Freigeben über


Windows-Authentifizierung: Übersicht

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Navigationsthema für IT-Experten sind Dokumentationsressourcen für Technologien zur Windows-Authentifizierung und -Anmeldung aufgeführt, die Produktbewertungen, "Erste Schritte"-Handbücher, Verfahren, Entwurfs- und Bereitstellungshandbücher, technische Referenzen und Befehlsverzeichnisse enthalten.

Featurebeschreibung

Authentifizierung ist der Vorgang, durch den die Identität eines Objekts, eines Dienstes oder einer Person überprüft wird. Ziel der Authentifizierung eines Objekts ist es, sicherzustellen, dass das Objekt echt und unverfälscht ist. Beim Authentifizieren eines Diensts oder einer Person ist das Ziel, sicherzustellen, dass die vorgelegten Anmeldeinformationen authentisch sind.

Im Netzwerkkontext dient die Authentifizierung dazu, die Identität gegenüber einer Netzwerkanwendung oder -ressource nachzuweisen. Die Identität wird üblicherweise durch einen kryptografischen Vorgang nachgewiesen, für den entweder ein Schlüssel, der nur dem Benutzer bekannt ist – wie beispielsweise bei der Kryptografie mit öffentlichem Schlüssel –, oder ein vorinstallierter Schlüssel verwendet wird. Auf der Serverseite der Authentifizierungskommunikation werden die signierten Daten mit einem bekannten Kryptografieschlüssel verglichen, um den Authentifizierungsversuch zu überprüfen.

Durch die Speicherung der Kryptografieschlüssel an einem zentralen Ort wird der Authentifizierungsvorgang skalierbar und verwaltbar. Die Active Directory-Domänendienste sind die empfohlene und standardmäßig verwendete Technologie für das Speichern von Identitätsinformationen (einschließlich der Kryptografieschlüssel, die die Anmeldeinformationen des Benutzers darstellen). Active Directory ist für Standardimplementierungen von Kerberos und NTLM erforderlich.

Die Authentifizierungstechniken reichen von der einfachen Anmeldung, bei der die Benutzer anhand von Informationen identifiziert werden, die nur der jeweilige Benutzer kennt (beispielsweise ein Kennwort), bis hin zu leistungsfähigeren Sicherheitsmechanismen, bei denen der Benutzer anhand von etwas identifiziert wird, das sich in seinem Besitz befindet oder das ihn auszeichnet (beispielsweise Token, Zertifikate, die auf einem öffentlichen Schlüssel basieren, und biometrische Eigenschaften). In einer Unternehmensumgebung ist es Diensten oder Benutzern eventuell möglich, auf unterschiedliche Anwendungen oder Ressourcen auf verschiedenen Arten von Servern an einem einzigen Standort oder auch standortübergreifend zugreifen. Aus diesem Grund muss die Authentifizierung Umgebungen unterstützen, die auf anderen Plattformen und anderen Windows-Betriebssystemen basieren.

Mit dem Windows-Betriebssystem wird im Rahmen einer erweiterbaren Architektur ein Standardsatz von Authentifizierungsprotokollen implementiert, u. a. Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) und Digest. Darüber hinaus werden einige Protokolle zu Authentifizierungspaketen zusammengefasst, beispielsweise Negotiate und der Credential Security Support Provider. Mit diesen Protokollen und Paketen können Benutzer, Computer und Dienste authentifiziert werden. Der Authentifizierungsprozess wiederum ermöglicht Benutzern und Diensten einen sicheren Zugriff auf Ressourcen.

Weitere Informationen zur Windows-Authentifizierung einschließlich der Aspekte

Weitere Informationen finden Sie unter Technische Übersicht über die Windows-Authentifizierung.

Praktische Anwendung

Mithilfe der Windows-Authentifizierung wird überprüft, ob die Informationen von einer vertrauenswürdigen Quelle stammen, ungeachtet dessen, ob es sich um eine Person oder ein Computerobjekt, beispielsweise einen anderen Computer, handelt. Windows stellt viele verschiedene Methoden bereit, um dies zu erreichen. Im Folgenden werden diese Methoden beschrieben.

An... Funktion BESCHREIBUNG
Authentifizieren innerhalb einer Active Directory-Domäne Kerberos Mit dem Betriebssystem Microsoft Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichem Schlüssel implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert. Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, (KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Datenbank des Active Directory-Verzeichnisdienstes als Sicherheitskonten-Datenbank. Active Directory ist für Standardimplementierungen von Kerberos erforderlich.

Weitere Ressourcen finden Sie unter Kerberos-Authentifizierung: Übersicht.

Sichere Authentifizierung im Web TLS/SSL wie im Schannel-Security Support Provider implementiert Die TLS-Protokollversionen (Transport Layer Security) 1.0, 1.1 und 1.2, SSL-Protokollversionen (Secure Sockets Layer) 2.0 und 3.0, DTLS-Protokollversion (Datagram Transport Layer Security) 1.0 sowie PCT-Protokollversion (Private Communications Transport) 1.0 basieren auf Kryptografie mit öffentlichem Schlüssel. Die Authentifizierungsprotokollsuite des Secure Channel-Anbieters (Schannel) stellt diese Protokolle bereit. Alle Schannel-Protokolle verwenden ein Client- und Servermodell.

Weitere Ressourcen finden Sie unter TLS – SSL (Schannel SSP) Übersicht.

Authentifizieren bei einem Webdienst oder einer Anwendung Integrierte Windows-Authentifizierung

Digestauthentifizierung

Weitere Ressourcen finden Sie unter Integrierte Windows-Authentifizierung und Digestauthentifizierung sowie Erweiterte Digestauthentifizierung.
Authentifizieren bei älteren Anwendungen NTLM NTLM ist ein Protokoll für die Abfrage/Rückmeldung-Authentifizierung. Zusätzlich zur Authentifizierung bietet das NTLM-Protokoll die optionale Unterstützung für die Sitzungssicherheit, insbesondere im Hinblick auf Nachrichtenintegrität und Vertraulichkeit, durch in NTLM enthaltene Signatur-und Versiegelungsfunktionen.

Weitere Ressourcen finden Sie unter NTLM: Übersicht.

Nutzen der mehrstufigen Authentifizierung Unterstützung von Smartcards

Biometrie-Unterstützung

Smartcards sind eine manipulationsresistente und transportable Möglichkeit, um Sicherheitslösungen für Aufgaben wie die Clientauthentifizierung, die Anmeldung bei Domänen, Codesignatur und den Schutz von E-Mails bereitzustellen.

Bei der Biometrie wird ein unveränderliches physisches Merkmal einer Person erfasst, um diese Person eindeutig identifizieren zu können. Fingerabdrücke gehören zu den am häufigsten genutzten biometrischen Merkmalen, weshalb Millionen PCs und Peripheriegeräte mit biometrischen Fingerabdrucklesern ausgestattet sind.

Weitere Ressourcen finden Sie unter Technische Referenz zu Smartcards.

Bereitstellen der lokalen Verwaltung, Speicherung und Wiederverwendung von Anmeldeinformationen Verwaltung von Anmeldeinformationen

Lokale Sicherheitsautorität

Kennwörter

Durch die Verwaltung von Anmeldeinformationen in Windows wird sichergestellt, dass Anmeldeinformationen sicher gespeichert werden. Anmeldeinformationen werden über Apps oder Websites auf dem sicheren Desktop (für lokalen oder Domänenzugriff) gesammelt, sodass beim Zugriff auf eine Ressource stets die richtigen Anmeldeinformationen vorgelegt werden.

Erweitern des Authentifizierungsschutzes auf Legacysysteme Erweiterter Schutz für die Authentifizierung Durch dieses Feature wird der Schutz und die Handhabung von Anmeldeinformationen verbessert, wenn Netzwerkverbindungen mithilfe der integrierten Windows-Authentifizierung (IWA) authentifiziert werden.

Softwareanforderungen

Die Windows-Authentifizierung ist so konzipiert, dass sie mit früheren Versionen des Windows-Betriebssystem kompatibel ist. Verbesserungen in einer neuen Version stehen jedoch nicht notwendigerweise auch in früheren Versionen zur Verfügung. Weitere Informationen finden Sie in der Dokumentation zu den verschiedenen Features.

Informationen zum Server-Manager

Viele Authentifizierungsfeatures können mit der Gruppenrichtlinie konfiguriert werden, die mithilfe des Server-Managers installiert werden kann. Das Windows-Biometrieframework wird mithilfe des Server-Managers installiert. Andere Serverrollen, die von den verwendeten Authentifizierungsmethoden abhängen, beispielsweise der Webserver (IIS) und die Active Directory-Domänendienste, können ebenfalls mithilfe des Server-Managers installiert werden.

Authentifizierungstechnologien Ressourcen
Windows-Authentifizierung Windows-Authentifizierung: Technische Übersicht
Enthält Themen, die Unterschiede zwischen den Versionen, allgemeine Authentifizierungskonzepte, Anmeldungsszenarien, Architekturen für unterstützte Versionen und geeignete Einstellungen behandeln.
Kerberos Übersicht über die Kerberos-Authentifizierung

Übersicht zu Kerberos Constrained Delegation

Technische Referenz für die Kerberos-Authentifizierung(2003)

Kerberos-Forum

TLS/SSL und DTLS (Schannel-Sicherheitssupportanbieter) Übersicht über TLS/SSL (Schannel SSP)

Schannel Security Support Provider: Technische Referenz

Digestauthentifizierung Technische Referenz für die Digestauthentifizierung(2003)
NTLM NTLM Overview
Enthält Links zu aktuellen und früheren Ressourcen
PKU2U Einführung zu PKU2U in Windows
Smartcard Technische Referenz zu Smartcards

Anmeldeinformationen Schutz und Verwaltung von Anmeldeinformationen
Enthält Links zu aktuellen und früheren Ressourcen

Übersicht Kennwörter
Enthält Links zu aktuellen und früheren Ressourcen