Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Windows-hitelesítés a vállalati környezetekben a biztonságos hozzáférés egyik sarokköve, amely lehetővé teszi a felhasználók és szolgáltatások számára a rendszerekkel való interakciót, a bizalmas információk védelme mellett. Ez a cikk átfogó áttekintést nyújt az informatikai szakembereknek arról, hogyan dolgozza fel a Windows a hitelesítő adatokat a hitelesítés során. Lefedi a hitelesítő adatok kezelésével, érvényesítésével és tárolásával kapcsolatos legfontosabb összetevőket, mechanizmusokat és architektúrákat, biztosítva a különböző Windows operációs rendszerek hitelesítési folyamatának egyértelmű megértését.
Ezek az összetevők a következők:
A Windows hitelesítő adatainak hitelesítése – áttekintés
A Windows hitelesítő adatok kezelése az a folyamat, amellyel az operációs rendszer megkapja a hitelesítő adatokat a szolgáltatástól vagy a felhasználótól, és biztosítja az adatokat a későbbi bemutatókhoz a hitelesítő cél számára. Ha egy számítógép tartományhoz csatlakozik, a hitelesítés célja a tartományvezérlő. A hitelesítéshez használt hitelesítő adatok olyan digitális dokumentumok, amelyek a felhasználó személyazonosságát a hitelesség igazolásának valamilyen formájához, például tanúsítványhoz, jelszóhoz vagy PIN-kódhoz társítják.
Alapértelmezés szerint a Rendszer a Windows hitelesítő adatait a helyi számítógépen található Security Accounts Manager (SAM) adatbázison vagy egy tartományhoz csatlakoztatott számítógépen lévő Active Directoryn keresztül érvényesíti a Winlogon szolgáltatáson keresztül. A hitelesítő adatok gyűjtése a bejelentkezési felhasználói felületen megadott felhasználói bemeneten keresztül vagy programozott módon történik az alkalmazásprogramozási felületen (API) keresztül, amelyet a hitelesítő célnak kell bemutatni.
A rendszer a helyi biztonsági adatokat a beállításjegyzékben tárolja a HKEY_LOCAL_MACHINE\SECURITYalatt. A tárolt információk közé tartoznak a szabályzatbeállítások, az alapértelmezett biztonsági értékek és a fiókadatok, például a gyorsítótárazott bejelentkezési hitelesítő adatok. A SAM-adatbázis egy példánya is itt van tárolva, bár írásvédett.
Az alábbi ábra a szükséges összetevőket és a hitelesítő adatok által a rendszeren keresztül a felhasználó vagy a folyamat sikeres bejelentkezéséhez szükséges elérési utakat mutatja be.
Az alábbi táblázat azokat az összetevőket ismerteti, amelyek az összes rendszer bejelentkezési helyén kezelik a hitelesítési folyamat hitelesítő adatait.
| Component | Description |
|---|---|
| Felhasználói bejelentkezés | Winlogon.exe a biztonságos felhasználói interakciók kezeléséért felelős végrehajtható fájl. A Winlogon szolgáltatás úgy kezdeményezi a Windows operációs rendszerek bejelentkezési folyamatát, hogy átadja a felhasználói művelet által gyűjtött hitelesítő adatokat a biztonságos asztalon (Logon UI) a helyi biztonsági szolgáltatónak (LSA) keresztül secur32.dll. |
| Alkalmazás bejelentkezése | Olyan alkalmazás- vagy szolgáltatásbejegyzések, amelyekhez nincs szükség interaktív bejelentkezésre. A felhasználó által kezdeményezett legtöbb folyamat felhasználói módban secur32.dll fut, míg az indításkor indított folyamatok( például szolgáltatások) kernel módban futnak a Ksecdd.syshasználatával.További információ a felhasználói módról és a kernel módról: Alkalmazások, felhasználói mód vagy szolgáltatások és kernel mód. |
secur32.dll |
A hitelesítési folyamat alapját képező több hitelesítésszolgáltató. |
lsasrv.dll |
Az LSA Server szolgáltatás, amely kikényszeríti a biztonsági szabályzatokat, és az LSA biztonsági csomagkezelőjeként működik. Az LSA tartalmazza az Egyeztetés függvényt, amely az NTLM vagy a Kerberos protokollt választja ki a sikeres protokoll meghatározása után. |
| Biztonsági támogatási szolgáltatók | Olyan szolgáltatók készlete, amelyek egyenként meghívhatnak egy vagy több hitelesítési protokollt. A szolgáltatók alapértelmezett készlete a Windows operációs rendszer minden verziójával változhat, és egyéni szolgáltatók is írhatók. |
netlogon.dll |
A Net Logon szolgáltatás által végrehajtott szolgáltatások a következők:
|
samsrv.dll |
A helyi biztonsági fiókokat tároló Security Accounts Manager (SAM) helyileg tárolt szabályzatokat kényszerít ki, és támogatja az API-kat. |
| Registry | A beállításjegyzék tartalmazza a SAM-adatbázis másolatát, a helyi biztonsági házirend beállításait, az alapértelmezett biztonsági értékeket és a fiókinformációkat, amelyek csak a rendszer számára érhetők el. |
Hitelesítő adatok megadása a felhasználói bejelentkezéshez
A Windows Server 2008-ban bevezetett hitelesítőadat-szolgáltatói architektúra a felhasználói hitelesítő adatok bejelentkezés során történő gyűjtésének elsődleges mechanizmusa. Lehetővé teszi, hogy rugalmas és bővíthető módon gyűjtsön hitelesítő adatokat a felhasználóktól, például jelszavakat, intelligens kártyákat vagy biometrikus adatokat. A hitelesítőadat-szolgáltató architektúrája a Windows korábbi verzióiban használt régebbi grafikus azonosítási és hitelesítési (GINA) architektúrát váltja fel.
A Grafikus azonosítás és hitelesítés (GINA) architektúra a Windows régebbi verzióiban való megismeréséhez bontsa ki ezt a szakaszt.
A grafikus azonosítási és hitelesítési (GINA) architektúra a Windows Server 2003, a Microsoft Windows 2000 Server, a Windows XP és a Windows 2000 Professional operációs rendszerekre vonatkozik. Ezekben a rendszerekben minden interaktív bejelentkezési munkamenet a Winlogon szolgáltatás egy külön példányát hozza létre. A GINA-architektúra betöltődik a Winlogon által használt folyamattérbe, fogadja és feldolgozza a hitelesítő adatokat, és az LSALogonUseren keresztül kezdeményezi a hitelesítési felületekre irányuló hívásokat.
Az interaktív bejelentkezéshez használt Winlogon-példányok a 0. munkamenetben futnak. A 0. munkamenet rendszerszolgáltatásokat és egyéb kritikus folyamatokat üzemeltet, beleértve a Helyi Biztonsági Hatóság (LSA) folyamatot is.
Az alábbi ábra a Windows Server 2003, a Microsoft Windows 2000 Server, a Windows XP és a Microsoft Windows 2000 Professional hitelesítő adatait mutatja be.
Hitelesítőadat-szolgáltató architektúrája
A hitelesítőadat-szolgáltató architektúrája bővíthető kialakítást használ hitelesítőadat-szolgáltatók használatával. A különböző bejelentkezési csempék ezeket a szolgáltatókat képviselik a biztonságos asztalon, amelyek bármilyen számú bejelentkezési forgatókönyvet lehetővé teszik, beleértve az azonos felhasználóhoz tartozó különböző fiókokat és a különböző hitelesítési módszereket, például a jelszót, az intelligens kártyát és a biometrikus adatokat.
Az alábbi ábrán a hitelesítőadat-szolgáltató architektúrájának hitelesítőadat-folyamata látható:
A Winlogon mindig elindítja a folyamat bejelentkezési felhasználói felületét, miután megkapja a biztonságos figyelemütemezési eseményt. A bejelentkezési felhasználói felület lekérdezi az egyes hitelesítő szolgáltatókat az általuk felsorolásra beállított különböző hitelesítő típusok számáról. A hitelesítő adatok szolgáltatóinak lehetősége van az egyik csempét alapértelmezettként megadni. Miután minden szolgáltató számba vegye a csempéket, a bejelentkezési felhasználói felület megjeleníti őket a felhasználónak. A felhasználó egy csempén keresztül megadja a hitelesítő adatait. A bejelentkezési felhasználói felület elküldi ezeket a hitelesítő adatokat hitelesítéshez.
A hitelesítő adatok szolgáltatói nem kényszerítési mechanizmusok; hitelesítő adatok gyűjtésére és szerializálására szolgálnak. A Helyi biztonsági hatóság és a hitelesítési csomagok biztonságot érvényesítenek.
A hitelesítő adatok szolgáltatói regisztrálva vannak a számítógépen, és a következő feladatokért felelősek:
A hitelesítéshez szükséges hitelesítő adatok leírása.
Kommunikáció és logika kezelése külső hitelesítésszolgáltatókkal.
Hitelesítő adatok csomagolása interaktív és hálózati bejelentkezéshez.
Az interaktív és hálózati bejelentkezéshez szükséges hitelesítő adatok csomagolása magában foglalja a szerializálás folyamatát. A hitelesítő adatok szerializálásával több bejelentkezési csempe is megjeleníthető egy felhasználó számára. Ezért a szervezet testre szabott hitelesítőadat-szolgáltatók használatával szabályozhatja a bejelentkezési megjelenítést, például a felhasználókat, a bejelentkezési célrendszereket, a bejelentkezés előtti hozzáférést a hálózathoz és a munkaállomás zárolási/zárolási szabályzatait. Ugyanazon a számítógépen több hitelesítőadat-szolgáltató is létezhet. Az egyszeri bejelentkezési (SSO-) szolgáltatók szabványos hitelesítőadat-szolgáltatóként vagy előzetes bejelentkezés-hozzáférési szolgáltatóként (PLAP) fejleszthetők.
A Windows minden verziója tartalmaz egy alapértelmezett hitelesítőadat-szolgáltatót és egy alapértelmezett bejelentkezés előtti hozzáférési szolgáltatót, más néven SSO-szolgáltatót. Az egyszeri bejelentkezés szolgáltatója engedélyezi a felhasználóknak, hogy kapcsolatot létesítsen egy hálózathoz, mielőtt bejelentkeznek a helyi számítógépre. A szolgáltató implementálásakor a szolgáltató nem számba veszi a csempéket a bejelentkezési felhasználói felületen.
Az SSO-szolgáltató a következő helyzetekben használható:
A hálózati hitelesítést és a számítógép-bejelentkezést különböző hitelesítőadat-szolgáltatók kezelik, beleértve az alábbi változatokat ebben a forgatókönyvben:
A felhasználónak lehetősége van csatlakozni egy hálózathoz, például csatlakozni egy virtuális magánhálózathoz (VPN-hez), mielőtt bejelentkezik a számítógépre, de nem szükséges a kapcsolat létrehozásához.
A helyi számítógépen az interaktív hitelesítés során használt információk lekéréséhez hálózati hitelesítés szükséges.
A több hálózati hitelesítést a többi forgatókönyv egyike követi. Egy felhasználó például hitelesít egy internetszolgáltatónál, hitelesít egy VPN-en, majd a felhasználói fiók hitelesítő adataival helyileg bejelentkezik.
A gyorsítótárazott hitelesítő adatok le vannak tiltva, és a felhasználó hitelesítéséhez a helyi bejelentkezés előtt VPN-en keresztüli távelérési szolgáltatásokra van szükség.
Egy tartományi felhasználó nem rendelkezik helyi fiókkal a tartományhoz csatlakoztatott számítógépen, és VPN-kapcsolaton keresztül létre kell hoznia egy távelérési kapcsolatot, mielőtt interaktív bejelentkezést végezne.
A hálózati hitelesítést és a számítógép-bejelentkezést ugyanaz a hitelesítőadat-szolgáltató kezeli, ahol a felhasználónak csatlakoznia kell a hálózathoz, mielőtt bejelentkezik a számítógépre.
Bejelentkezési csempe számbavétele
A hitelesítőadat-szolgáltató a következő esetekben sorolja fel a bejelentkezési csempéket:
Munkaállomás-bejelentkezéshez. A hitelesítőadat-szolgáltató általában szerializálja a hitelesítéshez szükséges hitelesítő adatokat a helyi biztonsági szolgáltatónak. Ez a folyamat az egyes felhasználókhoz és az egyes felhasználók célrendszereihez tartozó csempéket jeleníti meg.
A bejelentkezési és hitelesítési architektúra lehetővé teszi, hogy a felhasználók a hitelesítőadat-szolgáltató által számba adott csempéket használva oldják fel a munkaállomások zárolását. Általában az aktuálisan bejelentkezett felhasználó az alapértelmezett csempe, de ha egynél több felhasználó van bejelentkezve, számos csempe jelenik meg.
A hitelesítőadat-szolgáltató enumerálja a csempéket a jelszó vagy más személyes adatok, például PIN-kód módosítására irányuló felhasználói kérésre válaszul. Általában az aktuálisan bejelentkezett felhasználó az alapértelmezett csempe, de ha egynél több felhasználó van bejelentkezve, számos csempe jelenik meg.
A hitelesítőadat-szolgáltató felsorolja a csempéket a távoli számítógépeken való hitelesítéshez használandó szerializált hitelesítő adatok alapján. A hitelesítő adatok felhasználói felülete nem ugyanazt a szolgáltatói példányt használja, mint a bejelentkezési felhasználói felület, a munkaállomás zárolásának feloldása vagy a jelszó módosítása. Ezért az állapotinformációk nem tarthatók fenn a szolgáltatóban a hitelesítő adatok felhasználói felületének példányai között. Ez a struktúra minden távoli számítógép-bejelentkezéshez egy csempét eredményez, feltéve, hogy a hitelesítő adatok megfelelően szerializálva vannak. Ezt a forgatókönyvet a felhasználói fiókok felügyelete (UAC) is használja, amely segíthet megelőzni a számítógép jogosulatlan módosításait, ha engedélyt vagy rendszergazdai jelszót kér a felhasználótól, mielőtt engedélyezné a számítógép működését esetleg befolyásoló vagy a számítógép más felhasználóit érintő beállításokat.
Hitelesítő adatok bevitele az alkalmazás- és szolgáltatás-bejelentkezéshez
A Windows-hitelesítés a felhasználói beavatkozást nem igénylő alkalmazások vagy szolgáltatások hitelesítő adatainak kezelésére szolgál. A felhasználói módban lévő alkalmazások korlátozottak annak függvényében, hogy milyen rendszererőforrásokhoz férhetnek hozzá, míg a szolgáltatások korlátlan hozzáféréssel rendelkezhetnek a rendszermemória és a külső eszközök számára.
A rendszerszolgáltatások és a szállítási szintű alkalmazások a Windows biztonsági támogatási szolgáltatói felületén (SSPI) keresztül férnek hozzá a biztonsági támogatási szolgáltatóhoz (SSPI), amely függvényeket biztosít a rendszeren elérhető biztonsági csomagok számbavételéhez, a csomag kiválasztásához és a csomag használatával hitelesített kapcsolat beszerzéséhez.
Ügyfél-/kiszolgálókapcsolat hitelesítése esetén:
A kapcsolat ügyféloldalán lévő alkalmazás hitelesítő adatokat küld a kiszolgálónak az SSPI függvény
InitializeSecurityContext (General)használatával.Az alkalmazás a kapcsolat kiszolgálóoldalán az SSPI függvény
AcceptSecurityContext (General)-val válaszol.Az SSPI függvények
InitializeSecurityContext (General)AcceptSecurityContext (General)mindaddig ismétlődnek, amíg az összes szükséges hitelesítési üzenetet sikeres vagy sikertelen hitelesítésre nem cseréli a rendszer.A kapcsolat hitelesítése után a kiszolgálón lévő LSA az ügyféltől származó információk alapján hozza létre a hozzáférési jogkivonatot tartalmazó biztonsági környezetet.
A kiszolgáló ezután meghívhatja a
ImpersonateSecurityContextSSPI-függvényt, hogy a hozzáférési jogkivonatot csatolja a szolgáltatás megszemélyesítési szálához.
Alkalmazások és felhasználói mód
A Windows felhasználói üzemmódja két olyan rendszerből áll, amelyek képesek I/O-kéréseket továbbítani a megfelelő kernel módú illesztőprogramoknak: a környezeti rendszer, amely számos különböző típusú operációs rendszerhez írt alkalmazásokat futtat, és az integrált rendszer, amely rendszerspecifikus funkciókat működtet a környezeti rendszer nevében.
Az integrált rendszer a környezeti rendszer nevében kezeli az operációsrendszer-specifikus funkciókat, és egy biztonsági rendszerfolyamatból (LSA), egy munkaállomás-szolgáltatásból és egy kiszolgálói szolgáltatásból áll. A biztonsági rendszer folyamata biztonsági jogkivonatokkal foglalkozik, engedélyeket ad vagy tagad meg a felhasználói fiókok erőforrás-engedélyek alapján való eléréséhez, kezeli a bejelentkezési kérelmeket, és kezdeményezi a bejelentkezési hitelesítést, és meghatározza, hogy az operációs rendszer mely rendszererőforrásokat kell naplóznia.
Az alkalmazások felhasználói módban is futtathatók, ahol az alkalmazás bármely szerepkör alatt futtatható, beleértve a Local System (Rendszer) biztonsági környezetét is. Az alkalmazások kernel módban is futtathatók, ahol az alkalmazás a Helyi rendszer (SYSTEM) biztonsági környezetében futtatható.
Az SSPI a secur32.dll modulon keresztül érhető el, amely egy API, amely integrált biztonsági szolgáltatások beszerzésére szolgál a hitelesítéshez, az üzenetek integritásához és az üzenetek adatvédettségéhez. Absztrakciós réteget biztosít az alkalmazásszintű protokollok és a biztonsági protokollok között. Mivel a különböző alkalmazások különböző módszereket igényelnek a felhasználók azonosítására vagy hitelesítésére, valamint a hálózaton áthaladó adatok titkosításának különböző módjaira, az SSPI lehetővé teszi a különböző hitelesítési és titkosítási függvényeket tartalmazó dinamikus csatolású kódtárak (DLL-ek) elérését. Ezeket a DLL-eket biztonsági támogatási szolgáltatóknak (SSP-knek) nevezzük.
A felügyelt szolgáltatásfiókokat és virtuális fiókokat a Windows Server 2008 R2-ben és a Windows 7-ben vezették be, hogy olyan kulcsfontosságú alkalmazásokat biztosítsanak, mint például a Microsoft SQL Server és az Internet Information Services (IIS), a saját tartományi fiókjuk elkülönítésével, miközben nincs szükség arra, hogy a rendszergazda manuálisan kezelje a szolgáltatásnév nevét és hitelesítő adatait ezen fiókokhoz. További információ ezekről a funkciókról és a hitelesítésben betöltött szerepükről: Felügyelt szolgáltatásfiókok dokumentációja Windows 7 és Windows Server 2008 R2 és csoport által felügyelt szolgáltatásfiókok áttekintése.
Szolgáltatások és kernel mód
Bár a Legtöbb Windows-alkalmazás a felhasználó biztonsági környezetében fut, ez nem igaz a szolgáltatásokra. A szolgáltatásvezérlő számos Windows-szolgáltatást, például hálózati és nyomtatási szolgáltatásokat használ a számítógép indításakor. Előfordulhat, hogy ezek a szolgáltatások helyi szolgáltatásként vagy helyi rendszerként futnak, és az utolsó emberi felhasználó kijelentkezése után is futnak.
Note
A szolgáltatások általában helyi rendszer (SYSTEM), hálózati szolgáltatás vagy helyi szolgáltatás néven ismert biztonsági környezetekben futnak. A Windows Server 2008 R2 olyan szolgáltatásokat vezetett be, amelyek felügyelt szolgáltatásfiók alatt futnak, és tartományi főentitások.
A szolgáltatás indítása előtt a szolgáltatásvezérlő a szolgáltatáshoz kijelölt fiókkal jelentkezik be, majd bemutatja a szolgáltatás hitelesítő adatait az LSA általi hitelesítéshez. A Windows szolgáltatás egy programozott felületet implementál, amellyel a szolgáltatásvezérlő-kezelő szabályozhatja a szolgáltatást. A Windows-szolgáltatások automatikusan elindíthatók a rendszer indításakor vagy manuálisan egy szolgáltatásvezérlő programmal. Ha például egy Windows-ügyfélszámítógép csatlakozik egy tartományhoz, a számítógépen lévő üzenetküldő szolgáltatás csatlakozik egy tartományvezérlőhöz, és megnyit egy biztonságos csatornát. Hitelesített kapcsolat beszerzéséhez a szolgáltatásnak olyan hitelesítő adatokkal kell rendelkeznie, amelyeket a távoli számítógép helyi biztonsági hatósága (LSA) megbízik. A hálózat többi számítógépével való kommunikáció során az LSA a helyi számítógép tartományfiókjának hitelesítő adatait használja, valamint a helyi rendszer és hálózati szolgáltatás biztonsági környezetében futó összes többi szolgáltatást is. A helyi számítógépen lévő szolgáltatások SYSTEM-ként futnak, így a hitelesítő adatokat nem kell bemutatni az LSA-nak.
A fájl ksecdd.sys kezeli és titkosítja ezeket a hitelesítő adatokat, és helyi eljáráshívást használ az LSA-ba. A fájl típusa DRV (illesztőprogram), és kernel módú biztonsági támogatási szolgáltatóként (SSP) ismert, és a FIPS 140-2 Level 1 szabványnak megfelelő, a Windows Server 2008-tól kezdve.
A kernel mód teljes hozzáféréssel rendelkezik a számítógép hardver- és rendszererőforrásaihoz. A kernel mód megakadályozza, hogy a felhasználói módú szolgáltatások és alkalmazások hozzáférjenek az operációs rendszer azon kritikus területeihez, amelyekhez nem férhetnek hozzá.
Helyi biztonsági hatóság
A Helyi biztonsági hatóság (LSA) egy védett rendszerfolyamat, amely hitelesíti és naplózza a felhasználókat a helyi számítógépen. Emellett az LSA információkat tart fenn a számítógép helyi biztonságának minden aspektusáról (ezeket a szempontokat együttesen helyi biztonsági szabályzatnak nevezzük), és különböző szolgáltatásokat nyújt a nevek és a biztonsági azonosítók (SID-k) közötti fordításhoz. A biztonsági rendszer folyamata, a Local Security Authority Server Service (LSASS) nyomon követi a számítógéprendszerre érvényes biztonsági szabályzatokat és fiókokat.
Az LSA ellenőrzi a felhasználó identitását az alapján, hogy az alábbi két entitás közül melyik adta ki a felhasználó fiókját:
Helyi biztonsági szolgáltató: az LSA az ugyanazon a számítógépen található Security Accounts Manager (SAM) adatbázis ellenőrzésével ellenőrizheti a felhasználói adatokat. Bármely munkaállomás vagy tagkiszolgáló tárolhatja a helyi felhasználói fiókokat és a helyi csoportokkal kapcsolatos információkat. Ezek a fiókok azonban csak az adott munkaállomás vagy számítógép eléréséhez használhatók.
A helyi tartomány vagy egy megbízható tartomány biztonsági hatósága: az LSA kapcsolatba lép a fiókot kibocsátó entitással, és ellenőrzi, hogy a fiók érvényes-e, és hogy a kérés a fióktulajdonostól származik-e.
A helyi biztonsági szolgáltató alrendszerszolgáltatása (LSASS) a hitelesítő adatokat a memóriában tárolja az aktív Windows-munkamenetekkel rendelkező felhasználók nevében. A tárolt hitelesítő adatokkal a felhasználók zökkenőmentesen hozzáférhetnek a hálózati erőforrásokhoz, például a fájlmegosztásokhoz, az Exchange Server-postaládákhoz és a SharePoint-webhelyekhez anélkül, hogy minden távoli szolgáltatáshoz újra meg kell adniuk a hitelesítő adataikat.
Az LSASS több formában is tárolhatja a hitelesítő adatokat, például:
Reverzibilisen titkosított egyszerű szöveg.
Kerberos-jegyek (jegykiadó jegyek (TGT-k), szolgáltatásjegyek).
NT kivonat.
LAN Manager (LM) kivonat.
Ha a felhasználó intelligens kártya használatával jelentkezik be a Windowsba, az LSASS nem tárol egyszerű szöveges jelszót, hanem a fiók megfelelő NT kivonatértékét és az intelligens kártya egyszerű szöveges PIN-kódját tárolja. Ha az interaktív bejelentkezéshez szükséges intelligens kártyához engedélyezve van a fiókattribútum, a rendszer automatikusan létrehoz egy véletlenszerű NT-kivonatértéket a fiókhoz az eredeti jelszókivonat helyett. Az attribútum beállításakor automatikusan generált jelszókivonat nem változik.
Ha egy felhasználó a LAN Manager (LM) kivonataival kompatibilis jelszóval jelentkezik be egy Windows-alapú számítógépre, ez a hitelesítő jelen van a memóriában. Az egyszerű szöveges hitelesítő adatok tárolása a memóriában nem tiltható le, még akkor sem, ha az őket igénylő hitelesítő adatok szolgáltatói le vannak tiltva.
A tárolt hitelesítő adatok közvetlenül a helyi biztonsági hatóság alrendszerszolgáltatásához (LSASS) tartozó bejelentkezési munkamenetekhez vannak társítva, amelyek az utolsó újraindítás után kezdődnek, és nincsenek bezárva. A tárolt LSA-hitelesítő adatokkal rendelkező LSA-munkamenetek például akkor jönnek létre, amikor egy felhasználó végrehajtja az alábbi műveletek bármelyikét:
Bejelentkezik egy helyi munkamenetbe vagy távoli asztali protokoll (RDP) munkamenetbe a számítógépen.
Feladat futtatása a RunAs opció használatával.
Aktív Windows-szolgáltatást futtat a számítógépen.
Ütemezett feladatot vagy kötegelt feladatot futtat.
Távoli felügyeleti eszközzel futtat egy feladatot a helyi számítógépen.
Bizonyos körülmények között az LSA-titkos kulcsok, amelyek olyan titkos adatdarabok, amelyek csak a SYSTEM-fiókfolyamatok számára érhetők el, a merevlemez-meghajtón vannak tárolva. Ezen titkos kódok némelyike olyan hitelesítő adatok, amelyeknek az újraindítás után is meg kell őrizniük őket, és titkosított formában vannak tárolva a merevlemez-meghajtón. Az LSA-titkos kulcsként tárolt hitelesítő adatok a következők lehetnek:
Fiókjelszó a számítógép Active Directory Tartományi Szolgáltatások (AD DS) fiókjához.
A számítógépen konfigurált Windows-szolgáltatások fiókjelszavai.
Fiókjelszavak konfigurált ütemezett feladatokhoz.
Fiókjelszavak az IIS-alkalmazáskészletekhez és -webhelyekhez.
A Microsoft-fiókok jelszavai.
A Windows-ügyfél operációs rendszere további védelmet biztosít az LSA számára, hogy megakadályozza a nem védett folyamatok által beolvasott memóriát és kódinjektálást, amelyet a Windows 8.1-ben vezetnek be. Ez a védelem növeli az LSA által tárolt és kezelt hitelesítő adatok biztonságát.
További információ ezekről a további védelemről: További LSA-védelem konfigurálása.
Gyorsítótárazott hitelesítő adatok és érvényesítés
Az érvényesítési mechanizmusok a hitelesítő adatok bejelentkezéskor történő bemutatásán alapulnak. Ha azonban a számítógép leválasztva van egy tartományvezérlőről, és a felhasználó tartományi hitelesítő adatokat mutat be, a Windows a gyorsítótárazott hitelesítő adatok eljárását használja az érvényesítési mechanizmusban.
Minden alkalommal, amikor egy felhasználó bejelentkezik egy tartományba, a Windows gyorsítótárazza a megadott hitelesítő adatokat, és tárolja őket a biztonsági hive-ben a műveleti rendszer beállításjegyzékében. Gyorsítótárazott hitelesítő adatokkal a felhasználó anélkül jelentkezhet be egy tartománytagra, hogy az adott tartományon belüli tartományvezérlőhöz csatlakozik.
Hitelesítő adatok tárolása és érvényesítése
Nem mindig célszerű egy hitelesítőadat-készletet használni a különböző erőforrásokhoz való hozzáféréshez. Előfordulhat például, hogy egy rendszergazda rendszergazdai hitelesítő adatokat szeretne használni a távoli kiszolgáló elérésekor. Hasonlóképpen, ha egy felhasználó külső erőforrásokhoz, például bankszámlához fér hozzá, csak olyan hitelesítő adatokat használhat, amelyek eltérnek a tartomány hitelesítő adataitól.
Távoli bejelentkezési hitelesítő folyamatok
A Távoli asztali protokoll (RDP) a Windows 8-ban bevezetett Távoli asztali ügyféllel kezeli a távoli számítógéphez csatlakozó felhasználó hitelesítő adatait. A rendszer egyszerű szöveges formában elküldi a hitelesítő adatokat a cél gazdagépnek, ahol a gazdagép megpróbálja végrehajtani a hitelesítési folyamatot, és ha sikeres, csatlakoztatja a felhasználót az engedélyezett erőforrásokhoz. Az RDP nem tárolja a hitelesítő adatokat az ügyfélen, de a felhasználó tartományi hitelesítő adatai az LSASS-ben vannak tárolva.
A korlátozott rendszergazdai mód extra biztonságot nyújt a távoli bejelentkezési forgatókönyvekhez, amelyeket a Windows Server 2012 R2 és a Windows 8.1 rendszerben vezetnek be. A Távoli asztal ezen módja miatt az ügyfélalkalmazás hálózati bejelentkezési feladatmegoldást hajt végre az NT egyirányú függvényével (NTOWF), vagy Kerberos-szolgáltatásjegyet használ a távoli gazdagéphez való hitelesítéskor. A rendszergazda hitelesítése után a rendszergazda nem rendelkezik a szükséges fiókhitelesítő adatokkal az LSASS-ben, mert nem kerültek átadásra a távoli gazdagépnek. Ehelyett a rendszergazda rendelkezik a munkamenethez tartozó számítógépfiók hitelesítő adataival. A rendszergazdai hitelesítő adatok nincsenek megadva a távoli gazdagépnek, ezért a műveletek a számítógépfiókként lesznek végrehajtva. Az erőforrások a számítógépfiókra is korlátozódnak, és a rendszergazda nem fér hozzá a saját fiókjával rendelkező erőforrásokhoz.
Bejelentkezési hitelesítő adatok automatikus újraindítása
Amikor egy felhasználó bejelentkezik, az LSA titkosított memóriába menti a felhasználói hitelesítő adatokat, amelyeket csak a Windows 8.1-ben bevezetett LSASS.exeérhet el. Amikor a Windows Update felhasználói jelenlét nélkül indítja el az automatikus újraindítást, a rendszer ezeket a hitelesítő adatokat használja az automatikus bejelentkezés konfigurálásához a felhasználó számára.
Újraindítás esetén a felhasználó automatikusan bejelentkezik az Autologon mechanizmuson keresztül, majd a számítógép zárolva van a felhasználó munkamenetének védelme érdekében. A zárolást a Winlogon kezdeményezi, míg a hitelesítő adatok kezelését az LSA végzi. Ha automatikusan bejelentkezik és zárolja a felhasználó munkamenetét a konzolon, a felhasználó zárolási képernyős alkalmazásai újraindulnak és elérhetők lesznek.
További információ az ARSO-ról megtalálható a Winlogon Automatic Restart Sign-On (ARSO)részben.
Windows Vault és Credential Manager
A Credential Manager egy Vezérlőpult-funkció, amely a Windows Server 2008 R2 és a Windows 7 rendszerben bevezetett felhasználónevek és jelszavak tárolására és kezelésére szolgál. A Hitelesítő adatok kezelője lehetővé teszi, hogy a felhasználók más rendszerekhez és webhelyekhez kapcsolódó hitelesítő adatokat tároljanak a biztonságos Windows-tárolóban.
A felhasználók menthetik és tárolhatják a hitelesítő adatokat a támogatott böngészőkből és Windows-alkalmazásokból a helyi számítógépen, hogy kényelmes legyen, amikor be kell jelentkezniük ezekbe az erőforrásokba. A hitelesítő adatok speciális titkosított mappákba vannak mentve a felhasználó profilja alatt a számítógépen. A szolgáltatást támogató alkalmazások (a Credential Manager API-kkal), például webböngészőkkel és alkalmazásokkal, a bejelentkezési folyamat során más számítógépeken és webhelyeken is megjeleníthetik a megfelelő hitelesítő adatokat.
Amikor egy webhely, alkalmazás vagy egy másik számítógép NTLM-en vagy Kerberos protokollon keresztül kér hitelesítést, megjelenik egy párbeszédpanel, amelyen bejelöli az alapértelmezett hitelesítő adatok frissítése vagy Jelszó mentése jelölőnégyzetet. A Credential Manager API-kat támogató alkalmazás létrehozza ezt a párbeszédpanelt, amely lehetővé teszi, hogy a felhasználó helyileg mentse a hitelesítő adatokat. Ha a felhasználó bejelöli a Jelszó mentése jelölőnégyzetet, a Hitelesítő adatok kezelője nyomon követi a felhasználó felhasználónevét, jelszavát és a használt hitelesítési szolgáltatással kapcsolatos információkat.
A szolgáltatás következő használatakor a Credential Manager automatikusan biztosítja a Windows-tárolóban tárolt hitelesítő adatokat. Ha a rendszer nem fogadja el, a rendszer a megfelelő hozzáférési információkat kéri a felhasználótól. Ha a hozzáférés az új hitelesítő adatokkal van megadva, a Credential Manager felülírja az előző hitelesítő adatokat az új hitelesítő adatokkal, majd az új hitelesítő adatokat a Windows-tárolóban tárolja.
Security Accounts Manager-adatbázis
A Security Accounts Manager (SAM) egy helyi felhasználói fiókokat és csoportokat tároló adatbázis. Minden Windows operációs rendszerben jelen van; Amikor azonban egy számítógép csatlakozik egy tartományhoz, az Active Directory kezeli az Active Directory-tartományok tartományfiókjait.
Windows operációs rendszert futtató ügyfélszámítógépek például akkor is részt vesznek egy hálózati tartományban, ha egy tartományvezérlővel kommunikálnak akkor is, ha nincs bejelentkezve emberi felhasználó. A kommunikáció elindításához a számítógépnek aktív fiókkal kell rendelkeznie a tartományban. Mielőtt elfogadná a számítógépről érkező kommunikációt, a tartományvezérlő LSA-ja hitelesíti a számítógép identitását, majd ugyanúgy hozza létre a számítógép biztonsági környezetét, mint egy emberi biztonsági tag esetében. Ez a biztonsági környezet határozza meg egy felhasználó vagy szolgáltatás identitását és képességeit egy adott számítógépen, egy felhasználón, szolgáltatáson vagy számítógépen egy hálózaton. A biztonsági környezetben található hozzáférési jogkivonat például meghatározza az elérhető erőforrásokat (például fájlmegosztást vagy nyomtatót), valamint azokat a műveleteket (például olvasást, írást vagy módosítást), amelyeket egy egyszerű felhasználó (felhasználó, számítógép vagy szolgáltatás) végrehajthat az adott erőforráson.
A felhasználó vagy a számítógép biztonsági környezete számítógépenként eltérő lehet, például amikor egy felhasználó bejelentkezik egy kiszolgálóra vagy egy olyan munkaállomásra, amely nem a felhasználó elsődleges munkaállomása. Az egyik munkamenettől a másikig változhat, például ha a rendszergazda módosítja a felhasználó jogait és engedélyeit. Emellett a biztonsági környezet általában más, ha egy felhasználó vagy számítógép önállóan, hálózaton vagy Active Directory-tartomány részeként működik.
Helyi tartományok és megbízható tartományok
Ha két tartomány között megbízhatósági kapcsolat áll fenn, az egyes tartományok hitelesítési mechanizmusai a másik tartományból érkező hitelesítések érvényességére támaszkodnak. A megbízhatósági kapcsolatok segítenek ellenőrzött hozzáférést biztosítani az erőforrástartományban (a megbízható tartományban) lévő megosztott erőforrásokhoz annak ellenőrzéséhez, hogy a bejövő hitelesítési kérelmek megbízható szolgáltatótól (a megbízható tartománytól) érkeznek-e. Ily módon a megbízhatósági kapcsolatok hidakként működnek, amelyek lehetővé teszik, hogy csak a hitelesített hitelesítési kérések utazzanak a tartományok között.
Az, hogy egy adott megbízhatósági kapcsolat hogyan továbbítja a hitelesítési kérelmeket, attól függ, hogy hogyan van konfigurálva. A megbízhatósági kapcsolatok lehetnek egyirányúak, ha hozzáférést biztosítanak a megbízható tartományból a megbízható tartomány erőforrásaihoz, vagy kétirányúak, ha hozzáférést biztosítanak az egyes tartományokból a másik tartomány erőforrásaihoz. A bizalmi kapcsolatok vagy nem tranzitívak, ebben az esetben a megbízhatósági kapcsolat csak a két megbízhatósági partnertartomány között létezik, vagy tranzitív, amely esetben a megbízhatósági kapcsolat automatikusan kiterjed minden más tartományra, amelyet bármelyik partner megbízik.
A hitelesítéssel kapcsolatos tartomány- és erdőmegbízhatósági kapcsolatokról további információt Delegált hitelesítés és megbízhatósági kapcsolatokcímű témakörben talál.
Tanúsítványok Windows-hitelesítésben
A nyilvános kulcsú infrastruktúra (PKI) olyan szoftverek, titkosítási technológiák, folyamatok és szolgáltatások kombinációja, amelyek lehetővé teszik a szervezet számára a kommunikáció és az üzleti tranzakciók védelmét. A PKI kommunikációs és üzleti tranzakciók védelmének képessége a hitelesített felhasználók és a megbízható erőforrások közötti digitális tanúsítványok cseréjén alapul.
A digitális tanúsítvány olyan elektronikus dokumentum, amely információkat tartalmaz a hozzá tartozó entitásról, az azt kiállító entitásról, egyedi sorozatszámról vagy más egyedi azonosításról, kiállítási és lejárati dátumokról, valamint digitális ujjlenyomatról.
A hitelesítés annak meghatározására szolgál, hogy egy távoli gazdagép megbízható-e. A megbízhatóság megállapításához a távoli gazdagépnek elfogadható hitelesítési tanúsítványt kell biztosítania.
Távoli házigazdák a megbízhatóságukat úgy igazolják, hogy tanúsítványt szereznek be egy hitelesítésszolgáltatótól (CA). A hitelesítésszolgáltató viszont rendelkezhet egy magasabb szintű hatóság tanúsítványával, amely bizalmi láncot hoz létre. Annak megállapításához, hogy egy tanúsítvány megbízható-e, az alkalmazásnak meg kell határoznia a legfelső szintű hitelesítésszolgáltató identitását, majd meg kell állapítania, hogy megbízható-e.
Hasonlóképpen, a távoli gazdagépnek vagy a helyi számítógépnek meg kell állapítania, hogy a felhasználó vagy alkalmazás által bemutatott tanúsítvány hiteles-e. A rendszer kiértékeli a felhasználó által az LSA-n és az SSPI-n keresztül bemutatott tanúsítvány hitelességét a helyi számítógépen a helyi bejelentkezéshez, a hálózaton vagy a tartományon az Active Directory tanúsítványtárolóin keresztül.
A tanúsítvány létrehozásához a hitelesítési adatok kivonatoló algoritmusokon, például a biztonságos kivonatoló algoritmuson (SHA) keresztül haladnak át az üzenetkivonat létrehozásához. Az üzenetkivonatot ezután digitálisan aláírják a feladó titkos kulcsával, bizonyítandó, hogy a feladó hozta létre az üzenetkivonatot.
Intelligens kártyás hitelesítés
Az intelligenskártya-technológia példa a tanúsítványalapú hitelesítésre. Az intelligens kártyával történő hálózatra való bejelentkezés erős hitelesítési formát biztosít, mivel titkosításon alapuló azonosítást és birtoklási igazolást használ a felhasználó tartományhoz való hitelesítésekor. Az Active Directory Tanúsítványszolgáltatások (AD CS) az egyes intelligens kártyákhoz tartozó bejelentkezési tanúsítvány kiállításával biztosítja a titkosításon alapuló azonosítást.
A virtuális intelligenskártya-technológiát a Windows 8-ban vezették be. Az intelligens kártya tanúsítványát a pc-ben tárolja, majd az eszköz illetéktelen hozzáférés-ellenőrző platformmoduljának (TPM) biztonsági chipjének használatával védi. Ily módon a számítógép lesz az az intelligens kártya, amely a hitelesítéshez meg kell kapnia a felhasználó PIN-kódját.
Az intelligenskártya-hitelesítésről további információt a Windows smart card technical referencecímű cikkben talál.
Távoli és vezeték nélküli hitelesítés
A távoli és vezeték nélküli hálózati hitelesítés egy másik technológia, amely tanúsítványokat használ a hitelesítéshez. Az Internet Authentication Service (IAS) és a virtuális magánhálózati kiszolgálók extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP) vagy Internet Protocol Security (IPsec) használatával végeznek tanúsítványalapú hitelesítést a hálózati hozzáférés számos típusához, beleértve a virtuális magánhálózatot (VPN) és a vezeték nélküli kapcsolatokat.
A hálózatkezelés tanúsítványalapú hitelesítéséről további információt a Hálózati hozzáférés hitelesítése és a tanúsítványokcímű témakörben talál.