüssel besteht aus einer Zufallszahl von ca. 40 bis 2.000 Bit.
Ergänzende Anmeldeinformationen
Anmeldeinformationen für die Authentifizierung eines Sicherheitsprinzipals gegenüber fremden Sicherheitsdomänen.
symmetrische Verschlüsselung
Ein Schlüssel wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Die symmetrische Verschlüsselung wird bevorzugt, wenn große Datenmengen verschlüsselt werden sollen. Einige der gängigeren symmetrischen Verschlüsselungsalgorithmen sind RC2, RC4 und Data Encryption Standard (DES).
Siehe auch "Verschlüsselung öffentlicher Schlüssel".
symmetrischer Schlüssel
Ein einzelner Schlüssel, der sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Sitzungsschlüssel sind in der Regel symmetrisch.
Token (Zugriffstoken)
Ein Zugriffstoken enthält die Sicherheitsinformationen für eine Anmeldesitzung. Das System erstellt ein Zugriffstoken, wenn sich ein Benutzer anmeldet, und jeder Prozess, der im Auftrag des Benutzers ausgeführt wird, verfügt über eine Kopie des Tokens. Das Token identifiziert den Benutzer, die Gruppen des Benutzers und die Rechte des Benutzers. Das System verwendet das Token, um den Zugriff auf sicherungsfähige Objekte zu steuern und die Fähigkeit des Benutzers zu steuern, verschiedene systembezogene Vorgänge auf dem lokalen Computer auszuführen. Es gibt zwei Arten von Zugriffstoken: primäre Token und Identitätswechseltoken.
Transportschicht
Die Netzwerkebene, die sowohl für die Qualität des Dienstes als auch für die genaue Übermittlung von Informationen verantwortlich ist. Zu den aufgaben, die in dieser Ebene ausgeführt werden, sind Fehlererkennung und -korrektur.
Vertrauensliste (Zertifikatvertrauensliste oder CTL)
Eine vordefinierte Liste von Elementen, die von einer vertrauenswürdigen Entität signiert wurden. Eine CTL kann alles sein, z. B. eine Liste von Hashes von Zertifikaten oder eine Liste mit Dateinamen. Alle Elemente in der Liste werden von der Signaturentität authentifiziert (genehmigt).
Vertrauensanbieter
Die Software, die entscheidet, ob eine bestimmte Datei vertrauenswürdig ist. Diese Entscheidung basiert auf dem Zertifikat, das der Datei zugeordnet ist.
Benutzerprinzipalname (UPN)
Ein Benutzerkontoname (manchmal auch als Benutzeranmeldungsname bezeichnet) und ein Domänenname, der die Domäne identifiziert, in der sich das Benutzerkonto befindet. Dies ist die Standardverwendung für die Anmeldung bei einer Windows-Domäne. Das Format lautet: someone@example.com (wie bei einer E-Mail-Adresse).
Hinweis
Zusätzlich zum standardmäßigen UPN-Format akzeptiert WCF UPNs im Format der unteren Ebene, z. B. cohowinery.com\someone.
X.509
Ein international anerkannter Standard für Zertifikate, die ihre erforderlichen Teile definieren.