LSA-Authentifizierungsmodell
Das LSA-Authentifizierungsmodell ( Local Security Authority ) verfügt über die folgenden Features:
- Die LSA-Authentifizierung unterstützt benutzerdefinierte Authentifizierungspakete. Dadurch können Endbenutzer und unabhängige Softwareanbieter (INDEPENDENT Software Vendors, ISVs) Authentifizierungsroutinen anpassen oder ersetzen, um Anforderungen zu erfüllen, die über die standardbasierten Microsoft-Authentifizierungspakete hinausgehen. Während die von Microsoft bereitgestellten Authentifizierungspakete einen Benutzernamen und Kennwortanmeldedaten erfordern, kann ein benutzerdefiniertes Authentifizierungspaket andere Formen von Anmeldedaten annehmen, z. B. ATM-Karte-Informationen und eine persönliche Identifikationsnummer (PIN). Ein benutzerdefiniertes Authentifizierungspaket kann auch verwendet werden, um ein neues Sicherheitsprotokoll zu implementieren.
- Die LSA unterstützt benutzerdefinierte Sicherheitspakete, die als Sicherheitsunterstützungsanbieter für verteilte Anwendungen und als Authentifizierungspakete für Anwendungen fungieren, die Authentifizierungsdienste erfordern. Auf die Authentifizierungsfunktionalität wird über die gleiche Schnittstelle wie ein eigenständiges Authentifizierungspaket zugegriffen, während auf die Funktionalität des Sicherheitsunterstützungsanbieters über die Security Support Provider Interface (SSPI) zugegriffen wird. Die für benutzerdefinierte Sicherheitspakete verfügbaren LSA-Unterstützungsfunktionen ermöglichen es ihnen, erweiterte Sicherheitsfeatures wie die Tokenerstellung und die verwaltung zusätzlicher Anmeldeinformationen zur Verfügung zu stellen.
- Die LSA unterstützt die verwaltung heterogener Anmeldeinformationen, um eine Schnittstelle mit Nicht-Microsoft-Produkten wie Netzwerken und Datenbanken herzustellen. Da solche Produkte häufig über eigene Sicherheitsanmeldeinformationen verfügen, stellt die LSA Funktionen bereit, die Authentifizierungspakete verwenden können, um Nicht-Microsoft-Anmeldeinformationen Windows-Prozessen zuzuordnen. Benutzerdefinierte Authentifizierungspakete können Dienste zum Abfragen dieser Anmeldeinformationen bei Bedarf bereitstellen, z. B. wenn eine Netzwerkumleitung versucht, eine Verbindung mit einem Remotesystem herzustellen.
- Jede Klasse von Anmeldegeräten, die auf einem System installiert sind, kann über einen eigenen Anmeldeprozess verfügen. Geräteklassen umfassen in der Regel Geräte wie intelligente Karte Reader. Für die LSA-Authentifizierung werden verbundene Netzwerke jedoch auch als Geräte behandelt. Standardmäßig stellt das Windows-Betriebssystem den Anmeldeprozess bereit, der Benutzernamen- und Kennwortanmeldungen über eine Tastatur unterstützt. Entwickler können Unterstützung für andere Geräte hinzufügen, z. B. intelligente Karteleser. Weitere Informationen zu Smartcards finden Sie unter Smartcard-Authentifizierung. Weitere Informationen zur Unterstützung von Anmeldegeräten finden Sie unter Winlogon und GINA.