Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Autentikasi Windows adalah landasan akses aman di lingkungan perusahaan, memungkinkan pengguna dan layanan berinteraksi dengan sistem sambil melindungi informasi sensitif. Artikel ini memberi para profesional TI gambaran umum komprehensif tentang bagaimana Windows memproses kredensial selama autentikasi. Ini mencakup komponen utama, mekanisme, dan arsitektur yang terlibat dalam manajemen kredensial, validasi, dan penyimpanan, memastikan pemahaman yang jelas tentang proses autentikasi di berbagai sistem operasi Windows.
Secara khusus, komponen-komponen ini tercakup:
Gambaran umum autentikasi kredensial Windows
Manajemen kredensial Windows adalah proses di mana sistem operasi menerima kredensial dari layanan atau pengguna dan mengamankan informasi tersebut untuk presentasi di masa mendatang ke target autentikasi. Jika komputer bergabung dengan domain, target autentikasi adalah pengendali domain. Kredensial yang digunakan dalam autentikasi adalah dokumen digital yang mengaitkan identitas pengguna ke beberapa bentuk bukti keaslian, seperti sertifikat, kata sandi, atau PIN.
Secara default, kredensial Windows divalidasi terhadap database Security Accounts Manager (SAM) di komputer lokal, atau terhadap Direktori Aktif pada komputer yang bergabung dengan domain, melalui layanan Winlogon. Kredensial dikumpulkan melalui input pengguna pada antarmuka pengguna masuk atau secara terprogram melalui antarmuka pemrograman aplikasi (API) untuk disajikan ke target autentikasi.
Informasi keamanan lokal disimpan dalam registri di bawah HKEY_LOCAL_MACHINE\SECURITY. Informasi tersimpan mencakup pengaturan kebijakan, nilai keamanan default, dan informasi akun, seperti kredensial masuk yang di-cache. Salinan database SAM juga disimpan di sini, meskipun dilindungi agar tidak dapat ditulis.
Diagram berikut menunjukkan komponen yang diperlukan dan jalur yang diambil kredensial melalui sistem untuk mengautentikasi pengguna atau proses untuk masuk yang berhasil.
Tabel berikut menjelaskan setiap komponen yang mengelola kredensial dalam proses autentikasi di titik masuk untuk semua sistem.
| Komponen | Deskripsi |
|---|---|
| Masuk pengguna | Winlogon.exe adalah file yang dapat dieksekusi yang bertanggung jawab untuk mengelola interaksi pengguna yang aman. Layanan Winlogon memulai proses masuk untuk sistem operasi Windows dengan meneruskan kredensial yang dikumpulkan oleh tindakan pengguna pada desktop aman (UI Masuk) ke Otoritas Keamanan Lokal (LSA) melalui secur32.dll. |
| Masuk aplikasi | Logon aplikasi atau layanan yang tidak memerlukan masuk interaktif. Sebagian besar proses yang dimulai oleh pengguna berjalan dalam mode pengguna dengan menggunakan secur32.dll sedangkan proses yang dimulai saat startup, seperti layanan, berjalan dalam mode kernel dengan menggunakan Ksecdd.sys.Untuk informasi selengkapnya tentang mode pengguna dan mode kernel, lihat Aplikasi dan Mode Pengguna atau Layanan dan Mode Kernel. |
secur32.dll |
Beberapa penyedia autentikasi yang membentuk fondasi proses autentikasi. |
lsasrv.dll |
Layanan LSA Server, yang memberlakukan kebijakan keamanan dan bertindak sebagai manajer paket keamanan untuk LSA. LSA berisi fungsi Negosiasi, yang memilih protokol NTLM atau Kerberos setelah menentukan protokol mana yang akan berhasil. |
| Penyedia Dukungan Keamanan | Sekumpulan penyedia yang dapat secara individual memanggil satu atau beberapa protokol autentikasi. Set penyedia default dapat berubah dengan setiap versi sistem operasi Windows, dan penyedia kustom dapat ditulis. |
netlogon.dll |
Layanan yang dilakukan layanan Net Logon adalah sebagai berikut:
|
samsrv.dll |
Security Accounts Manager (SAM), yang menyimpan akun keamanan lokal, memberlakukan kebijakan yang disimpan secara lokal dan mendukung API. |
| Registri | Registri berisi salinan database SAM, pengaturan kebijakan keamanan lokal, nilai keamanan default, dan informasi akun yang hanya dapat diakses oleh sistem. |
Input kredensial untuk masuk pengguna
Arsitektur penyedia info masuk, yang diperkenalkan di Windows Server 2008, adalah mekanisme utama untuk mengumpulkan kredensial pengguna selama masuk. Ini memungkinkan cara yang fleksibel dan dapat diperluas untuk mengumpulkan kredensial dari pengguna, seperti kata sandi, kartu pintar, atau biometrik. Arsitektur penyedia kredensial menggantikan arsitektur Identifikasi dan Autentikasi Grafis (GINA) yang lebih lama yang digunakan dalam versi Windows sebelumnya.
Untuk mempelajari tentang arsitektur Identifikasi dan Autentikasi Grafis (GINA) di versi Windows yang lebih lama, perluas bagian ini.
Arsitektur Identifikasi dan Autentikasi Grafis (GINA) berlaku untuk sistem operasi Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, dan Windows 2000 Professional. Dalam sistem ini, setiap sesi masuk interaktif membuat instans terpisah dari layanan Winlogon. Arsitektur GINA dimuat ke dalam ruang proses yang digunakan oleh Winlogon, menerima dan memproses kredensial, dan melakukan panggilan ke antarmuka autentikasi melalui LSALogonUser.
Instans Winlogon untuk proses masuk interaktif di Sesi 0. Sesi 0 menghosting layanan sistem dan proses penting lainnya, termasuk proses Otoritas Keamanan Lokal (LSA).
Diagram berikut menunjukkan proses kredensial untuk Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, dan Microsoft Windows 2000 Professional.
Arsitektur penyedia kredensial
Arsitektur penyedia kredensial menggunakan desain yang dapat diperluas dengan menggunakan penyedia kredensial. Petak masuk yang berbeda mewakili penyedia ini di desktop aman yang mengizinkan sejumlah skenario masuk, termasuk akun yang berbeda untuk pengguna yang sama dan metode autentikasi yang berbeda, seperti kata sandi, kartu pintar, dan biometrik.
Diagram berikut menunjukkan proses kredensial untuk arsitektur penyedia kredensial:
Winlogon selalu memulai proses Logon UI setelah menerima peristiwa urutan perhatian aman. UI masuk mengkueri setiap penyedia kredensial untuk jumlah jenis kredensial yang berbeda yang dikonfigurasi penyedia untuk menghitung. Penyedia info masuk memiliki opsi untuk menentukan salah satu petak peta ini sebagai default. Setelah semua penyedia menghitung petak peta mereka, UI Masuk menampilkannya kepada pengguna. Pengguna berinteraksi dengan petak peta untuk memberikan kredensial mereka. UI masuk mengirimkan kredensial ini untuk autentikasi.
Penyedia kredensial bukan mekanisme penegakan; mereka digunakan untuk mengumpulkan dan menserialisasikan kredensial. Otoritas Keamanan Lokal dan paket autentikasi memberlakukan keamanan.
Penyedia kredensial terdaftar di komputer dan bertanggung jawab atas tugas-tugas berikut:
Menjelaskan informasi kredensial yang diperlukan untuk autentikasi.
Menangani komunikasi dan logika dengan otoritas autentikasi eksternal.
Kredensial pengemasan untuk masuk interaktif dan jaringan.
Kredensial pengemasan untuk masuk interaktif dan jaringan mencakup proses serialisasi. Dengan menserialisasikan kredensial, beberapa petak peta masuk dapat ditampilkan kepada pengguna. Oleh karena itu, organisasi Anda dapat mengontrol tampilan masuk seperti pengguna, sistem target untuk masuk, akses pra-masuk ke jaringan dan kebijakan kunci/buka kunci stasiun kerja, dengan menggunakan penyedia kredensial yang disesuaikan. Beberapa penyedia kredensial dapat hidup berdampingan di komputer yang sama. Penyedia Single Sign-On (SSO) dapat dikembangkan sebagai penyedia kredensial standar atau sebagai Pre-Logon Access Provider (PLAP).
Setiap versi Windows berisi satu penyedia kredensial default dan satu Penyedia Akses Pra-Masuk default, juga dikenal sebagai penyedia SSO. Penyedia SSO mengizinkan pengguna untuk membuat koneksi ke jaringan sebelum masuk ke komputer lokal. Ketika penyedia ini diterapkan, penyedia tidak menghitung tile pada antarmuka log masuk.
Penyedia SSO dimaksudkan untuk digunakan dalam skenario berikut:
Autentikasi jaringan dan masuk komputer ditangani oleh penyedia kredensial yang berbeda, termasuk variasi berikut untuk skenario ini:
Pengguna memiliki opsi untuk menyambungkan ke jaringan, seperti menyambungkan ke jaringan privat virtual (VPN), sebelum masuk ke komputer tetapi tidak diperlukan untuk membuat koneksi ini.
Autentikasi jaringan diperlukan untuk mengambil informasi yang digunakan selama autentikasi interaktif pada komputer lokal.
Beberapa autentikasi jaringan diikuti oleh salah satu skenario lainnya. Misalnya, pengguna mengautentikasi ke penyedia layanan Internet (ISP), mengautentikasi ke VPN, lalu menggunakan kredensial akun pengguna mereka untuk masuk secara lokal.
Kredensial yang di-cache dinonaktifkan, dan koneksi Layanan Access Jarak Jauh melalui VPN diperlukan sebelum masuk lokal untuk mengautentikasi pengguna.
Pengguna domain tidak memiliki akun lokal yang disiapkan di komputer yang bergabung dengan domain dan harus membuat koneksi Layanan Akses Jarak Jauh melalui koneksi VPN sebelum menyelesaikan masuk interaktif.
Autentikasi jaringan dan log masuk komputer ditangani oleh penyedia kredensial yang sama, di mana pengguna diperlukan untuk tersambung ke jaringan sebelum masuk ke komputer.
Enumerasi ubin log masuk
Penyedia kredensial menghitung petak masuk dalam instans berikut:
Untuk log masuk stasiun kerja. Penyedia kredensial biasanya menserialisasikan kredensial untuk autentikasi ke otoritas keamanan lokal. Proses ini menampilkan petak peta khusus untuk setiap pengguna dan khusus untuk sistem target setiap pengguna.
Arsitektur masuk dan autentikasi memungkinkan pengguna menggunakan petak peta yang dijumlahkan oleh penyedia kredensial untuk membuka kunci stasiun kerja. Biasanya, pengguna yang saat ini masuk adalah petak peta default, tetapi jika lebih dari satu pengguna masuk, banyak petak peta ditampilkan.
Penyedia kredensial menghitung petak peta sebagai respons terhadap permintaan pengguna untuk mengubah kata sandi mereka atau informasi privat lainnya, seperti PIN. Biasanya, pengguna yang saat ini masuk adalah petak peta default, tetapi jika lebih dari satu pengguna masuk, banyak petak peta ditampilkan.
Penyedia info masuk menghitung petak peta berdasarkan kredensial berseri yang akan digunakan untuk autentikasi pada komputer jarak jauh. Credential UI tidak menggunakan instans penyedia yang sama dengan Logon UI, membuka kunci stasiun kerja, atau mengubah kata sandi. Oleh karena itu, informasi status tidak dapat dipertahankan di penyedia antara instans antarmuka pengguna Kredensial. Struktur ini menghasilkan satu petak untuk setiap logon komputer jarak jauh, dengan asumsi kredensial disusun secara berurutan dan benar. Skenario ini juga digunakan dalam Kontrol Akun Pengguna (UAC), yang dapat membantu mencegah perubahan tidak sah pada komputer dengan meminta izin kepada pengguna atau kata sandi administrator sebelum mengizinkan tindakan yang berpotensi memengaruhi operasi komputer atau yang dapat mengubah pengaturan yang memengaruhi pengguna lain komputer.
Input kredensial untuk masuk aplikasi dan layanan
Autentikasi Windows dirancang untuk mengelola kredensial untuk aplikasi atau layanan yang tidak memerlukan interaksi pengguna. Aplikasi dalam mode pengguna terbatas dalam hal sumber daya sistem apa yang dapat mereka akses, sementara layanan dapat memiliki akses tak terbatas ke memori sistem dan perangkat eksternal.
Layanan sistem dan aplikasi tingkat transportasi mengakses Penyedia Dukungan Keamanan (SSP) melalui Antarmuka Penyedia Dukungan Keamanan (SSPI) di Windows, yang menyediakan fungsi untuk menghitung paket keamanan yang tersedia pada sistem, memilih paket, dan menggunakan paket tersebut untuk mendapatkan koneksi terautentikasi.
Saat koneksi klien/server diautentikasi:
Aplikasi di sisi klien koneksi mengirim kredensial ke server dengan menggunakan fungsi
InitializeSecurityContext (General)SSPI .Aplikasi di sisi server koneksi merespons dengan fungsi
AcceptSecurityContext (General)SSPI .Fungsi SSPI
InitializeSecurityContext (General)danAcceptSecurityContext (General)diulang hingga semua pesan autentikasi yang diperlukan telah dipertukarkan untuk memastikan autentikasi berhasil atau gagal.Setelah koneksi diautentikasi, LSA di server menggunakan informasi dari klien untuk membangun konteks keamanan, yang berisi token akses.
Server kemudian dapat memanggil fungsi
ImpersonateSecurityContextSSPI untuk melampirkan token akses ke utas peniruan untuk layanan.
Aplikasi dan mode pengguna
Mode pengguna di Windows terdiri dari dua sistem yang mampu meneruskan permintaan I/O ke driver mode kernel yang sesuai: sistem lingkungan, yang menjalankan aplikasi yang ditulis untuk berbagai jenis sistem operasi, dan sistem integral, yang mengoperasikan fungsi khusus sistem atas nama sistem lingkungan.
Sistem integral mengelola fungsi khusus sistem operasi atas nama sistem lingkungan dan terdiri dari proses sistem keamanan (LSA), layanan stasiun kerja, dan layanan server. Proses sistem keamanan menangani token keamanan, memberikan atau menolak izin untuk mengakses akun pengguna berdasarkan izin sumber daya, menangani permintaan masuk dan memulai autentikasi masuk, dan menentukan sumber daya sistem mana yang perlu diaudit sistem operasi.
Aplikasi dapat berjalan dalam mode pengguna di mana aplikasi dapat berjalan sebagai prinsipal apa pun, termasuk dalam konteks keamanan Sistem Lokal (SISTEM). Aplikasi juga dapat berjalan dalam mode kernel di mana aplikasi dapat berjalan dalam konteks keamanan Sistem Lokal (SYSTEM).
SSPI tersedia melalui secur32.dll modul, yang merupakan API yang digunakan untuk mendapatkan layanan keamanan terintegrasi untuk autentikasi, integritas pesan, dan privasi pesan. Ini menyediakan lapisan abstraksi antara protokol tingkat aplikasi dan protokol keamanan. Karena aplikasi yang berbeda memerlukan cara yang berbeda untuk mengidentifikasi atau mengautentikasi pengguna dan berbagai cara mengenkripsi data saat bepergian di seluruh jaringan, SSPI menyediakan cara untuk mengakses pustaka tautan dinamis (DLL) yang berisi fungsi autentikasi dan kriptografi yang berbeda. DLL ini disebut Penyedia Dukungan Keamanan (SSP).
Akun layanan terkelola dan akun virtual diperkenalkan di Windows Server 2008 R2 dan Windows 7 untuk menyediakan aplikasi penting, seperti Microsoft SQL Server dan Layanan Informasi Internet (IIS), dengan isolasi akun domain mereka sendiri, sekaligus menghilangkan kebutuhan administrator untuk mengelola nama perwakilan layanan (SPN) dan kredensial secara manual untuk akun ini. Untuk informasi selengkapnya tentang fitur ini dan perannya dalam autentikasi, lihat Dokumentasi Akun Layanan Terkelola untuk Windows 7 dan Windows Server 2008 R2 dan Gambaran Umum Akun Layanan Terkelola Grup.
Layanan dan mode kernel
Meskipun sebagian besar aplikasi Windows berjalan dalam konteks keamanan pengguna yang memulainya, ini tidak benar tentang layanan. Pengontrol layanan mengelola banyak layanan Windows, seperti layanan jaringan dan pencetakan, ketika pengguna menyalakan komputer. Layanan ini mungkin berjalan sebagai Layanan Lokal atau Sistem Lokal dan mungkin terus berjalan setelah pengguna manusia terakhir keluar.
Catatan
Layanan biasanya berjalan dalam konteks keamanan yang dikenal sebagai Sistem Lokal (SYSTEM), Layanan Jaringan, atau Layanan Lokal. Windows Server 2008 R2 memperkenalkan layanan yang berjalan di bawah akun layanan terkelola, yang merupakan prinsipal domain.
Sebelum memulai layanan, pengontrol layanan masuk dengan menggunakan akun yang ditunjuk untuk layanan, lalu menyajikan kredensial layanan untuk autentikasi oleh LSA. Layanan Windows menerapkan antarmuka terprogram yang dapat digunakan manajer pengontrol layanan untuk mengontrol layanan. Layanan Windows dapat dimulai secara otomatis ketika sistem dimulai atau secara manual dengan program kontrol layanan. Misalnya, ketika komputer klien Windows bergabung dengan domain, layanan messenger di komputer terhubung ke pengendali domain dan membuka saluran aman untuk itu. Untuk mendapatkan koneksi terautentikasi, layanan harus memiliki kredensial yang dipercaya oleh Otoritas Keamanan Lokal (LSA) komputer jarak jauh. Saat berkomunikasi dengan komputer lain dalam jaringan, LSA menggunakan kredensial untuk akun domain komputer lokal, seperti halnya semua layanan lain yang berjalan dalam konteks keamanan Sistem Lokal dan Layanan Jaringan. Layanan di komputer lokal berjalan sebagai SISTEM sehingga kredensial tidak perlu disajikan ke LSA.
File ksecdd.sys mengelola dan mengenkripsi kredensial ini dan menggunakan panggilan prosedur lokal ke LSA. Jenis file adalah DRV (driver) dan dikenal sebagai Penyedia Dukungan Keamanan (SSP) dalam mode kernel dan mematuhi FIPS 140-2 Tingkat 1, mulai dari Windows Server 2008.
Mode kernel memiliki akses penuh ke perangkat keras dan sumber daya sistem komputer. Mode kernel menghentikan layanan dan aplikasi mode pengguna mengakses area penting dari sistem operasi yang seharusnya tidak dapat mereka akses.
Otoritas Keamanan Lokal
Otoritas Keamanan Lokal (LSA) adalah proses sistem terlindungi yang mengautentikasi dan mencatat pengguna ke komputer lokal. Selain itu, LSA mempertahankan informasi tentang semua aspek keamanan lokal di komputer (aspek-aspek ini secara kolektif dikenal sebagai kebijakan keamanan lokal), dan menyediakan berbagai layanan untuk terjemahan antara nama dan pengidentifikasi keamanan (SID). Proses sistem keamanan, Local Security Authority Server Service (LSASS), melacak kebijakan keamanan dan akun yang berlaku pada sistem komputer.
LSA memvalidasi identitas pengguna berdasarkan dari dua entitas berikut yang mengeluarkan akun pengguna:
Otoritas Keamanan Lokal: LSA dapat memvalidasi informasi pengguna dengan memeriksa database Security Accounts Manager (SAM) yang terletak di komputer yang sama. Stasiun kerja atau server anggota apa pun dapat menyimpan akun pengguna lokal dan informasi tentang grup lokal. Namun, akun-akun ini hanya dapat digunakan untuk mengakses stasiun kerja atau komputer tersebut.
Otoritas keamanan untuk domain lokal atau untuk domain tepercaya: LSA menghubungi entitas yang mengeluarkan akun dan meminta verifikasi bahwa akun tersebut valid dan bahwa permintaan berasal dari pemegang akun.
Layanan Subsistem Otoritas Keamanan Lokal (LSASS) menyimpan kredensial dalam memori atas nama pengguna dengan sesi Windows aktif. Kredensial tersimpan memungkinkan pengguna mengakses sumber daya jaringan dengan lancar, seperti berbagi file, kotak surat Exchange Server, dan situs SharePoint, tanpa memasukkan kembali kredensial mereka untuk setiap layanan jarak jauh.
LSASS dapat menyimpan kredensial dalam beberapa bentuk, termasuk:
Teks biasa yang terenkripsi secara dapat dibalik.
Tiket Kerberos (tiket pemberian tiket (TGT), tiket layanan).
Hash NT.
Hash LAN Manager (LM).
Jika pengguna masuk ke Windows dengan menggunakan kartu pintar, LSASS tidak menyimpan kata sandi teks biasa, tetapi menyimpan nilai hash NT yang sesuai untuk akun dan PIN teks biasa untuk kartu pintar. Jika atribut akun diaktifkan untuk kartu pintar yang diperlukan untuk masuk interaktif, nilai hash NT acak secara otomatis dihasilkan untuk akun, bukan hash kata sandi asli. Hash kata sandi yang dibuat secara otomatis saat atribut diatur tidak berubah.
Jika pengguna masuk ke komputer berbasis Windows dengan kata sandi yang kompatibel dengan hash LAN Manager (LM), pengautentikasi ini ada dalam memori. Penyimpanan kredensial teks biasa dalam memori tidak dapat dinonaktifkan, bahkan jika penyedia kredensial yang mengharuskannya dinonaktifkan.
Kredensial yang disimpan secara langsung terkait dengan sesi masuk Local Security Authority Subsystem Service (LSASS) yang dimulai setelah restart terakhir dan belum ditutup. Misalnya, sesi LSA dengan kredensial LSA yang disimpan dibuat saat pengguna melakukan salah satu tindakan berikut:
Log masuk ke sesi lokal atau sesi Protokol Desktop Jauh (RDP) pada komputer.
Menjalankan tugas dengan menggunakan opsi RunAs .
Menjalankan layanan Windows aktif pada komputer.
Menjalankan tugas terjadwal atau batch job.
Menjalankan tugas di komputer lokal dengan menggunakan alat administrasi jarak jauh.
Dalam beberapa keadaan, rahasia LSA, yang merupakan bagian rahasia data yang hanya dapat diakses oleh proses akun SYSTEM, disimpan di hard disk drive. Beberapa rahasia ini adalah kredensial yang harus bertahan setelah boot ulang, dan disimpan dalam bentuk terenkripsi pada hard disk drive. Kredensial yang disimpan sebagai rahasia LSA mungkin meliputi:
Kata sandi akun untuk akun Active Directory Domain Services (AD DS) komputer.
Kata sandi akun untuk layanan Windows yang dikonfigurasi pada komputer.
Kata sandi akun untuk tugas terjadwal yang dikonfigurasi.
Kata sandi akun untuk kumpulan aplikasi dan situs web IIS.
Kata sandi untuk akun Microsoft.
Sistem operasi klien Windows memberikan perlindungan ekstra bagi LSA untuk mencegah pembacaan memori dan injeksi kode oleh proses yang tidak dilindungi, yang diperkenalkan di Windows 8.1. Perlindungan ini meningkatkan keamanan untuk kredensial yang disimpan dan dikelola LSA.
Untuk informasi selengkapnya tentang perlindungan tambahan ini, lihat Mengonfigurasi Perlindungan LSA Tambahan.
Kredensial dan validasi yang di-cache
Mekanisme validasi mengandalkan presentasi kredensial pada saat masuk. Namun, ketika komputer terputus dari pengendali domain, dan pengguna menyajikan kredensial domain, Windows menggunakan proses kredensial yang di-cache dalam mekanisme validasi.
Setiap kali pengguna masuk ke domain, Windows menyimpan kredensial yang disediakan dan menyimpannya di sarang keamanan di registri sistem operasi. Dengan kredensial yang di-cache, pengguna dapat masuk ke anggota domain tanpa tersambung ke pengendali domain dalam domain tersebut.
Penyimpanan dan validasi kredensial
Tidak selalu diinginkan untuk menggunakan satu set kredensial untuk akses ke sumber daya yang berbeda. Misalnya, administrator mungkin ingin menggunakan administratif daripada kredensial pengguna saat mengakses server jarak jauh. Demikian pula, jika pengguna mengakses sumber daya eksternal, seperti rekening bank, mereka hanya dapat menggunakan kredensial yang berbeda dari kredensial domain mereka.
Proses kredensial masuk jarak jauh
Protokol Desktop Jarak Jauh (RDP) mengelola kredensial pengguna yang tersambung ke komputer jarak jauh dengan menggunakan Klien Desktop Jauh, yang diperkenalkan di Windows 8. Info masuk dalam formulir teks biasa dikirim ke host target tempat host mencoba melakukan proses autentikasi, dan, jika berhasil, menghubungkan pengguna ke sumber daya yang diizinkan. RDP tidak menyimpan kredensial pada klien, tetapi kredensial domain pengguna disimpan di LSASS.
Mode Admin Terbatas menyediakan keamanan ekstra untuk skenario masuk jarak jauh, yang diperkenalkan di Windows Server 2012 R2 dan Windows 8.1. Mode Desktop Jauh ini menyebabkan aplikasi klien melakukan respons tantangan masuk jaringan dengan fungsi satu arah NT (NTOWF) atau menggunakan tiket layanan Kerberos saat mengautentikasi ke host jarak jauh. Setelah administrator diautentikasi, administrator tidak memiliki kredensial akun masing-masing di LSASS karena tidak diberikan kepada host jarak jauh. Sebagai gantinya, administrator memiliki kredensial akun komputer untuk sesi tersebut. Kredensial administrator tidak diberikan kepada host jarak jauh, akibatnya tindakan dilakukan sebagai akun komputer. Sumber daya juga terbatas pada akun komputer, dan administrator tidak dapat mengakses sumber daya dengan akun mereka sendiri.
Proses info masuk mulai ulang otomatis
Saat pengguna masuk, LSA menyimpan kredensial pengguna dalam memori terenkripsi yang hanya dapat diakses oleh LSASS.exe, yang diperkenalkan di Windows 8.1. Ketika Windows Update memulai hidupkan ulang otomatis tanpa kehadiran pengguna, kredensial ini digunakan untuk mengonfigurasi Autologon untuk pengguna.
Saat menghidupkan ulang, pengguna secara otomatis masuk melalui mekanisme Autologon, lalu komputer juga dikunci untuk melindungi sesi pengguna. Penguncian dimulai melalui Winlogon sedangkan manajemen kredensial dilakukan oleh LSA. Dengan secara otomatis masuk dan mengunci sesi pengguna di konsol, aplikasi layar kunci pengguna dimulai ulang dan tersedia.
Untuk informasi selengkapnya tentang ARSO, lihat Winlogon Automatic Restart Sign-On (ARSO).
Windows Vault dan Manajer Kredensial
Pengelola Kredensial adalah fitur Panel Kontrol untuk menyimpan dan mengelola nama pengguna dan kata sandi, yang diperkenalkan di Windows Server 2008 R2 dan Windows 7. Pengelola Kredensial memungkinkan pengguna menyimpan kredensial yang relevan dengan sistem dan situs web lain di Windows Vault yang aman.
Pengguna dapat menyimpan dan menyimpan kredensial dari browser dan aplikasi Windows yang didukung di komputer lokal untuk membuatnya nyaman ketika mereka perlu masuk ke sumber daya ini. Kredensial disimpan dalam folder terenkripsi khusus di komputer di bawah profil pengguna. Aplikasi yang mendukung fitur ini (dengan menggunakan API Pengelola Kredensial), seperti browser web dan aplikasi, dapat menyajikan kredensial yang benar ke komputer dan situs web lain selama proses masuk.
Saat situs web, aplikasi, atau komputer lain meminta autentikasi melalui NTLM atau protokol Kerberos, kotak dialog muncul di mana Anda memilih kotak centang Perbarui Kredensial Default atau Simpan Kata Sandi . Aplikasi yang mendukung API Pengelola Kredensial menghasilkan kotak dialog ini yang memungkinkan pengguna menyimpan kredensial secara lokal. Jika pengguna memilih kotak centang Simpan Kata Sandi , Pengelola Kredensial melacak nama pengguna, kata sandi, dan informasi terkait pengguna untuk layanan autentikasi yang sedang digunakan.
Lain kali layanan digunakan, Credential Manager secara otomatis menyediakan kredensial yang disimpan di Vault Windows. Jika tidak diterima, pengguna akan dimintai informasi akses yang benar. Jika akses diberikan dengan kredensial baru, Credential Manager menimpa kredensial sebelumnya dengan yang baru lalu menyimpan kredensial baru di Windows Vault.
Database Manajer Akun Keamanan
Security Accounts Manager (SAM) adalah database yang menyimpan akun dan grup pengguna lokal. Ini ada di setiap sistem operasi Windows; namun, ketika komputer bergabung ke domain, Direktori Aktif mengelola akun domain di domain Direktori Aktif.
Misalnya, komputer klien yang menjalankan sistem operasi Windows berpartisipasi dalam domain jaringan dengan berkomunikasi dengan pengendali domain bahkan ketika tidak ada pengguna manusia yang masuk. Untuk memulai komunikasi, komputer harus memiliki akun aktif di domain. Sebelum menerima komunikasi dari komputer, LSA pada pengendali domain mengautentikasi identitas komputer dan kemudian membangun konteks keamanan komputer seperti halnya untuk prinsip keamanan manusia. Konteks keamanan ini mendefinisikan identitas dan kemampuan pengguna atau layanan pada komputer tertentu atau pengguna, layanan, atau komputer pada jaringan. Misalnya, token akses yang terkandung dalam konteks keamanan menentukan sumber daya (seperti berbagi file atau printer) yang dapat diakses dan tindakan (seperti Baca, Tulis, atau Ubah) yang dapat dilakukan oleh prinsipal (pengguna, komputer, atau layanan) pada sumber daya tersebut.
Konteks keamanan pengguna atau komputer dapat bervariasi dari satu komputer ke komputer lain, seperti ketika pengguna masuk ke server atau stasiun kerja selain stasiun kerja utama pengguna sendiri. Ini juga dapat bervariasi dari satu sesi ke sesi lainnya, seperti ketika administrator memodifikasi hak dan izin pengguna. Selain itu, konteks keamanan biasanya berbeda ketika pengguna atau komputer beroperasi secara mandiri, dalam jaringan, atau sebagai bagian dari domain Direktori Aktif.
Domain lokal dan domain tepercaya
Ketika kepercayaan ada di antara dua domain, mekanisme autentikasi untuk setiap domain mengandalkan validitas autentikasi yang berasal dari domain lain. Kepercayaan membantu menyediakan akses terkontrol ke sumber daya bersama di domain sumber daya (domain kepercayaan) dengan memverifikasi bahwa permintaan autentikasi masuk berasal dari otoritas tepercaya (domain tepercaya). Dengan cara ini, kepercayaan bertindak sebagai jembatan yang hanya memungkinkan permintaan autentikasi yang divalidasi melakukan perjalanan antar domain.
Bagaimana kepercayaan tertentu meneruskan permintaan autentikasi bergantung pada bagaimana kepercayaan tersebut dikonfigurasi. Hubungan kepercayaan bisa satu arah, dengan menyediakan akses dari domain tepercaya ke sumber daya di domain tepercaya, atau dua arah, dengan menyediakan akses dari setiap domain ke sumber daya di domain lain. Kepercayaan juga non-transitif, dalam hal ini kepercayaan hanya ada di antara dua domain mitra kepercayaan, atau transitif, dalam hal ini kepercayaan secara otomatis meluas ke domain lain yang dipercaya oleh salah satu mitra.
Untuk informasi tentang hubungan kepercayaan domain dan hutan mengenai autentikasi, lihat Autentikasi yang Didelegasikan dan Hubungan Kepercayaan.
Sertifikat dalam autentikasi Windows
Infrastruktur kunci publik (PKI) adalah kombinasi perangkat lunak, teknologi enkripsi, proses, dan layanan yang memungkinkan organisasi untuk mengamankan komunikasi dan transaksi bisnisnya. Kemampuan PKI untuk mengamankan komunikasi dan transaksi bisnis didasarkan pada pertukaran sertifikat digital antara pengguna terautentikasi dan sumber daya tepercaya.
Sertifikat digital adalah dokumen elektronik yang berisi informasi tentang entitas miliknya, entitas yang mengeluarkannya, nomor seri unik atau beberapa identifikasi unik lainnya, tanggal penerbitan dan kedaluwarsa, dan sidik jari digital.
Autentikasi adalah proses penentuan apakah host jarak jauh dapat dipercaya. Untuk membangun kepercayaannya, host jarak jauh harus menyediakan sertifikat autentikasi yang dapat diterima.
Host jarak jauh membangun kepercayaan mereka dengan mendapatkan sertifikat dari otoritas sertifikasi (CA). CA dapat, pada gilirannya, memiliki sertifikasi dari otoritas yang lebih tinggi, yang menciptakan rantai kepercayaan. Untuk menentukan apakah sertifikat dapat dipercaya, aplikasi harus menentukan identitas OS akar, lalu menentukan apakah sertifikat tersebut dapat dipercaya.
Demikian pula, host jarak jauh atau komputer lokal harus menentukan apakah sertifikat yang disajikan oleh pengguna atau aplikasi autentik. Sertifikat yang disajikan oleh pengguna melalui LSA dan SSPI dievaluasi untuk keaslian pada komputer lokal untuk masuk lokal, di jaringan, atau di domain melalui penyimpanan sertifikat di Direktori Aktif.
Untuk menghasilkan sertifikat, data autentikasi melewati algoritma hash, seperti Secure Hash Algorithm (SHA), untuk menghasilkan ringkasan pesan. "Message digest kemudian ditandatangani secara digital dengan menggunakan kunci privat pengirim untuk membuktikan bahwa pengirim menghasilkan message digest."
Autentikasi Kartu Pintar
Teknologi kartu pintar adalah contoh autentikasi berbasis sertifikat. Masuk ke jaringan dengan kartu pintar menyediakan bentuk autentikasi yang kuat karena menggunakan identifikasi berbasis kriptografi dan bukti kepemilikan saat mengautentikasi pengguna ke domain. Active Directory Certificate Services (AD CS) menyediakan identifikasi berbasis kriptografi melalui penerbitan sertifikat masuk untuk setiap kartu pintar.
Teknologi kartu pintar virtual diperkenalkan di Windows 8. Ini menyimpan sertifikat kartu pintar di PC, dan kemudian melindunginya dengan menggunakan chip keamanan Trusted Platform Module (TPM) tahan perubahan perangkat. Dengan cara ini, PC sebenarnya menjadi kartu pintar yang harus menerima PIN pengguna agar dapat diautentikasi.
Untuk informasi tentang autentikasi kartu pintar, lihat Referensi Teknis Windows Smart Card.
Autentikasi jarak jauh dan nirkabel
Autentikasi jaringan jarak jauh dan nirkabel adalah teknologi lain yang menggunakan sertifikat untuk autentikasi. Layanan Autentikasi Internet (IAS) dan server jaringan privat virtual menggunakan Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), atau Internet Protocol security (IPsec) untuk melakukan autentikasi berbasis sertifikat untuk berbagai jenis akses jaringan, termasuk jaringan privat virtual (VPN) dan koneksi nirkabel.
Untuk informasi tentang autentikasi berbasis sertifikat dalam jaringan, lihat Autentikasi akses jaringan dan sertifikat.