Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit overzichtsonderwerp voor IT-professionals wordt het basisarchitectuurschema voor Windows-verificatie uitgelegd.
Verificatie is het proces waarmee het systeem de aanmeldings- of aanmeldingsgegevens van een gebruiker valideert. De naam en het wachtwoord van een gebruiker worden vergeleken met een geautoriseerde lijst en als het systeem een overeenkomst detecteert, wordt toegang verleend tot het gebied dat is opgegeven in de machtigingslijst voor die gebruiker.
Als onderdeel van een uitbreidbare architectuur implementeren de Windows Server-besturingssystemen een standaardset verificatiebeveiligingsondersteuningsproviders, waaronder Negotiate, het Kerberos-protocol, NTLM, Schannel (beveiligd kanaal) en Digest. De protocollen die door deze providers worden gebruikt, maken verificatie van gebruikers, computers en services mogelijk en het verificatieproces stelt geautoriseerde gebruikers en services in staat om op een veilige manier toegang te krijgen tot resources.
In Windows Server verifiëren toepassingen gebruikers met behulp van de SSPI om aanroepen voor verificatie te abstraheren. Ontwikkelaars hoeven dus geen inzicht te hebben in de complexiteit van specifieke verificatieprotocollen of verificatieprotocollen in hun toepassingen te bouwen.
Windows Server-besturingssystemen bevatten een set beveiligingsonderdelen waaruit het Windows-beveiligingsmodel bestaat. Deze onderdelen zorgen ervoor dat toepassingen geen toegang kunnen krijgen tot resources zonder verificatie en autorisatie. In de volgende secties worden de elementen van de verificatiearchitectuur beschreven.
Lokale beveiligingsautoriteit
De Local Security Authority (LSA) is een beveiligd subsysteem waarmee gebruikers worden geverifieerd en aangemeld bij de lokale computer. Daarnaast onderhoudt LSA informatie over alle aspecten van lokale beveiliging op een computer (deze aspecten worden gezamenlijk het lokale beveiligingsbeleid genoemd). Het biedt ook verschillende services voor vertaling tussen namen en beveiligings-id's (SID's).
Het beveiligingssubsysteem houdt het beveiligingsbeleid en de accounts op een computersysteem bij. In het geval van een domeincontroller zijn dit beleid en accounts die van kracht zijn voor het domein waarin de domeincontroller zich bevindt. Deze beleidsregels en accounts worden opgeslagen in Active Directory. Het LSA-subsysteem biedt services voor het valideren van toegang tot objecten, het controleren van gebruikersrechten en het genereren van controleberichten.
Interface van beveiligingsondersteuningsprovider
De SSPI (Security Support Provider Interface) is de API die geïntegreerde beveiligingsservices verkrijgt voor verificatie, berichtintegriteit, berichtprivacy en servicekwaliteit van beveiliging voor elk gedistribueerd toepassingsprotocol.
SSPI is de implementatie van de Generic Security Service API (GSSAPI). SSPI biedt een mechanisme waarmee een gedistribueerde toepassing een van de verschillende beveiligingsproviders kan aanroepen om een geverifieerde verbinding te verkrijgen zonder kennis van de details van het beveiligingsprotocol.