Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez az informatikai szakembereknek szóló navigációs témakör felsorolja a Windows hitelesítési és bejelentkezési technológiák dokumentációs erőforrásait, amelyek magukban foglalják a termékértékelést, az első lépések útmutatóit, az eljárásokat, a tervezési és üzembehelyezési útmutatókat, a műszaki referenciákat és a parancshivatkozásokat.
Szolgáltatás leírása
A hitelesítés egy objektum, szolgáltatás vagy személy identitásának ellenőrzésére szolgáló folyamat. Amikor hitelesít egy objektumot, a cél annak ellenőrzése, hogy az objektum eredeti-e. Szolgáltatás vagy személy hitelesítésekor a cél annak ellenőrzése, hogy a bemutatott hitelesítő adatok hitelesek-e.
Hálózati környezetben a hitelesítés a hálózati alkalmazás vagy erőforrás identitásának igazolására szolgál. Az identitást általában egy olyan titkosítási művelet igazolja, amely olyan kulcsot használ, amelyet csak a felhasználó ismer – a nyilvános kulcs titkosításához hasonlóan – vagy megosztott kulcsot. A hitelesítési csere kiszolgálóoldala összehasonlítja az aláírt adatokat egy ismert titkosítási kulccsal a hitelesítési kísérlet ellenőrzéséhez.
A titkosítási kulcsok biztonságos központi helyen való tárolása skálázhatóvá és karbantarthatóvá teszi a hitelesítési folyamatot. Az Active Directory Domain Services az identitásadatok tárolásának ajánlott és alapértelmezett technológiája (beleértve a felhasználó hitelesítő adatait tartalmazó titkosítási kulcsokat is). Az alapértelmezett NTLM- és Kerberos-implementációkhoz Active Directory szükséges.
A hitelesítési technikák az egyszerű bejelentkezéstől kezdve a felhasználók azonosításán alapulnak, például egy jelszó alapján, és olyan hatékonyabb biztonsági mechanizmusokig, amelyek a felhasználó által használt valamit használnak – például jogkivonatokat, nyilvános kulcsú tanúsítványokat és biometrikus adatokat. Üzleti környezetben a szolgáltatások vagy a felhasználók több alkalmazást vagy erőforrást érhetnek el számos kiszolgálótípuson egyetlen helyen vagy több helyen. Ezen okok miatt a hitelesítésnek támogatnia kell más platformok és más Windows operációs rendszerek környezeteit.
A Windows operációs rendszer egy bővíthető architektúra részeként implementál egy alapértelmezett hitelesítési protokollkészletet, beleértve a Kerberos, az NTLM, a Transport Layer Security/Secure Sockets Layer (TLS/SSL) és a Digest protokollokat. Emellett egyes protokollok hitelesítési csomagokba is össze vannak osztva, például a Negotiate és a Hitelesítő adatok biztonsági támogatási szolgáltatója. Ezek a protokollok és csomagok lehetővé teszik a felhasználók, számítógépek és szolgáltatások hitelesítését; a hitelesítési folyamat lehetővé teszi a jogosult felhasználók és szolgáltatások számára, hogy biztonságos módon férhessenek hozzá az erőforrásokhoz.
További információ a Windows-hitelesítésről, beleértve a
Biztonsági támogatási szolgáltató felületének architektúrája
A Windows-hitelesítésben használt csoportházirend-beállítások
Tekintse meg a Windows-hitelesítés technikai áttekintését.
Gyakorlati alkalmazások
A Windows-hitelesítéssel ellenőrizhető, hogy az információk megbízható forrásból származnak-e, akár egy személytől, akár egy számítógépobjektumtól, például egy másik számítógéptől. A Windows számos különböző módszert kínál ennek a célnak az eléréséhez az alábbiakban leírtak szerint.
| To... | Feature | Description |
|---|---|---|
| Hitelesítés Active Directory-tartományon belül | Kerberos | A Microsoft Windows Server operációs rendszerek implementálják a Kerberos 5-ös verziójú hitelesítési protokollt és bővítményeket a nyilvános kulcsú hitelesítéshez. A Kerberos-hitelesítési ügyfél biztonsági támogatási szolgáltatóként (SSP) van implementálva, és az SSPI-n keresztül érhető el. A kezdeti felhasználói hitelesítés integrálva van a Winlogon egyszeri bejelentkezési architektúrájával. A Kerberos Key Distribution Center (KDC) integrálva van a tartományvezérlőn futó többi Windows Server biztonsági szolgáltatással. A KDC a tartomány Active Directory címtárszolgáltatás-adatbázisát használja biztonsági fiókadatbázisként. Az alapértelmezett Kerberos-implementációkhoz Active Directory szükséges. További forrásokért tekintse meg a Kerberos-hitelesítés áttekintését. |
| Biztonságos hitelesítés a weben | TLS/SSL a Schannel biztonsági támogatási szolgáltatóban implementálva | A Transport Layer Security (TLS) protokoll 1.0-s, 1.1-es és 1.2-es verziója, a Secure Sockets Layer (SSL) protokoll, a 2.0-s és a 3.0-s verzió, a Datagram Transport Layer Security protokoll 1.0-s verziója, valamint az 1.0-s verziójú Private Communications Transport (PCT) protokoll nyilvános kulcs titkosításán alapul. A Secure Channel (Schannel) szolgáltató hitelesítési protokollcsomagja biztosítja ezeket a protokollokat. Minden Schannel-protokoll ügyfél- és kiszolgálómodellt használ. További forrásokért tekintse meg a TLS – SSL (Schannel SSP) áttekintését. |
| Hitelesítés webszolgáltatásban vagy alkalmazásban | integrált Windows-hitelesítés | További forrásokért lásd az integrált Windows-hitelesítést. |
| Hitelesítés örökölt alkalmazásokban | NTLM | Az NTLM egy kihívás-válasz típusú hitelesítési protokoll. A hitelesítés mellett az NTLM protokoll opcionálisan biztosítja a munkamenet-biztonságot– különösen az üzenetek integritását és titkosságát az NTLM aláírási és zárolási funkcióival. További forrásokért tekintse meg az NTLM áttekintését. |
| Többtényezős hitelesítés használata | Intelligens kártya támogatása Biometrikus támogatás |
Az intelligens kártyák illetéktelen módosításokkal szembeni védelmet és hordozható megoldást nyújtanak olyan feladatokhoz, mint az ügyfélhitelesítés, a tartományokba való bejelentkezés, a kódaláírás és az e-mailek biztonságossá tétele. A biometrikus adatok a személy változatlan fizikai jellemzőinek mérésén alapulnak, hogy egyedileg azonosítsák az adott személyt. Az ujjlenyomatok a leggyakrabban használt biometrikus jellemzők egyike, több millió ujjlenyomatos biometrikus eszközzel, amelyek személyes számítógépekbe és perifériákba vannak beágyazva. További forrásokért lásd: Smart Card Technical Reference. |
| A hitelesítő adatok helyi felügyeletének, tárolásának és újrafelhasználásának biztosítása | Hitelesítő adatok kezelése Helyi biztonsági hatóság Passwords |
A Hitelesítő adatok kezelése a Windowsban biztosítja a hitelesítő adatok biztonságos tárolását. A hitelesítő adatok összegyűjtése a Biztonságos asztalon (helyi vagy tartományi hozzáféréshez), alkalmazásokon vagy webhelyeken keresztül történik, hogy a megfelelő hitelesítő adatok jelenjenek meg minden alkalommal, amikor egy erőforráshoz hozzáférnek. |
| Modern hitelesítési védelem kiterjesztése örökölt rendszerekre | Kiterjesztett védelem hitelesítéshez | Ez a funkció javítja a hitelesítő adatok védelmét és kezelését a hálózati kapcsolatok integrált Windows-hitelesítéssel (IWA) történő hitelesítésekor. |
Szoftverkövetelmények
A Windows-hitelesítés úgy lett kialakítva, hogy kompatibilis legyen a Windows operációs rendszer korábbi verzióival. Az egyes kiadások fejlesztései azonban nem feltétlenül alkalmazhatók a korábbi verziókra. További információért tekintse meg az egyes funkciók dokumentációját.
A Kiszolgálókezelő adatai
Számos hitelesítési funkció konfigurálható csoportházirend használatával, amely a Server Managerrel telepíthető. A Windows Biometric Framework szolgáltatás a Server Managerrel van telepítve. Más, hitelesítési módszerektől függő kiszolgálói szerepkörök, például a Web Server (IIS) és az Active Directory Domain Services, a Kiszolgálókezelővel is telepíthetők.
Kapcsolódó erőforrások
| Hitelesítési technológiák | Resources |
|---|---|
| Windows authentication |
Windows-hitelesítés technikai áttekintése Olyan témaköröket tartalmaz, amelyek a verziók közötti különbségeket, az általános hitelesítési fogalmakat, a bejelentkezési forgatókönyveket, a támogatott verziók architektúráit és a vonatkozó beállításokat ismertetik. |
| Kerberos | Kerberos-hitelesítés áttekintése |
| TLS/SSL és DTLS (Schannel biztonsági támogatási szolgáltató) |
TLS – SSL (Schannel SSP) – áttekintés Schannel biztonsági támogatási szolgáltató – műszaki referencia |
| NTLM |
Az NTLM áttekintése Az aktuális és a korábbi erőforrásokra mutató hivatkozásokat tartalmaz |
| PKU2U | A PKU2U bemutatása a Windowsban |
| Intelligenskártya | Intelligens kártya – műszaki referencia |
| Credentials |
Hitelesítő adatok védelme és kezelése Az aktuális és a korábbi erőforrásokra mutató hivatkozásokat tartalmaz
Jelszavak áttekintése |