Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a referencia áttekintési témakör a Windows-hitelesítés alapjául szolgáló fogalmakat ismerteti.
A hitelesítés egy objektum vagy személy identitásának ellenőrzésére szolgáló folyamat. Amikor hitelesít egy objektumot, a cél annak ellenőrzése, hogy az objektum eredeti-e. Ha hitelesít egy személyt, a cél annak ellenőrzése, hogy a személy nem csaló-e.
Hálózati környezetben a hitelesítés a hálózati alkalmazás vagy erőforrás identitásának igazolására szolgál. Az identitást általában egy olyan titkosítási művelet igazolja, amely olyan kulcsot használ, amelyet csak a felhasználó ismer (a nyilvános kulcs titkosításához hasonlóan), vagy egy megosztott kulcsot. A hitelesítési csere kiszolgálóoldala összehasonlítja az aláírt adatokat egy ismert titkosítási kulccsal a hitelesítési kísérlet ellenőrzéséhez.
A titkosítási kulcsok biztonságos központi helyen való tárolása skálázhatóvá és karbantarthatóvá teszi a hitelesítési folyamatot. Az Active Directory az identitásadatok tárolásának ajánlott és alapértelmezett technológiája, amely tartalmazza a felhasználó hitelesítő adatait tartalmazó titkosítási kulcsokat. Az alapértelmezett NTLM- és Kerberos-implementációkhoz Active Directory szükséges.
A hitelesítési technikák az egyszerű bejelentkezéstől az operációs rendszerig vagy egy szolgáltatásba vagy alkalmazásba való bejelentkezésig terjednek, amely a felhasználókat egy olyan dolog alapján azonosítja, amelyet csak a felhasználó tud( például jelszó) a felhasználó által használt, például jogkivonatokat, nyilvános kulcsú tanúsítványokat, képeket vagy biológiai attribútumokat használó hatékonyabb biztonsági mechanizmusokig. Üzleti környezetben a felhasználók több alkalmazáshoz is hozzáférhetnek számos kiszolgálótípuson egy helyen vagy több helyen. Ezen okok miatt a hitelesítésnek támogatnia kell más platformok és más Windows operációs rendszerek környezeteit.
Hitelesítés és engedélyezés: Utazási analógia
Az utazási analógia segíthet elmagyarázni a hitelesítés működését. Az út megkezdéséhez általában szükség van néhány előkészítő feladatra. Az utazónak igazolnia kell a valódi személyazonosságát a fogadó hatóságoknak. Ez az igazolás lehet állampolgársági igazolás, születési hely, személyes utalvány, fényképek vagy bármi, amit a fogadó ország joga megkövetel. Az utazó személyazonosságát útlevél kiállítása igazolja, amely hasonló a szervezet által kiadott és felügyelt rendszerfiókhoz – a biztonsági vezetőhöz. Az útlevél és a célhely a kormányzati hatóság által kiadott szabályokon és előírásokon alapul.
Az út
Amikor az utazó megérkezik a nemzetközi határra, a határőr hitelesítő adatokat kér, és az utazó bemutatja az útlevelét. A folyamat kétirányú:
Az őr hitelesíti az útlevelet annak ellenőrzésével, hogy azt egy biztonsági hatóság adta-e ki, amelyet a helyi önkormányzat megbízik (legalább megbízik az útlevél kiállításában), és ellenőrzi, hogy az útlevél nem lett-e módosítva.
Az őr hitelesíti az utazót annak ellenőrzésével, hogy az arc megfelel-e az útlevélen látható személy arcának, és hogy a többi szükséges hitelesítő adat rendben van-e.
Ha az útlevél érvényesnek bizonyul, és az utazó a tulajdonosának bizonyul, a hitelesítés sikeres, és az utazó a határon keresztül is bejárható.
A hitelesítés alapja a biztonsági hatóságok közötti tranzitív bizalom; a nemzetközi határokon zajló hitelesítés típusa a megbízhatóságon alapul. A helyi önkormányzat nem ismeri az utazót, de bízik abban, hogy a fogadó kormány igen. Amikor a fogadó kormány kiadta az útlevelet, az utazót sem ismerte. Megbízott a születési anyakönyvi kivonatot vagy más dokumentációt kiállító ügynökségben. A születési anyakönyvi kivonatot kiállító ügynökség viszont megbízott a tanúsítványt aláíró orvosban. Az orvos tanúja volt az utazó születésének, és az igazolást a személyazonosság közvetlen bizonyítékával pecsételte meg, ebben az esetben az újszülött lábnyomával. Az ilyen módon, megbízható közvetítőkön keresztül átadott bizalom tranzitív.
A tranzitív megbízhatóság a Windows-ügyfél-/kiszolgálóarchitektúra hálózati biztonságának alapja. A megbízhatósági kapcsolat több tartományon ( például tartományfán) halad végig, és kapcsolatot alakít ki egy tartomány és az adott tartományt megbízható összes tartomány között. Ha például az A tartomány tranzitív megbízhatósági kapcsolatban áll a B tartománnyal, és ha a B tartomány megbízik a C tartományban, akkor az A tartomány a C tartományt megbízhatónak minősíti.
Különbség van a hitelesítés és az engedélyezés között. A hitelesítéssel a rendszer bizonyítja, hogy Ön az, akinek mondja magát. Az engedélyezéssel a rendszer ellenőrzi, hogy rendelkezik-e a kívánt tevékenységhez szükséges jogosultságokkal. Ahhoz, hogy a határ analógiáját egy szinttel feljebb vigyük, az, hogy csupán hitelesítjük, hogy az utazó egy érvényes útlevél megfelelő tulajdonosa, nem feltétlenül jogosítja fel az utazót arra, hogy belépjen egy országba. Egy adott ország lakosai egy másik országba csak akkor léphetnek be egyszerűen útlevél felmutatásával, ha a célország minden állampolgárnak korlátlan belépési engedélyt biztosít.
Hasonlóképpen, egy adott tartomány összes felhasználója számára engedélyt adhat egy erőforrás eléréséhez. Az adott tartományhoz tartozó összes felhasználónak hozzáférése van az erőforráshoz, ahogyan Kanada lehetővé teszi, hogy az amerikai állampolgárok belépjenek Kanadába. Azonban az amerikai állampolgárok próbálnak belépni Brazíliába vagy Indiába úgy találja, hogy nem léphetnek be ezekbe az országokba csak útlevél bemutatásával, mert mindkét ország megköveteli, hogy az egyesült államokbeli állampolgároknak érvényes vízummal rendelkezzenek. Így a hitelesítés nem garantálja az erőforrásokhoz való hozzáférést vagy az erőforrások használatának engedélyezését.
Megbízólevél
Figyelmeztetés
Amikor egy felhasználó helyi bejelentkezést végez, a rendszer helyileg ellenőrzi a hitelesítő adatait egy gyorsítótárazott másolaton, mielőtt hitelesítést végez egy identitásszolgáltatóval a hálózaton keresztül. Ha a gyorsítótár ellenőrzése sikeres, a felhasználó akkor is hozzáfér az asztalhoz, ha az eszköz offline állapotban van. Ha azonban a felhasználó megváltoztatja a jelszavát a felhőben, a gyorsítótárazott hitelesítő nem frissül, ami azt jelenti, hogy továbbra is hozzáférhet a helyi gépéhez a régi jelszavával.
Az útlevél és esetleg a kapcsolódó vízumok egy utazó számára elfogadott szükséges hitelesítő adatok. Előfordulhat azonban, hogy ezek a hitelesítő adatok nem teszik lehetővé az utazók számára, hogy egy ország összes erőforrását be- vagy elérhessék. A konferenciákon való részvételhez például további hitelesítő adatokra van szükség. Windows rendszerben a hitelesítő adatok kezelhetők, így a fióktulajdonosok anélkül férhetnek hozzá az erőforrásokhoz a hálózaton keresztül, hogy ismételten meg kellene adniuk a hitelesítő adataikat. Az ilyen típusú hozzáférés lehetővé teszi, hogy a rendszer egyszer hitelesítse a felhasználókat az összes olyan alkalmazáshoz és adatforráshoz való hozzáféréshez, amelyet jogosult használni anélkül, hogy másik fiókazonosítót vagy jelszót adnának meg. A Windows platform kihasználja azt a képességet, hogy az Active Directory által karbantartott egyetlen felhasználói identitást használhatja a hálózaton, azáltal hogy az operációs rendszer Helyi Biztonsági Hatóságában (LSA) helyileg gyorsítótárazza a felhasználói hitelesítő adatokat. Amikor egy felhasználó bejelentkezik a tartományba, a Windows-hitelesítési csomagok transzparens módon használják a hitelesítő adatokat, hogy egyszeri bejelentkezést biztosítsanak a hitelesítő adatok hálózati erőforrásokhoz való hitelesítésekor. A hitelesítő adatokkal kapcsolatos további információkért tekintse meg a Windows-hitelesítés hitelesítőadat-folyamatait.
Az utazó többtényezős hitelesítésének egy formája lehet az a követelmény, hogy több dokumentumot is magával kell vinnie és be kell mutatnia a személyazonossága hitelesítéséhez, például útlevél- és konferenciaregisztrációs adatokat. A Windows ezt az űrlapot vagy hitelesítést intelligens kártyákon, virtuális intelligens kártyákon és biometrikus technológiákon keresztül valósítja meg.
Biztonsági főelemek és fiókok
A Windows rendszerben minden felhasználó, szolgáltatás, csoport vagy számítógép, amely kezdeményezhet műveletet, biztonsági alapelv. A biztonsági tagok fiókokkal rendelkeznek, amelyek helyiek lehetnek a számítógépen, vagy tartományalapúak lehetnek. A Windows-ügyfél tartományhoz csatlakoztatott számítógépei például akkor is részt vehetnek egy hálózati tartományban, ha egy tartományvezérlővel kommunikálnak akkor is, ha nincs bejelentkezve emberi felhasználó. A kommunikáció elindításához a számítógépnek aktív fiókkal kell rendelkeznie a tartományban. Mielőtt elfogadná a számítógépről érkező kommunikációt, a tartományvezérlő helyi biztonsági hatósága hitelesíti a számítógép identitását, majd ugyanúgy határozza meg a számítógép biztonsági környezetét, mint egy emberi biztonsági tag esetében. Ez a biztonsági környezet határozza meg egy felhasználó vagy szolgáltatás identitását és képességeit egy adott számítógépen, illetve egy felhasználón, szolgáltatáson, csoporton vagy számítógépen egy hálózaton. Meghatározza például azokat az erőforrásokat, például fájlmegosztást vagy nyomtatót, amelyek elérhetők, és azokat a műveleteket, mint például az olvasás, az írás vagy a módosítás, amelyeket az adott erőforrás felhasználója, szolgáltatása vagy számítógépe hajthat végre. További információ: Security Principals.
A fiók egy olyan eszköz, amellyel azonosíthatja a kérelmezőt – az emberi felhasználót vagy szolgáltatást –, amely hozzáférést vagy erőforrásokat kér. A hiteles útlevéllel rendelkező utazó rendelkezik a fogadó országgal. A felhasználók, felhasználói csoportok, objektumok és szolgáltatások mindegyike rendelkezhet egyéni fiókkal vagy megosztási fiókkal. A fiókok csoporttagok lehetnek, és meghatározott jogosultságokkal és engedélyekkel is rendelkezhetnek. A fiókok korlátozhatók a helyi számítógépre, munkacsoportra, hálózatra, vagy hozzárendelhetők egy tartományhoz való tagsághoz.
A beépített fiókok és a biztonsági csoportok, amelyek tagjai, a Windows minden verziójában vannak meghatározva. Biztonsági csoportok használatával ugyanazokat a biztonsági engedélyeket számos sikeresen hitelesített felhasználóhoz rendelheti, ami leegyszerűsíti a hozzáférés felügyeletét. Az útlevél kiállítására vonatkozó szabályok megkövetelik, hogy az utazót bizonyos csoportokhoz, például üzleti, turisztikai vagy kormányzati csoportokhoz rendelje. Ez a folyamat egységes biztonsági engedélyeket biztosít a csoport összes tagja számára. Ha biztonsági csoportokat használ az engedélyek hozzárendelésére, az azt jelenti, hogy az erőforrások hozzáférés-vezérlése állandó és könnyen kezelhető és naplózható marad. A hozzáférés-vezérlési listák (ACL-ek) módosításainak gyakoriságát minimalizálhatja úgy, hogy szükség szerint hozzáadja és eltávolítja azokat a felhasználókat, akiknek hozzáférésre van szükségük a megfelelő biztonsági csoportokból.
A Windows Server 2008 R2-ben és a Windows 7-ben különálló felügyelt szolgáltatásfiókokat és virtuális fiókokat vezettünk be, hogy a szükséges alkalmazásokat, például a Microsoft Exchange Servert és az Internet Information Servicest (IIS) saját tartományfiókjaik elkülönítésével biztosíthassák, ugyanakkor szükségtelenné vált, hogy a rendszergazda manuálisan felügyelje a szolgáltatásnév nevét és hitelesítő adatait ezekhez a fiókokhoz. A csoport által felügyelt szolgáltatásfiókok a Windows Server 2012-ben lettek bevezetve, és ugyanazokat a funkciókat biztosítják a tartományban, de ezt a funkciót több kiszolgálóra is kiterjesztik. Amikor egy kiszolgálófarmon üzemeltetett szolgáltatáshoz, például a hálózati terheléselosztáshoz csatlakozik, a kölcsönös hitelesítést támogató hitelesítési protokollok megkövetelik, hogy a szolgáltatások minden példánya ugyanazt az azonosítót használja.
További információ a fiókokról:
Delegált hitelesítés
Az utazási analógia használatához az országok ugyanolyan hozzáférést adhatnak egy hivatalos kormányzati küldöttség minden tagjának, mindaddig, amíg a meghatalmazottak jól ismertek. Ez a delegálás lehetővé teszi, hogy az egyik tag egy másik tag felhatalmazása alapján jár el. Windows rendszerben a delegált hitelesítés akkor fordul elő, ha egy hálózati szolgáltatás elfogad egy hitelesítési kérést egy felhasználótól, és feltételezi a felhasználó identitását, hogy új kapcsolatot kezdeményezhessen egy második hálózati szolgáltatással. A delegált hitelesítés támogatásához olyan első rétegbeli vagy előtér kiszolgálókat kell felállítania, mint a webkiszolgálók, amelyek az ügyfél-hitelesítési kérelmek kezeléséért felelősek, valamint háttér- vagy n-szintű kiszolgálókat, például nagy adatbázisokat, amelyek az információk tárolásáért felelősek. A rendszergazdai terhelés csökkentése érdekében delegálhatja a delegált hitelesítés beállításának jogát a szervezet felhasználói számára.
Ha megbízhatóként hoz létre egy szolgáltatást vagy számítógépet a delegáláshoz, engedélyezi a szolgáltatásnak vagy a számítógépnek a delegált hitelesítést, jegyet kap a kérést küldő felhasználónak, majd hozzáférhet az adott felhasználó adataihoz. Ez a modell csak azokra a felhasználókra vagy szolgáltatásokra korlátozza az adathozzáférést a háttérkiszolgálókon, akik a megfelelő hozzáférés-vezérlési jogkivonatokkal rendelkező hitelesítő adatokat mutatnak be. Emellett lehetővé teszi ezeknek a háttérerőforrásoknak az auditálását is. Az ügyfél nevében történő használatra delegált hitelesítő adatokkal való hozzáférés megkövetelésével gondoskodhat arról, hogy a kiszolgáló ne sérüljön, és hogy hozzáférhessen a más kiszolgálókon tárolt bizalmas adatokhoz. A delegált hitelesítés olyan többfelhasználós alkalmazások esetében hasznos, amelyek több számítógépen is használhatják az egyszeri bejelentkezési képességeket.
Hitelesítés tartományok közötti megbízhatósági kapcsolatokban
A több tartományt használó szervezetek többsége jogosan igényli, hogy a felhasználók hozzáférjenek egy másik tartományban található megosztott erőforrásokhoz, ahogyan az utazó is utazhat az ország különböző régióiba. A hozzáférés szabályozásához az egyik tartományban lévő felhasználókat is hitelesíteni kell, és engedélyezni kell az erőforrások használatát egy másik tartományban. Ahhoz, hogy hitelesítési és engedélyezési képességeket biztosítson a különböző tartományokban lévő ügyfelek és kiszolgálók között, megbízhatóságnak kell lennie a két tartomány között. A megbízhatóság az alapul szolgáló technológia, amellyel biztonságos Active Directory-kommunikáció történik, és a Windows Server hálózati architektúra szerves biztonsági összetevője.
Ha két tartomány között megbízhatóság áll fenn, az egyes tartományok hitelesítési mechanizmusai megbíznak a másik tartományból érkező hitelesítésekben. A megbízhatósági kapcsolatok segítenek szabályozott hozzáférést biztosítani egy erőforrástartomány megosztott erőforrásaihoz – a megbízható tartományhoz – annak ellenőrzéséhez, hogy a bejövő hitelesítési kérelmek megbízható szolgáltatótól származnak-e – a megbízható tartományból. Ily módon a megbízhatósági kapcsolatok hidakként működnek, amelyek lehetővé teszik, hogy csak a hitelesített hitelesítési kérések utazzanak a tartományok között.
Az, hogy egy adott megbízhatósági kapcsolat hogyan továbbítja a hitelesítési kérelmeket, attól függ, hogyan van konfigurálva. A megbízhatósági kapcsolatok lehetnek egyirányúak, ha hozzáférést biztosítanak a megbízható tartományból a megbízható tartomány erőforrásaihoz, vagy kétirányúak, ha hozzáférést biztosítanak az egyes tartományokból a másik tartomány erőforrásaihoz. A megbízhatóságok vagy nem tranzitívak is, ebben az esetben a megbízhatósági kapcsolat csak a két megbízható partnertartomány között létezik, vagy tranzitív, amely esetben a megbízhatóság automatikusan kiterjed minden más tartományra, amelyet a partnerek bármelyike megbízik.
A trust kapcsolat működésével kapcsolatos információért tekintse meg a tartomány- és erdőbeli megbízhatósági kapcsolatok működését ismertető témakört.
Protokollváltás
A protokollváltás segít az alkalmazástervezőknek azáltal, hogy lehetővé teszi az alkalmazások számára a különböző hitelesítési mechanizmusokat a felhasználói hitelesítési szinten, valamint a Kerberos-protokollra való váltással a biztonsági funkciókhoz, például a kölcsönös hitelesítéshez és a korlátozott delegáláshoz a következő alkalmazásszinteken.
További információért a protokollváltásról lásd: Kerberos Protokollváltás és Korlátozott Delegálás.
Korlátozott delegálás
A korlátozott delegálás lehetővé teszi a rendszergazdák számára az alkalmazásmegbízhatósági határok megadását és kikényszerítését azáltal, hogy korlátozza azt a hatókört, ahol az alkalmazásszolgáltatások egy felhasználó nevében eljárhatnak. Megadhatja azokat a szolgáltatásokat, amelyekből a delegáláshoz megbízható számítógép erőforrásokat kérhet. A szolgáltatások engedélyezési jogosultságainak korlátozására vonatkozó rugalmasság segít az alkalmazásbiztonság kialakításában azáltal, hogy csökkenti a nem megbízható szolgáltatások által biztosított biztonsági kockázatot.
A korlátozott delegálással kapcsolatos további információkért lásd a Kerberos korlátozott delegálásának áttekintését.
További hivatkozások
A Windows bejelentkezési és hitelesítési műszaki áttekintése