Proses Kredensial di Autentikasi Windows
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik referensi untuk profesional TI ini menjelaskan cara autentikasi Windows memproses kredensial.
Manajemen kredensial Windows adalah proses di mana sistem operasi menerima kredensial dari layanan atau pengguna dan mengamankan informasi tersebut untuk presentasi di masa mendatang ke target autentikasi. Dalam kasus komputer yang bergabung dengan domain, target autentikasi adalah pengendali domain. Kredensial yang digunakan dalam autentikasi adalah dokumen digital yang mengaitkan identitas pengguna ke beberapa bentuk bukti keaslian, seperti sertifikat, kata sandi, atau PIN.
Secara default, kredensial Windows divalidasi terhadap database Security Accounts Manager (SAM) di komputer lokal, atau terhadap Direktori Aktif pada komputer yang bergabung dengan domain, melalui layanan Winlogon. Kredensial dikumpulkan melalui input pengguna pada antarmuka pengguna masuk atau secara terprogram melalui antarmuka pemrograman aplikasi (API) untuk disajikan ke target autentikasi.
Informasi keamanan lokal disimpan dalam registri di bawah HKEY_LOCAL_MACHINE\SECURITY. Informasi tersimpan mencakup pengaturan kebijakan, nilai keamanan default, dan informasi akun, seperti kredensial masuk yang di-cache. Salinan database SAM juga disimpan di sini, meskipun dilindungi terhadap penulisan.
Diagram berikut menunjukkan komponen yang diperlukan dan jalur yang diambil kredensial melalui sistem untuk mengautentikasi pengguna atau proses untuk masuk yang berhasil.
Tabel berikut ini menjelaskan setiap komponen yang mengelola kredensial dalam proses autentikasi di titik masuk.
Komponen autentikasi untuk semua sistem
| Komponen | Deskripsi |
|---|---|
| Masuk pengguna | Winlogon.exe adalah file yang dapat dieksekusi yang bertanggung jawab untuk mengelola interaksi pengguna yang aman. Layanan Winlogon memulai proses masuk untuk sistem operasi Windows dengan meneruskan kredensial yang dikumpulkan oleh tindakan pengguna pada desktop aman (UI Masuk) ke Otoritas Keamanan Lokal (LSA) melalui Secur32.dll. |
| Masuk aplikasi | Logon aplikasi atau layanan yang tidak memerlukan masuk interaktif. Sebagian besar proses yang dimulai oleh pengguna berjalan dalam mode pengguna dengan menggunakan Secur32.dll sedangkan proses yang dimulai saat startup, seperti layanan, berjalan dalam mode kernel dengan menggunakan Ksecdd.sys. Untuk informasi selengkapnya tentang mode pengguna dan mode kernel, lihat Aplikasi dan Mode Pengguna atau Layanan dan Mode Kernel dalam topik ini. |
| Secur32.dll | Beberapa penyedia autentikasi yang membentuk fondasi proses autentikasi. |
| Lsasrv.dll | Layanan LSA Server, yang memberlakukan kebijakan keamanan dan bertindak sebagai manajer paket keamanan untuk LSA. LSA berisi fungsi Negosiasi, yang memilih protokol NTLM atau Kerberos setelah menentukan protokol mana yang akan berhasil. |
| Penyedia Dukungan Keamanan | Sekumpulan penyedia yang dapat secara individual memanggil satu atau beberapa protokol autentikasi. Set penyedia default dapat berubah dengan setiap versi sistem operasi Windows, dan penyedia kustom dapat ditulis. |
| Netlogon.dll | Layanan yang dilakukan layanan Net Logon adalah sebagai berikut: - Mempertahankan saluran aman komputer (tidak bingung dengan Schannel) ke pengendali domain. |
| Samsrv.dll | Security Accounts Manager (SAM), yang menyimpan akun keamanan lokal, memberlakukan kebijakan yang disimpan secara lokal dan mendukung API. |
| Registri | Registri berisi salinan database SAM, pengaturan kebijakan keamanan lokal, nilai keamanan default, dan informasi akun yang hanya dapat diakses oleh sistem. |
Topik ini berisi bagian berikut:
Input kredensial untuk masuk pengguna
Di Windows Server 2008 dan Windows Vista, arsitektur Identifikasi dan Autentikasi Grafis (GINA) diganti dengan model penyedia kredensial, yang memungkinkan untuk menghitung jenis masuk yang berbeda melalui penggunaan petak masuk. Kedua model dijelaskan di bawah ini.
Arsitektur Identifikasi dan Autentikasi Grafis
Arsitektur Identifikasi dan Autentikasi Grafis (GINA) berlaku untuk sistem operasi Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, dan Windows 2000 Professional. Dalam sistem ini, setiap sesi masuk interaktif membuat instans terpisah dari layanan Winlogon. Arsitektur GINA dimuat ke dalam ruang proses yang digunakan oleh Winlogon, menerima dan memproses kredensial, dan melakukan panggilan ke antarmuka autentikasi melalui LSALogonUser.
Instans Winlogon untuk proses masuk interaktif di Sesi 0. Sesi 0 menghosting layanan sistem dan proses penting lainnya, termasuk proses Otoritas Keamanan Lokal (LSA).
Diagram berikut menunjukkan proses kredensial untuk Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, dan Microsoft Windows 2000 Professional.
Arsitektur penyedia kredensial
Arsitektur penyedia kredensial berlaku untuk versi yang ditunjuk dalam daftar Berlaku Untuk di awal topik ini. Dalam sistem ini, arsitektur input info masuk berubah menjadi desain yang dapat diperluas dengan menggunakan penyedia kredensial. Penyedia ini diwakili oleh petak masuk yang berbeda di desktop aman yang mengizinkan sejumlah skenario masuk - akun yang berbeda untuk pengguna yang sama dan metode autentikasi yang berbeda, seperti kata sandi, kartu pintar, dan biometrik.
Dengan arsitektur penyedia info masuk, Winlogon selalu memulai UI Masuk setelah menerima peristiwa urutan perhatian yang aman. UI masuk mengkueri setiap penyedia kredensial untuk jumlah jenis kredensial yang berbeda yang dikonfigurasi penyedia untuk menghitung. Penyedia info masuk memiliki opsi untuk menentukan salah satu petak peta ini sebagai default. Setelah semua penyedia menghitung petak peta mereka, UI Masuk menampilkannya kepada pengguna. Pengguna berinteraksi dengan petak peta untuk memberikan kredensial mereka. UI masuk mengirimkan kredensial ini untuk autentikasi.
Penyedia kredensial bukan mekanisme penegakan. Mereka digunakan untuk mengumpulkan dan menserialisasikan kredensial. Otoritas Keamanan Lokal dan paket autentikasi memberlakukan keamanan.
Penyedia kredensial terdaftar di komputer dan bertanggung jawab atas hal-hal berikut:
Menjelaskan informasi kredensial yang diperlukan untuk autentikasi.
Menangani komunikasi dan logika dengan otoritas autentikasi eksternal.
Kredensial pengemasan untuk masuk interaktif dan jaringan.
Kredensial pengemasan untuk masuk interaktif dan jaringan mencakup proses serialisasi. Dengan menserialisasikan kredensial beberapa petak masuk dapat ditampilkan di UI masuk. Oleh karena itu, organisasi Anda dapat mengontrol tampilan masuk seperti pengguna, sistem target untuk masuk, akses pra-masuk ke jaringan dan kebijakan kunci/buka kunci stasiun kerja - melalui penggunaan penyedia kredensial yang disesuaikan. Beberapa penyedia kredensial dapat berada bersama di komputer yang sama.
Penyedia akses menyeluruh (SSO) dapat dikembangkan sebagai penyedia kredensial standar atau sebagai Penyedia Akses Pra-Masuk.
Setiap versi Windows berisi satu penyedia kredensial default dan satu Penyedia Akses Masuk (PLAP) default, juga dikenal sebagai penyedia SSO. Penyedia SSO mengizinkan pengguna untuk membuat koneksi ke jaringan sebelum masuk ke komputer lokal. Ketika penyedia ini diimplementasikan, penyedia tidak menghitung petak peta pada UI Masuk.
Penyedia SSO dimaksudkan untuk digunakan dalam skenario berikut:
Autentikasi jaringan dan masuk komputer ditangani oleh penyedia kredensial yang berbeda. Variasi untuk skenario ini meliputi:
Pengguna memiliki opsi untuk menyambungkan ke jaringan, seperti menyambungkan ke jaringan privat virtual (VPN), sebelum masuk ke komputer tetapi tidak diperlukan untuk membuat koneksi ini.
Autentikasi jaringan diperlukan untuk mengambil informasi yang digunakan selama autentikasi interaktif pada komputer lokal.
Beberapa autentikasi jaringan diikuti oleh salah satu skenario lainnya. Misalnya, pengguna mengautentikasi ke penyedia layanan Internet (ISP), mengautentikasi ke VPN, lalu menggunakan kredensial akun pengguna mereka untuk masuk secara lokal.
Kredensial yang di-cache dinonaktifkan, dan koneksi Layanan Access Jarak Jauh melalui VPN diperlukan sebelum masuk lokal untuk mengautentikasi pengguna.
Pengguna domain tidak memiliki akun lokal yang disiapkan di komputer yang bergabung dengan domain dan harus membuat koneksi Layanan Access Jarak Jauh melalui koneksi VPN sebelum menyelesaikan masuk interaktif.
Autentikasi jaringan dan masuk komputer ditangani oleh penyedia kredensial yang sama. Dalam skenario ini, pengguna diharuskan untuk tersambung ke jaringan sebelum masuk ke komputer.
Enumerasi petak masuk
Penyedia kredensial menghitung petak masuk dalam instans berikut:
Untuk sistem operasi yang ditunjuk dalam daftar Berlaku untuk di awal topik ini.
Penyedia info masuk menghitung petak peta untuk masuk stasiun kerja. Penyedia kredensial biasanya menserialisasikan kredensial untuk autentikasi ke otoritas keamanan lokal. Proses ini menampilkan petak peta khusus untuk setiap pengguna dan khusus untuk sistem target setiap pengguna.
Arsitektur masuk dan autentikasi memungkinkan pengguna menggunakan petak peta yang dijumlahkan oleh penyedia kredensial untuk membuka kunci stasiun kerja. Biasanya, pengguna yang saat ini masuk adalah petak peta default, tetapi jika lebih dari satu pengguna masuk, banyak petak peta ditampilkan.
Penyedia kredensial menghitung petak peta sebagai respons terhadap permintaan pengguna untuk mengubah kata sandi mereka atau informasi privat lainnya, seperti PIN. Biasanya, pengguna yang saat ini masuk adalah petak peta default; namun, jika lebih dari satu pengguna masuk, banyak petak peta ditampilkan.
Penyedia info masuk menghitung petak peta berdasarkan kredensial berseri yang akan digunakan untuk autentikasi pada komputer jarak jauh. Antarmuka pengguna kredensial tidak menggunakan instans penyedia yang sama dengan UI Masuk, Membuka Kunci Stasiun Kerja, atau Mengubah Kata Sandi. Oleh karena itu, informasi status tidak dapat dipertahankan di penyedia antara instans antarmuka pengguna Kredensial. Struktur ini menghasilkan satu petak peta untuk setiap log masuk komputer jarak jauh, dengan asumsi kredensial telah diserialisasikan dengan benar. Skenario ini juga digunakan dalam Kontrol Akun Pengguna (UAC), yang dapat membantu mencegah perubahan tidak sah pada komputer dengan meminta izin kepada pengguna atau kata sandi administrator sebelum mengizinkan tindakan yang berpotensi memengaruhi operasi komputer atau yang dapat mengubah pengaturan yang memengaruhi pengguna lain komputer.
Diagram berikut menunjukkan proses kredensial untuk sistem operasi yang ditunjuk dalam daftar Berlaku Untuk di awal topik ini.
Input kredensial untuk masuk aplikasi dan layanan
Autentikasi Windows dirancang untuk mengelola kredensial untuk aplikasi atau layanan yang tidak memerlukan interaksi pengguna. Aplikasi dalam mode pengguna terbatas dalam hal sumber daya sistem apa yang dapat mereka akses, sementara layanan dapat memiliki akses tak terbatas ke memori sistem dan perangkat eksternal.
Layanan sistem dan aplikasi tingkat transportasi mengakses Penyedia Dukungan Keamanan (SSP) melalui Antarmuka Penyedia Dukungan Keamanan (SSPI) di Windows, yang menyediakan fungsi untuk menghitung paket keamanan yang tersedia pada sistem, memilih paket, dan menggunakan paket tersebut untuk mendapatkan koneksi terautentikasi.
Saat koneksi klien/server diautentikasi:
Aplikasi di sisi klien koneksi mengirim kredensial ke server dengan menggunakan fungsi
InitializeSecurityContext (General)SSPI .Aplikasi di sisi server koneksi merespons dengan fungsi
AcceptSecurityContext (General)SSPI .Fungsi SSPI
InitializeSecurityContext (General)danAcceptSecurityContext (General)diulang hingga semua pesan autentikasi yang diperlukan telah ditukar dengan autentikasi berhasil atau gagal.Setelah koneksi diautentikasi, LSA di server menggunakan informasi dari klien untuk membangun konteks keamanan, yang berisi token akses.
Server kemudian dapat memanggil fungsi
ImpersonateSecurityContextSSPI untuk melampirkan token akses ke utas peniruan untuk layanan.
Aplikasi dan mode pengguna
Mode pengguna di Windows terdiri dari dua sistem yang mampu meneruskan permintaan I/O ke driver mode kernel yang sesuai: sistem lingkungan, yang menjalankan aplikasi yang ditulis untuk berbagai jenis sistem operasi, dan sistem integral, yang mengoperasikan fungsi khusus sistem atas nama sistem lingkungan.
Sistem integral mengelola fungsi khusus sistem operasi atas nama sistem lingkungan dan terdiri dari proses sistem keamanan (LSA), layanan stasiun kerja, dan layanan server. Proses sistem keamanan menangani token keamanan, memberikan atau menolak izin untuk mengakses akun pengguna berdasarkan izin sumber daya, menangani permintaan masuk dan memulai autentikasi masuk, dan menentukan sumber daya sistem mana yang perlu diaudit sistem operasi.
Aplikasi dapat berjalan dalam mode pengguna di mana aplikasi dapat berjalan sebagai prinsipal apa pun, termasuk dalam konteks keamanan Sistem Lokal (SISTEM). Aplikasi juga dapat berjalan dalam mode kernel di mana aplikasi dapat berjalan dalam konteks keamanan Sistem Lokal (SYSTEM).
SSPI tersedia melalui modul Secur32.dll, yang merupakan API yang digunakan untuk mendapatkan layanan keamanan terintegrasi untuk autentikasi, integritas pesan, dan privasi pesan. Ini menyediakan lapisan abstraksi antara protokol tingkat aplikasi dan protokol keamanan. Karena aplikasi yang berbeda memerlukan cara yang berbeda untuk mengidentifikasi atau mengautentikasi pengguna dan berbagai cara mengenkripsi data saat bepergian di seluruh jaringan, SSPI menyediakan cara untuk mengakses pustaka tautan dinamis (DLL) yang berisi fungsi autentikasi dan kriptografi yang berbeda. DLL ini disebut Penyedia Dukungan Keamanan (SSP).
Akun layanan terkelola dan akun virtual diperkenalkan di Windows Server 2008 R2 dan Windows 7 untuk menyediakan aplikasi penting, seperti Microsoft SQL Server dan Layanan Informasi Internet (IIS), dengan isolasi akun domain mereka sendiri, sekaligus menghilangkan kebutuhan administrator untuk mengelola nama perwakilan layanan (SPN) dan kredensial secara manual untuk akun ini. Untuk informasi selengkapnya tentang fitur ini dan perannya dalam autentikasi, lihat Dokumentasi Akun Layanan Terkelola untuk Windows 7 dan Windows Server 2008 R2 dan Gambaran Umum Akun Layanan Terkelola Grup.
Layanan dan mode kernel
Meskipun sebagian besar aplikasi Windows berjalan dalam konteks keamanan pengguna yang memulainya, ini tidak benar tentang layanan. Banyak layanan Windows, seperti layanan jaringan dan pencetakan, dimulai oleh pengontrol layanan ketika pengguna memulai komputer. Layanan ini mungkin berjalan sebagai Layanan Lokal atau Sistem Lokal dan mungkin terus berjalan setelah pengguna manusia terakhir keluar.
Catatan
Layanan biasanya berjalan dalam konteks keamanan yang dikenal sebagai Sistem Lokal (SYSTEM), Layanan Jaringan, atau Layanan Lokal. Windows Server 2008 R2 memperkenalkan layanan yang berjalan di bawah akun layanan terkelola, yang merupakan prinsipal domain.
Sebelum memulai layanan, pengontrol layanan masuk dengan menggunakan akun yang ditunjuk untuk layanan, lalu menyajikan kredensial layanan untuk autentikasi oleh LSA. Layanan Windows menerapkan antarmuka terprogram yang dapat digunakan manajer pengontrol layanan untuk mengontrol layanan. Layanan Windows dapat dimulai secara otomatis ketika sistem dimulai atau secara manual dengan program kontrol layanan. Misalnya, ketika komputer klien Windows bergabung dengan domain, layanan messenger di komputer terhubung ke pengendali domain dan membuka saluran aman untuk itu. Untuk mendapatkan koneksi terautentikasi, layanan harus memiliki kredensial yang dipercaya oleh Otoritas Keamanan Lokal (LSA) komputer jarak jauh. Saat berkomunikasi dengan komputer lain dalam jaringan, LSA menggunakan kredensial untuk akun domain komputer lokal, seperti halnya semua layanan lain yang berjalan dalam konteks keamanan Sistem Lokal dan Layanan Jaringan. Layanan pada komputer lokal berjalan sebagai SISTEM sehingga kredensial tidak perlu disajikan ke LSA.
File Ksecdd.sys mengelola dan mengenkripsi kredensial ini dan menggunakan panggilan prosedur lokal ke LSA. Jenis file adalah DRV (driver) dan dikenal sebagai Penyedia Dukungan Keamanan (SSP) mode kernel dan, dalam versi yang ditunjuk dalam daftar Berlaku Untuk di awal topik ini, mematuhi FIPS 140-2 Tingkat 1.
Mode kernel memiliki akses penuh ke perangkat keras dan sumber daya sistem komputer. Mode kernel menghentikan layanan dan aplikasi mode pengguna mengakses area penting dari sistem operasi yang tidak boleh mereka akses.
Otoritas Keamanan Lokal
Otoritas Keamanan Lokal (LSA) adalah proses sistem terlindungi yang mengautentikasi dan mencatat pengguna ke komputer lokal. Selain itu, LSA mempertahankan informasi tentang semua aspek keamanan lokal di komputer (aspek-aspek ini secara kolektif dikenal sebagai kebijakan keamanan lokal), dan menyediakan berbagai layanan untuk terjemahan antara nama dan pengidentifikasi keamanan (SID). Proses sistem keamanan, Local Security Authority Server Service (LSASS), melacak kebijakan keamanan dan akun yang berlaku pada sistem komputer.
LSA memvalidasi identitas pengguna berdasarkan dari dua entitas berikut yang mengeluarkan akun pengguna:
Otoritas Keamanan Lokal. LSA dapat memvalidasi informasi pengguna dengan memeriksa database Security Accounts Manager (SAM) yang terletak di komputer yang sama. Stasiun kerja atau server anggota apa pun dapat menyimpan akun pengguna lokal dan informasi tentang grup lokal. Namun, akun-akun ini hanya dapat digunakan untuk mengakses stasiun kerja atau komputer tersebut.
Otoritas keamanan untuk domain lokal atau untuk domain tepercaya. LSA menghubungi entitas yang mengeluarkan akun dan meminta verifikasi bahwa akun tersebut valid dan bahwa permintaan berasal dari pemegang akun.
Layanan Subsistem Otoritas Keamanan Lokal (LSASS) menyimpan kredensial dalam memori atas nama pengguna dengan sesi Windows aktif. Kredensial tersimpan memungkinkan pengguna mengakses sumber daya jaringan dengan mulus, seperti berbagi file, Server Exchange kotak surat, dan situs SharePoint, tanpa memasukkan kembali kredensial mereka untuk setiap layanan jarak jauh.
LSASS dapat menyimpan kredensial dalam beberapa bentuk, termasuk:
Teks biasa terenkripsi balik
Tiket Kerberos (tiket pemberian tiket (TGT), tiket layanan)
Hash NT
Hash Lan Manager (LM)
Jika pengguna masuk ke Windows dengan menggunakan kartu pintar, LSASS tidak menyimpan kata sandi teks biasa, tetapi menyimpan nilai hash NT yang sesuai untuk akun dan PIN teks biasa untuk kartu pintar. Jika atribut akun diaktifkan untuk kartu pintar yang diperlukan untuk masuk interaktif, nilai hash NT acak secara otomatis dihasilkan untuk akun, bukan hash kata sandi asli. Hash kata sandi yang dibuat secara otomatis ketika atribut diatur tidak berubah.
Jika pengguna masuk ke komputer berbasis Windows dengan kata sandi yang kompatibel dengan hash LAN Manager (LM), pengautentikasi ini ada dalam memori.
Penyimpanan kredensial teks biasa dalam memori tidak dapat dinonaktifkan, bahkan jika penyedia kredensial yang mengharuskannya dinonaktifkan.
Kredensial yang disimpan secara langsung dikaitkan dengan sesi masuk Local Security Authority Subsystem Service (LSASS) yang telah dimulai setelah mulai ulang terakhir dan belum ditutup. Misalnya, sesi LSA dengan kredensial LSA tersimpan dibuat saat pengguna melakukan salah satu hal berikut:
Log masuk ke sesi lokal atau sesi Protokol Desktop Jauh (RDP) pada komputer
Menjalankan tugas dengan menggunakan opsi RunAs
Menjalankan layanan Windows aktif pada komputer
Menjalankan tugas terjadwal atau tugas batch
Menjalankan tugas di komputer lokal dengan menggunakan alat administrasi jarak jauh
Dalam beberapa keadaan, rahasia LSA, yang merupakan bagian rahasia data yang hanya dapat diakses oleh proses akun SYSTEM, disimpan di hard disk drive. Beberapa rahasia ini adalah kredensial yang harus bertahan setelah boot ulang, dan disimpan dalam bentuk terenkripsi pada hard disk drive. Kredensial yang disimpan sebagai rahasia LSA mungkin meliputi:
Kata sandi akun untuk akun Active Directory Domain Services (AD DS) komputer
Kata sandi akun untuk layanan Windows yang dikonfigurasi pada komputer
Kata sandi akun untuk tugas terjadwal yang dikonfigurasi
Kata sandi akun untuk kumpulan aplikasi dan situs web IIS
Kata sandi untuk akun Microsoft
Diperkenalkan di Windows 8.1, sistem operasi klien memberikan perlindungan tambahan bagi LSA untuk mencegah pembacaan memori dan injeksi kode oleh proses yang tidak dilindungi. Perlindungan ini meningkatkan keamanan untuk kredensial yang disimpan dan dikelola LSA.
Untuk informasi selengkapnya tentang perlindungan tambahan ini, lihat Mengonfigurasi Perlindungan LSA Tambahan.
Kredensial dan validasi yang di-cache
Mekanisme validasi mengandalkan presentasi kredensial pada saat masuk. Namun, ketika komputer terputus dari pengendali domain, dan pengguna menyajikan kredensial domain, Windows menggunakan proses kredensial yang di-cache dalam mekanisme validasi.
Setiap kali pengguna masuk ke domain, Windows menyimpan kredensial yang disediakan dan menyimpannya di sarang keamanan di registri sistem operasi.
Dengan kredensial yang di-cache, pengguna dapat masuk ke anggota domain tanpa tersambung ke pengendali domain dalam domain tersebut.
Penyimpanan dan validasi kredensial
Tidak selalu diinginkan untuk menggunakan satu set kredensial untuk akses ke sumber daya yang berbeda. Misalnya, administrator mungkin ingin menggunakan administratif daripada kredensial pengguna saat mengakses server jarak jauh. Demikian pula, jika pengguna mengakses sumber daya eksternal, seperti rekening bank, dia hanya dapat menggunakan kredensial yang berbeda dari kredensial domain mereka. Bagian berikut menjelaskan perbedaan manajemen kredensial antara versi sistem operasi Windows saat ini dan sistem operasi Windows Vista dan Windows XP.
Proses kredensial masuk jarak jauh
Protokol Desktop Jarak Jauh (RDP) mengelola kredensial pengguna yang tersambung ke komputer jarak jauh dengan menggunakan Klien Desktop Jauh, yang diperkenalkan di Windows 8. Info masuk dalam formulir teks biasa dikirim ke host target tempat host mencoba melakukan proses autentikasi, dan, jika berhasil, menghubungkan pengguna ke sumber daya yang diizinkan. RDP tidak menyimpan kredensial pada klien, tetapi kredensial domain pengguna disimpan di LSASS.
Diperkenalkan di Windows Server 2012 R2 dan Windows 8.1, mode Admin Terbatas memberikan keamanan tambahan untuk skenario masuk jarak jauh. Mode Desktop Jauh ini menyebabkan aplikasi klien melakukan respons tantangan masuk jaringan dengan fungsi satu arah NT (NTOWF) atau menggunakan tiket layanan Kerberos saat mengautentikasi ke host jarak jauh. Setelah administrator diautentikasi, administrator tidak memiliki info masuk akun masing-masing di LSASS karena tidak disediakan ke host jarak jauh. Sebagai gantinya, administrator memiliki kredensial akun komputer untuk sesi tersebut. Info masuk administrator tidak disediakan ke host jarak jauh, sehingga tindakan dilakukan sebagai akun komputer. Sumber daya juga terbatas pada akun komputer, dan administrator tidak dapat mengakses sumber daya dengan akunnya sendiri.
Proses info masuk mulai ulang otomatis
Saat pengguna masuk di perangkat Windows 8.1, LSA menyimpan kredensial pengguna dalam memori terenkripsi yang hanya dapat diakses oleh LSASS.exe. Ketika Windows Update memulai hidupkan ulang otomatis tanpa kehadiran pengguna, kredensial ini digunakan untuk mengonfigurasi Autologon untuk pengguna.
Saat menghidupkan ulang, pengguna secara otomatis masuk melalui mekanisme Autologon, lalu komputer juga dikunci untuk melindungi sesi pengguna. Penguncian dimulai melalui Winlogon sedangkan manajemen kredensial dilakukan oleh LSA. Dengan secara otomatis masuk dan mengunci sesi pengguna di konsol, aplikasi layar kunci pengguna dimulai ulang dan tersedia.
Untuk informasi selengkapnya tentang ARSO, lihat Winlogon Automatic Restart Sign-On (ARSO).
Nama pengguna dan kata sandi tersimpan di Windows Vista dan Windows XP
Di Windows Server 2008 , Windows Server 2003, Windows Vista, dan Windows XP, Nama Pengguna dan Kata Sandi Tersimpan di Panel Kontrol menyederhanakan manajemen dan penggunaan beberapa set kredensial masuk, termasuk sertifikat X.509 yang digunakan dengan kartu pintar dan kredensial Windows Live (sekarang disebut akun Microsoft). Kredensial - bagian dari profil pengguna - disimpan hingga diperlukan. Tindakan ini dapat meningkatkan keamanan per sumber daya dengan memastikan bahwa jika satu kata sandi disusupi, tindakan ini tidak membahayakan semua keamanan.
Setelah pengguna masuk dan mencoba mengakses sumber daya tambahan yang dilindungi kata sandi, seperti berbagi di server, dan jika kredensial masuk default pengguna tidak cukup untuk mendapatkan akses, Nama Pengguna dan Kata Sandi Tersimpan akan dikueri. Jika info masuk alternatif dengan informasi masuk yang benar telah disimpan di Nama Pengguna dan Kata Sandi Tersimpan, kredensial ini digunakan untuk mendapatkan akses. Jika tidak, pengguna diminta untuk memberikan kredensial baru, yang kemudian dapat disimpan untuk digunakan kembali, baik nanti di sesi masuk atau selama sesi berikutnya.
Pembatasan berikut berlaku:
Jika Nama Pengguna dan Kata Sandi Tersimpan berisi kredensial yang tidak valid atau salah untuk sumber daya tertentu, akses ke sumber daya ditolak, dan kotak dialog Nama Pengguna dan Kata Sandi Tersimpan tidak muncul.
Nama Pengguna dan Kata Sandi Tersimpan menyimpan kredensial hanya untuk autentikasi NTLM, protokol Kerberos, akun Microsoft (sebelumnya Windows Live ID), dan Secure Sockets Layer (SSL). Beberapa versi Internet Explorer mempertahankan cache mereka sendiri untuk autentikasi dasar.
Kredensial ini menjadi bagian terenkripsi dari profil lokal pengguna di direktori \Documents and Pengaturan\Username\Application Data\Microsoft\Credentials. Akibatnya, kredensial ini dapat menjelajah dengan pengguna jika kebijakan jaringan pengguna mendukung Profil Pengguna Roaming. Namun, jika pengguna memiliki salinan Nama Pengguna dan Kata Sandi Tersimpan di dua komputer yang berbeda dan mengubah kredensial yang terkait dengan sumber daya di salah satu komputer ini, perubahan tidak disebarkan ke Nama Pengguna dan Kata Sandi Tersimpan di komputer kedua.
Windows Vault dan Manajer Kredensial
Pengelola Kredensial diperkenalkan di Windows Server 2008 R2 dan Windows 7 sebagai fitur Panel Kontrol untuk menyimpan dan mengelola nama pengguna dan kata sandi. Pengelola Kredensial memungkinkan pengguna menyimpan kredensial yang relevan dengan sistem dan situs web lain di Windows Vault yang aman. Beberapa versi Internet Explorer menggunakan fitur ini untuk autentikasi ke situs web.
Manajemen kredensial dengan menggunakan Pengelola Kredensial dikontrol oleh pengguna di komputer lokal. Pengguna dapat menyimpan dan menyimpan kredensial dari browser dan aplikasi Windows yang didukung untuk membuatnya nyaman ketika mereka perlu masuk ke sumber daya ini. Kredensial disimpan dalam folder terenkripsi khusus di komputer di bawah profil pengguna. Aplikasi yang mendukung fitur ini (melalui penggunaan API Pengelola Kredensial), seperti browser web dan aplikasi, dapat menyajikan kredensial yang benar ke komputer dan situs web lain selama proses masuk.
Saat situs web, aplikasi, atau komputer lain meminta autentikasi melalui NTLM atau protokol Kerberos, kotak dialog muncul di mana Anda memilih kotak centang Perbarui Kredensial Default atau Simpan Kata Sandi . Kotak dialog ini yang memungkinkan pengguna menyimpan kredensial secara lokal dihasilkan oleh aplikasi yang mendukung API Pengelola Kredensial. Jika pengguna memilih kotak centang Simpan Kata Sandi , Pengelola Kredensial melacak nama pengguna, kata sandi, dan informasi terkait pengguna untuk layanan autentikasi yang sedang digunakan.
Lain kali layanan digunakan, Credential Manager secara otomatis menyediakan kredensial yang disimpan di Vault Windows. Jika tidak diterima, pengguna akan dimintai informasi akses yang benar. Jika akses diberikan dengan kredensial baru, Credential Manager menimpa kredensial sebelumnya dengan yang baru lalu menyimpan kredensial baru di Windows Vault.
Database Manajer Akun Keamanan
Security Accounts Manager (SAM) adalah database yang menyimpan akun dan grup pengguna lokal. Ini ada di setiap sistem operasi Windows; namun, ketika komputer bergabung ke domain, Direktori Aktif mengelola akun domain di domain Direktori Aktif.
Misalnya, komputer klien yang menjalankan sistem operasi Windows berpartisipasi dalam domain jaringan dengan berkomunikasi dengan pengendali domain bahkan ketika tidak ada pengguna manusia yang masuk. Untuk memulai komunikasi, komputer harus memiliki akun aktif di domain. Sebelum menerima komunikasi dari komputer, LSA pada pengendali domain mengautentikasi identitas komputer dan kemudian membangun konteks keamanan komputer seperti halnya untuk prinsip keamanan manusia. Konteks keamanan ini mendefinisikan identitas dan kemampuan pengguna atau layanan pada komputer tertentu atau pengguna, layanan, atau komputer pada jaringan. Misalnya, token akses yang terkandung dalam konteks keamanan menentukan sumber daya (seperti berbagi file atau printer) yang dapat diakses dan tindakan (seperti Baca, Tulis, atau Ubah) yang dapat dilakukan oleh prinsipal tersebut - pengguna, komputer, atau layanan pada sumber daya tersebut.
Konteks keamanan pengguna atau komputer dapat bervariasi dari satu komputer ke komputer lain, seperti ketika pengguna masuk ke server atau stasiun kerja selain stasiun kerja utama pengguna sendiri. Ini juga dapat bervariasi dari satu sesi ke sesi lainnya, seperti ketika administrator memodifikasi hak dan izin pengguna. Selain itu, konteks keamanan biasanya berbeda ketika pengguna atau komputer beroperasi secara mandiri, dalam jaringan, atau sebagai bagian dari domain Direktori Aktif.
Domain lokal dan domain tepercaya
Ketika kepercayaan ada di antara dua domain, mekanisme autentikasi untuk setiap domain mengandalkan validitas autentikasi yang berasal dari domain lain. Kepercayaan membantu menyediakan akses terkontrol ke sumber daya bersama di domain sumber daya (domain kepercayaan) dengan memverifikasi bahwa permintaan autentikasi masuk berasal dari otoritas tepercaya (domain tepercaya). Dengan cara ini, kepercayaan bertindak sebagai jembatan yang hanya memungkinkan permintaan autentikasi yang divalidasi melakukan perjalanan antar domain.
Bagaimana kepercayaan tertentu meneruskan permintaan autentikasi bergantung pada bagaimana kepercayaan tersebut dikonfigurasi. Hubungan kepercayaan bisa satu arah, dengan menyediakan akses dari domain tepercaya ke sumber daya di domain tepercaya, atau dua arah, dengan menyediakan akses dari setiap domain ke sumber daya di domain lain. Kepercayaan juga nontransitif, dalam hal ini kepercayaan hanya ada di antara dua domain mitra kepercayaan, atau transitif, dalam hal ini kepercayaan secara otomatis meluas ke domain lain yang dipercaya oleh salah satu mitra.
Untuk informasi tentang hubungan kepercayaan domain dan hutan mengenai autentikasi, lihat Autentikasi yang Didelegasikan dan Hubungan Kepercayaan.
Sertifikat dalam autentikasi Windows
Infrastruktur kunci publik (PKI) adalah kombinasi perangkat lunak, teknologi enkripsi, proses, dan layanan yang memungkinkan organisasi untuk mengamankan komunikasi dan transaksi bisnisnya. Kemampuan PKI untuk mengamankan komunikasi dan transaksi bisnis didasarkan pada pertukaran sertifikat digital antara pengguna terautentikasi dan sumber daya tepercaya.
Sertifikat digital adalah dokumen elektronik yang berisi informasi tentang entitas miliknya, entitas yang dikeluarkan oleh, nomor seri unik atau beberapa identifikasi unik lainnya, tanggal penerbitan dan kedaluwarsa, dan sidik jari digital.
Autentikasi adalah proses penentuan apakah host jarak jauh dapat dipercaya. Untuk membangun kepercayaannya, host jarak jauh harus menyediakan sertifikat autentikasi yang dapat diterima.
Host jarak jauh membangun kepercayaan mereka dengan mendapatkan sertifikat dari otoritas sertifikasi (CA). CA dapat, pada gilirannya, memiliki sertifikasi dari otoritas yang lebih tinggi, yang menciptakan rantai kepercayaan. Untuk menentukan apakah sertifikat dapat dipercaya, aplikasi harus menentukan identitas OS akar, lalu menentukan apakah sertifikat tersebut dapat dipercaya.
Demikian pula, host jarak jauh atau komputer lokal harus menentukan apakah sertifikat yang disajikan oleh pengguna atau aplikasi autentik. Sertifikat yang disajikan oleh pengguna melalui LSA dan SSPI dievaluasi untuk keaslian pada komputer lokal untuk masuk lokal, di jaringan, atau di domain melalui penyimpanan sertifikat di Direktori Aktif.
Untuk menghasilkan sertifikat, data autentikasi melewati algoritma hash, seperti Secure Hash Algorithm 1 (SHA1), untuk menghasilkan hash pesan. Hash pesan kemudian ditandatangani secara digital dengan menggunakan kunci privat pengirim untuk membuktikan bahwa hash pesan diproduksi oleh pengirim.
Catatan
SHA1 adalah default di Windows 7 dan Windows Vista, tetapi diubah menjadi SHA2 di Windows 8.
Autentikasi kartu pintar
Teknologi kartu pintar adalah contoh autentikasi berbasis sertifikat. Masuk ke jaringan dengan kartu pintar menyediakan bentuk autentikasi yang kuat karena menggunakan identifikasi berbasis kriptografi dan bukti kepemilikan saat mengautentikasi pengguna ke domain. Active Directory Certificate Services (AD CS) menyediakan identifikasi berbasis kriptografi melalui penerbitan sertifikat masuk untuk setiap kartu pintar.
Untuk informasi tentang autentikasi kartu pintar, lihat Referensi Teknis Windows Smart Card.
Teknologi kartu pintar virtual diperkenalkan di Windows 8. Ini menyimpan sertifikat kartu pintar di PC, dan kemudian melindunginya dengan menggunakan chip keamanan Trusted Platform Module (TPM) tahan perubahan perangkat. Dengan cara ini, PC benar-benar menjadi kartu pintar yang harus menerima PIN pengguna agar dapat diautentikasi.
Autentikasi jarak jauh dan nirkabel
Autentikasi jaringan jarak jauh dan nirkabel adalah teknologi lain yang menggunakan sertifikat untuk autentikasi. Layanan Autentikasi Internet (IAS) dan server jaringan privat virtual menggunakan Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), atau Internet Protocol security (IPsec) untuk melakukan autentikasi berbasis sertifikat untuk berbagai jenis akses jaringan, termasuk jaringan privat virtual (VPN) dan koneksi nirkabel.
Untuk informasi tentang autentikasi berbasis sertifikat dalam jaringan, lihat Autentikasi akses jaringan dan sertifikat.