A Windows-hitelesítés áttekintése

 

Érvényes: Windows 8.1, Windows Server 2012 R2, Windows Server 2012

Ez az informatikai szakembereknek szóló navigációs témakör felsorolja a Windows-hitelesítési és -bejelentkezési dokumentációs forrásanyagokat, amelyek között megtalálhatók termékértékelések, az első lépéseket ismertető útmutatók, eljárások, tervezési és üzembe helyezési útmutatók, műszaki referenciák és parancsreferenciák.

A szolgáltatás leírása

A hitelesítés egy objektum, egy szolgáltatás vagy egy személy identitásának ellenőrzésére szolgáló folyamat. Egy objektum hitelesítésekor a cél az objektum eredetiségének ellenőrzése. Egy szolgáltatás vagy személy hitelesítésekor a cél a bemutatott hitelesítő adatok hitelességének ellenőrzése.

Hálózati környezetben a hitelesítés az identitás bizonyítása egy hálózati alkalmazás vagy erőforrás számára. Az identitás bizonyítása általában egy titkosított művelet által történik, amely egy, csak a felhasználó által ismert kulcsot – a nyilvános kulccsal történő titkosítás esetében – vagy egy megosztott kulcsot használ. A hitelesítési csere a kiszolgálói oldalon összehasonlítja az aláírt adatokat egy ismert titkosítási kulccsal, hogy érvényesítse a hitelesítési kísérletet.

A titkosítási kulcsok egy biztonságos központi helyen való tárolása méretezhetővé és fenntarthatóvá teszi a hitelesítési folyamatot. Az Active Directory tartományi szolgáltatások az ajánlott és alapértelmezett technológia az azonosító adatok tárolására (beleértve a felhasználó hitelesítő adatait jelentő titkosítási kulcsokat is). Az Active Directory szükséges az alapértelmezett NTLM és Kerberos hitelesítés megvalósításához.

A hitelesítési technológiák az egyszerű bejelentkezéstől (amely valami olyan alapján azonosítja a felhasználókat, amit csak a felhasználó ismer, például egy jelszó alapján) a hatékonyabb biztonsági mechanizmusokig terjed, amelyek a felhasználó által birtokolt dolgot használnak (például jogkivonatokat, nyilvános kulcsú tanúsítványokat vagy biometrikus adatokat). Üzleti környezetben a szolgáltatások vagy felhasználók több alkalmazáshoz vagy erőforráshoz is hozzáférhetnek számos típusú kiszolgálón, egyetlen helyen vagy több helyszínen. Ezen okok miatt a hitelesítésnek támogatnia kell a más platformok és az egyéb Windows operációs rendszerek környezeteit.

A Windows operációs rendszer egy bővíthető architektúra részeként megvalósítja a hitelesítési protokollok alapértelmezett készletét, többek között a Kerberos, az NTLM, a Transport Layer Security/Secure Sockets Layer (TLS/SSL), valamint a kivonatoló hitelesítési protokollt. Emellett néhány protokoll hitelesítési csomagokba van egyesítve, például az egyeztetési és a hitelesítőadat-alapú biztonsági szolgáltató csomagokba. Ezek a protokollok és csomagok lehetővé teszik a felhasználók, számítógépek és szolgáltatások hitelesítését, a hitelesítési folyamat pedig lehetővé teszi a hitelesített felhasználók és szolgáltatások számára az erőforrások biztonságos elérését.

További tudnivalókért a Windows-hitelesítésről, beleértve a következőket is:

• Windows-hitelesítés a Windows operációs rendszerek közötti eltérések

• Windows-hitelesítés fogalmak

• Windows bejelentkezési forgatókönyvek

• Windows-hitelesítés architektúra

• SSPI-architektúra

• Hitelesítő adatok folyamatok Windows-hitelesítés

• A Windows-hitelesítés használt házirend-beállításai

lásd: Windows-hitelesítés technikai áttekintése.

Gyakorlati alkalmazásmódok

A Windows-hitelesítés egy adott forrásból – egy személytől vagy számítógépobjektumtól, például egy másik számítógéptől – származó információk megbízhatóságának ellenőrzésére szolgál. A Windows számos különböző módszert biztosít e cél eléréséhez, az alábbiakban ismertetettek szerint.

Tevékenység	Funkció	Leírás
Hitelesítés Active Directory-tartományban	Kerberos	A Microsoft Windows Server operációs rendszerek a Kerberos 5-ös verziójú hitelesítési protokollt, valamint a nyilvános kulcsos hitelesítés kiterjesztéseit valósítják meg. A Kerberos hitelesítési ügyfél megvalósítása biztonsági támogatásszolgáltatóként (SSP) történik, és a biztonsági támogatásszolgáltató felületén (SSPI) keresztül érhető el. A felhasználók kezdeti hitelesítése integrálva van a Winlogon egyszeri bejelentkezési architektúrába. A Kerberos kulcsszolgáltató (KDC) integrálva van a tartományvezérlőn futó egyéb Windows Server-beli biztonsági szolgáltatásokba. A KDC a tartomány Active Directory címtárszolgáltatási adatbázisát használja a biztonsági fiók adatbázisaként. Az alapértelmezett Kerberos hitelesítés megvalósításához Active Directory szükséges. További forrásanyagok: Kerberos-hitelesítés áttekintése.
Biztonságos webes hitelesítés	TLS/SSL és DTLS a Schannel biztonsági támogatásszolgáltatóban megvalósított módon	A Transport Layer Security (TLS) protokoll 1.0-s, 1.1-es és 1.2-es verziói, a Secure Sockets Layer (SSL) protokoll 2.0-s és 3.0-s verziói, a Datagram Transport Layer Security protokoll 1.0-s verziója és a Private Communications Transport (PCT) protokoll 1.0-s verziója a nyilvános kulcsú hitelesítésen alapul. A Secure Channel (Schannel) szolgáltatói hitelesítési protokollcsomagok biztosítják ezeket a protokollokat. A Schannel-protokollok ügyfél- és kiszolgálómodellt használnak. További forrásanyagok: TLS/SSL (Schannel SSP) - Áttekintés.
Hitelesítés webszolgáltatáshoz vagy alkalmazáshoz	Beépített Windows-hitelesítés Kivonatoló hitelesítés	További forrásanyagok: Integrált Windows-hitelesítés, Kivonatoló hitelesítés és Speciális kivonatoló hitelesítés.
Hitelesítés régebbi alkalmazásokhoz	NTLM	Az NTLM egy kérdés-válasz stílusú hitelesítési protokoll. A hitelesítés mellett az NTLM protokoll opcionálisan biztosítja a munkamenet biztonságát – különösen az üzenetek sértetlenségét és bizalmasságát az NTLM aláírási és lezárási funkciói révén. További forrásanyagok: Az NTLM áttekintése.
A többtényezős hitelesítés előnyeinek kihasználása	Intelligens kártya támogatása Biometrikus támogatás	Az intelligens kártyák módosítás ellen védett és hordozható módon biztosítanak biztonsági megoldásokat olyan feladatokhoz, mint az ügyfelek hitelesítése, tartományokra való bejelentkezés, kódok aláírása és biztonságos e-mailek küldése. A biometria egy személy nem változó fizikai jellemzőjének mérésére támaszkodva azonosítja egyedileg az adott személyt. Az ujjlenyomatok az egyik leggyakrabban használt biometrikus jellemzők, ennek megfelelően több millió ujjlenyomaton alapuló biometrikai eszköz található beágyazva a személyi számítógépekbe és a perifériaeszközökbe. További forrásanyagok: Az intelligens kártya áttekintése és A Windows biometriai keretrendszerének áttekintése [W8].
Helyi kezelés, tárolás és a hitelesítő adatok újrafelhasználása	Hitelesítő adatok kezelése Helyi biztonsági szervezet Jelszavak	A Windowsban a hitelesítő adatok kezelése biztosítja a hitelesítő adatok biztonságos tárolását. A hitelesítő adatok összegyűjtése a biztonságos asztalon (helyi vagy tartományi elérés esetén), illetve alkalmazásokon vagy webhelyeken keresztül történik, így a helyes hitelesítő adatok jelennek meg egy erőforrás elérésekor. További forrásanyagok: Technikai tudnivalók a gyorsítótárazott és a tárolt hitelesítő adatokról és Jelszavak – áttekintés.
Modern hitelesítési védelem kiterjesztése a régebbi rendszerekre	Kiterjesztett hitelesítési védelem (EPA)	Ez a szolgáltatás továbbfejleszti a hitelesítő adatok védelmét és kezelését a hálózati kapcsolatoknak az integrált Windows-hitelesítéssel (IWA) történő hitelesítésekor. További forrásanyagok: Kiterjesztett hitelesítési védelem (EPA).

Szoftverkövetelmények

A Windows-hitelesítés úgy van kialakítva, hogy kompatibilis legyen a Windows operációs rendszer korábbi verzióival. Az egyes kiadások fejlesztései azonban nem feltétlenül alkalmazhatók a korábbi verziókra. További információkért tekintse meg az adott szolgáltatások dokumentációját.

A Kiszolgálókezelő adatai

Számos hitelesítési szolgáltatás konfigurálható a csoportházirend segítségével, amely a Kiszolgálókezelővel telepíthető. A Windows biometriai keretrendszer szolgáltatás a Kiszolgálókezelővel telepíthető. Az egyéb kiszolgálói szerepkörök, amelyek a hitelesítési módszerektől függenek, például a webkiszolgáló (IIS) és az Active Directory tartományi szolgáltatások szintén a Kiszolgálókezelő segítségével telepíthetők.

Kapcsolódó források (lehet, hogy a cikkek angol nyelvűek)

Hitelesítési technológiák	Erőforrások
Windows-hitelesítés	Windows-hitelesítés technikai áttekintése Témaköröket tartalmaz a verziók közötti különbségekkel, az általános hitelesítési fogalmakkal, a bejelentkezési forgatókönyvekkel, a támogatott verziók architektúráival és az alkalmazható beállításokkal kapcsolatban.
Kerberos	Kerberos-hitelesítés áttekintése A Kerberos általi korlátozott delegálás áttekintése A Kerberos hitelesítés műszaki útmutatója(2003) Kerberos Survival Guide (TechNet Wiki)
TLS/SSL és DTLS (Schannel biztonsági támogatásszolgáltató)	TLS/SSL (Schannel SSP) - Áttekintés Schannel biztonsági támogatási szolgáltató műszaki útmutatója
Kivonatoló hitelesítés	A kivonatoló hitelesítés műszaki útmutatója(2003)
NTLM	Az NTLM áttekintése Hivatkozásokat tartalmaz az aktuális és korábbi forrásanyagokra.
PKU2U	A Windows PKU2U ismertetése
Intelligens kártya	Az intelligens kártya áttekintése A Windows intelligens kártya műszaki útmutatója
Virtuális intelligens kártya	A virtuális intelligens kártya áttekintése A virtuális intelligens kártyák ismertetése és értékelése
Biometria	A Windows biometriai keretrendszerének áttekintése [W8]A Windows biometriai keretrendszerének áttekintése [W8]
Hitelesítő adatok	A hitelesítő adatok védelme és felügyelete Hivatkozásokat tartalmaz az aktuális és korábbi forrásanyagokra. Jelszavak – áttekintés Hivatkozásokat tartalmaz az aktuális és korábbi forrásanyagokra.