Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie przeglądu dla specjalistów IT wyjaśniono podstawowy schemat architektury uwierzytelniania systemu Windows.
Uwierzytelnianie to proces, za pomocą którego system weryfikuje informacje logowania lub dane do autoryzacji użytkownika. Nazwa użytkownika i hasło są porównywane z autoryzowaną listą, a jeśli system wykryje dopasowanie, dostęp jest udzielany w zakresie określonym na liście uprawnień dla tego użytkownika.
W ramach rozszerzalnej architektury systemy operacyjne Windows Server implementują domyślny zestaw dostawców wsparcia dla zabezpieczeń uwierzytelniania, takich jak Negotiate, protokół Kerberos, NTLM, Schannel (bezpieczny kanał) i Digest. Protokoły używane przez tych dostawców umożliwiają uwierzytelnianie użytkowników, komputerów i usług, a proces uwierzytelniania umożliwia autoryzowanym użytkownikom i usługom bezpieczny dostęp do zasobów.
W systemie Windows Server aplikacje uwierzytelniają użytkowników, wykorzystując SSPI do abstrahowania wywołań związanych z uwierzytelnianiem. W związku z tym deweloperzy nie muszą rozumieć złożoności określonych protokołów uwierzytelniania ani tworzyć protokołów uwierzytelniania w swoich aplikacjach.
Systemy operacyjne Windows Server zawierają zestaw składników zabezpieczeń, które składają się na model zabezpieczeń systemu Windows. Te składniki zapewniają, że aplikacje nie mogą uzyskać dostępu do zasobów bez uwierzytelniania i autoryzacji. W poniższych sekcjach opisano elementy architektury uwierzytelniania.
Urząd zabezpieczeń lokalnych
Urząd zabezpieczeń lokalnych (LSA) to podsystem chroniony, który uwierzytelnia i loguje użytkowników do komputera lokalnego. Ponadto LSA przechowuje informacje o wszystkich aspektach zabezpieczeń lokalnych na komputerze (te aspekty są wspólnie znane jako lokalne zasady zabezpieczeń). Udostępnia również różne usługi tłumaczenia nazw i identyfikatorów zabezpieczeń (SID).
Podsystem zabezpieczeń śledzi zasady zabezpieczeń i konta, które znajdują się w systemie komputerowym. W przypadku kontrolera domeny te zasady i konta są tymi, które obowiązują dla domeny, w której znajduje się kontroler domeny. Te zasady i konta są przechowywane w usłudze Active Directory. Podsystem LSA zapewnia usługi sprawdzania poprawności dostępu do obiektów, sprawdzania praw użytkownika i generowania komunikatów inspekcji.
Interfejs dostawcy obsługi zabezpieczeń
Interfejs dostawcy obsługi zabezpieczeń (SSPI) to interfejs API, który uzyskuje zintegrowane usługi zabezpieczeń na potrzeby uwierzytelniania, integralności komunikatów, prywatności komunikatów i jakości usług zabezpieczeń dla dowolnego protokołu aplikacji rozproszonej.
SSPI to implementacja ogólnego interfejsu API usługi zabezpieczeń (GSSAPI). Interfejs SSPI udostępnia mechanizm, za pomocą którego aplikacja rozproszona może wywołać jednego z kilku dostawców zabezpieczeń w celu uzyskania uwierzytelnionego połączenia bez znajomości szczegółów protokołu zabezpieczeń.
Dodatkowe referencje
Architektura interfejsu dostawcy obsługi zabezpieczeń
Procesy Poświadczeń w Uwierzytelnianiu systemu Windows