Modelo de autenticación LSA

  • Artículo

El modelo de autenticación de la autoridad de seguridad local (LSA) tiene las siguientes características:

  • La autenticación LSA admite paquetes de autenticación personalizados. Esto permite a los clientes finales y a los proveedores de software independientes (ISV) personalizar o reemplazar las rutinas de autenticación para cumplir los requisitos más allá de los proporcionados por los paquetes de autenticación estándar de Microsoft. Aunque los paquetes de autenticación proporcionados por Microsoft requieren un nombre de usuario y datos de inicio de sesión de contraseña, un paquete de autenticación personalizado puede adoptar otras formas de datos de inicio de sesión, como la información de la tarjeta ATM y un número de identificación personal (PIN). También se puede usar un paquete de autenticación personalizado para implementar un nuevo protocolo de seguridad.
  • El LSA admite paquetes de seguridad personalizados, que funcionan como proveedores de compatibilidad de seguridad para aplicaciones distribuidas y como paquetes de autenticación para aplicaciones que requieren servicios de autenticación. Se accede a la funcionalidad de autenticación mediante la misma interfaz que un paquete de autenticación independiente, mientras que se accede a la funcionalidad del proveedor de soporte técnico de seguridad mediante la interfaz del proveedor de soporte técnico de seguridad (SSPI). El conjunto de funciones de compatibilidad de LSA disponibles para paquetes de seguridad personalizados les permite proporcionar características de seguridad avanzadas, como la creación de tokens y la administración de credenciales complementarias .
  • LSA admite la administración de credenciales heterogéneas para interactuar con productos que no son de Microsoft, como redes y bases de datos. Dado que estos productos suelen tener sus propias credenciales de seguridad, LSA proporciona funciones que los paquetes de autenticación pueden usar para asociar credenciales que no son de Microsoft con procesos de Windows. Los paquetes de autenticación personalizados pueden proporcionar servicios para consultar estas credenciales cuando sea necesario, como cuando un redirector de red intenta establecer una conexión a un sistema remoto.
  • Cada clase de dispositivo de inicio de sesión instalado en un sistema puede tener su propio proceso de inicio de sesión. Las clases de dispositivo suelen incluir dispositivos como lectores de tarjetas inteligentes; sin embargo, para la autenticación de LSA , las redes conectadas también se tratan como dispositivos. De forma predeterminada, el sistema operativo Windows proporciona el proceso de inicio de sesión que admite inicios de sesión de nombre de usuario y contraseña mediante un teclado. Los desarrolladores pueden agregar compatibilidad con otros dispositivos, como lectores de tarjetas inteligentes. Para obtener más información sobre las tarjetas inteligentes, consulte Autenticación de tarjeta inteligente. Para obtener más información sobre la compatibilidad con dispositivos de inicio de sesión, consulte Winlogon y GINA.