Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie przeglądu opisano pojęcia, na których opiera się uwierzytelnianie systemu Windows.
Uwierzytelnianie to proces weryfikacji tożsamości obiektu lub osoby. Podczas uwierzytelniania obiektu celem jest sprawdzenie, czy obiekt jest prawdziwy. Podczas uwierzytelniania osoby celem jest sprawdzenie, czy dana osoba nie jest oszustem.
W kontekście sieci uwierzytelnianie jest działaniem potwierdzania tożsamości w aplikacji sieciowej lub zasobie. Zazwyczaj tożsamość jest sprawdzana przez operację kryptograficzną, która używa tylko klucza, którego użytkownik zna (podobnie jak w przypadku kryptografii klucza publicznego) lub klucza współużytkowanego. Po stronie serwera podczas procesu uwierzytelniania porównuje się podpisane dane ze znanym kluczem kryptograficznym, aby zweryfikować próbę uwierzytelnienia.
Przechowywanie kluczy kryptograficznych w bezpiecznej centralnej lokalizacji sprawia, że proces uwierzytelniania jest skalowalny i konserwowalny. Usługa Active Directory jest zalecaną i domyślną technologią do przechowywania informacji o tożsamości, która obejmuje klucze kryptograficzne, które są poświadczeniami użytkownika. Usługa Active Directory jest wymagana w przypadku domyślnych implementacji NTLM i Kerberos.
Techniki uwierzytelniania wahają się od prostego logowania do systemu operacyjnego lub logowania do usługi lub aplikacji, która identyfikuje użytkowników na podstawie czegoś, co tylko użytkownik wie, na przykład hasło, do bardziej zaawansowanych mechanizmów zabezpieczeń, które używają czegoś, co użytkownik ma, takich jak tokeny, certyfikaty kluczy publicznych, obrazy lub atrybuty biologiczne. W środowisku biznesowym użytkownicy mogą uzyskiwać dostęp do wielu aplikacji na wielu typach serwerów w jednej lokalizacji lub w wielu lokalizacjach. Z tych powodów uwierzytelnianie musi obsługiwać środowiska dla innych platform i innych systemów operacyjnych Windows.
Uwierzytelnianie i autoryzacja: analogia podróży
Analogia podróży może pomóc wyjaśnić, jak działa uwierzytelnianie. Do rozpoczęcia podróży zwykle niezbędne jest kilka zadań przygotowawczych. Podróżny musi udowodnić swoją prawdziwą tożsamość władzom hostów. Dowód ten może być w formie dowodu obywatelstwa, miejsca urodzenia, osobistego bonu, zdjęć lub cokolwiek jest wymagane przez prawo kraju przyjmującego. Tożsamość podróżnika jest weryfikowana przez wydanie paszportu, który jest analogiczny do konta systemowego wystawionego i administrowanego przez organizację - podmiotu zabezpieczeń. Paszport i przeznaczenie są oparte na zestawie zasad i przepisów wydanych przez organ rządowy.
Podróż
Kiedy podróżny przybywa na granicę międzynarodową, straż graniczna prosi o poświadczenia, a podróżny przedstawia swój paszport. Proces jest dwojaki:
Strażnik graniczny uwierzytelnia paszport, sprawdzając, czy został wydany przez organ bezpieczeństwa, któremu lokalny rząd ufa (przynajmniej w zakresie wydawania paszportów) oraz czy paszport nie został zmodyfikowany.
Strażnik uwierzytelnia podróżnika, sprawdzając, czy twarz pasuje do twarzy osoby na zdjęciu w paszportie i że inne wymagane poświadczenia są w dobrej kolejności.
Jeśli paszport okaże się ważny, a podróżny okaże się jego właścicielem, uwierzytelnianie powiedzie się, a podróżny może mieć dostęp przez granicę.
Przechodnie zaufanie między organami bezpieczeństwa jest podstawą uwierzytelniania; typ uwierzytelniania, który odbywa się na granicy międzynarodowej, opiera się na zaufaniu. Samorząd lokalny nie zna podróżnika, ale ufa, że rząd gospodarza nie. Kiedy rząd kraju goszczącego wydawał paszport, również nie znał tej osoby podróżującej. Zaufała agencji, która wydała akt urodzenia lub inną dokumentację. Agencja, która wydała akt urodzenia, z kolei zaufała lekarzowi, który podpisał akt certyfikacji. Lekarz był świadkiem urodzenia podróżnika i sygnaturował akt z bezpośrednim dowodem tożsamości, w tym przypadku z śladem noworodka. Zaufanie, które jest przenoszone w ten sposób, za pośrednictwem zaufanych pośredników, jest przechodnie.
Przechodnie zaufanie jest podstawą zabezpieczeń sieci w architekturze klienta/serwera systemu Windows. Relacja zaufania przepływa w całym zestawie domen, takich jak drzewo domen, i tworzy relację między domeną a wszystkimi domenami, które ufają tej domenie. Jeśli na przykład domena A ma przechodnie zaufanie z domeną B, a jeśli domena B ufa domenie C, domena A ufa domenie C.
Istnieje różnica między uwierzytelnianiem a autoryzacją. W przypadku uwierzytelniania system udowadnia, że jesteś tym, kim jesteś. Po autoryzacji system sprawdza, czy masz uprawnienia do wykonywania tego, co chcesz zrobić. Aby wykonać analogię graniczną do następnego kroku, jedynie uwierzytelnianie, że podróżny jest właściwym właścicielem ważnego paszportu, niekoniecznie upoważnia podróżnych do wjazdu do kraju. Mieszkańcy określonego kraju mogą wjechać do innego kraju wyłącznie na podstawie przedstawienia paszportu w sytuacji, gdy kraj ten udziela nieograniczonego pozwolenia na wjazd dla wszystkich obywateli takiego kraju.
Podobnie można przyznać wszystkim użytkownikom z określonej domeny uprawnienia do uzyskania dostępu do zasobu. Każdy użytkownik należący do tej domeny ma dostęp do zasobu, podobnie jak Kanada umożliwia obywatelom USA wejście do Kanady. Jednak obywatele USA próbujący wjechać do Brazylii lub Indii stwierdzają, że nie mogą tego zrobić tylko poprzez okazanie paszportu, ponieważ oba te kraje wymagają, aby odwiedzający obywatele USA posiadali ważną wizę. W związku z tym uwierzytelnianie nie gwarantuje dostępu do zasobów ani autoryzacji do korzystania z zasobów.
Credentials
Caution
Gdy użytkownik wykonuje logowanie lokalne, jego poświadczenia są weryfikowane lokalnie względem kopii buforowanej przed uwierzytelnieniem u dostawcy tożsamości za pośrednictwem sieci. Jeśli weryfikacja pamięci podręcznej zakończy się pomyślnie, użytkownik uzyska dostęp do pulpitu, nawet jeśli urządzenie jest w trybie offline. Jeśli jednak użytkownik zmieni hasło w chmurze, buforowany weryfikator nie zostanie zaktualizowany, co oznacza, że nadal będzie mógł uzyskać dostęp do komputera lokalnego przy użyciu starego hasła.
Paszport i ewentualnie skojarzone wizy są akceptowane poświadczenia dla podróżnych. Jednak te poświadczenia mogą nie pozwolić podróżnym wejść do wszystkich zasobów w kraju ani uzyskać do nich dostępu. Na przykład do udziału w konferencji są wymagane dodatkowe poświadczenia. W systemie Windows można zarządzać poświadczeniami, aby umożliwić posiadaczom kont dostęp do zasobów za pośrednictwem sieci bez konieczności wielokrotnego podawania poświadczeń. Ten typ dostępu umożliwia użytkownikom uwierzytelnianie jednorazowo przez system w celu uzyskania dostępu do wszystkich aplikacji i źródeł danych, które są autoryzowane do użycia bez wprowadzania innego identyfikatora konta lub hasła. Platforma Windows wykorzystuje możliwość korzystania z jednej tożsamości użytkownika (obsługiwanej przez usługę Active Directory) w sieci przez lokalne buforowanie poświadczeń użytkownika w lokalnym urzędzie zabezpieczeń lokalnych systemu operacyjnego (LSA). Gdy użytkownik loguje się do domeny, pakiety uwierzytelniania systemu Windows przezroczysto korzystają z poświadczeń, aby umożliwić jednolite logowanie podczas uwierzytelniania do zasobów sieciowych. Aby uzyskać więcej informacji na temat poświadczeń, zobacz Procesy poświadczeń w uwierzytelnianiu systemu Windows.
Formą uwierzytelniania wieloskładnikowego dla podróżnych może być wymóg posiadania i prezentowania wielu dokumentów w celu uwierzytelnienia jego tożsamości, takich jak paszport i informacje o rejestracji konferencyjnej. System Windows implementuje ten formularz lub uwierzytelnianie za pomocą kart inteligentnych, wirtualnych kart inteligentnych i technologii biometrycznych.
Podmioty zabezpieczeń i konta
W systemie Windows każdy użytkownik, usługa, grupa lub komputer, który może zainicjować akcję, jest podmiotem zabezpieczeń. Podmioty zabezpieczeń mają konta, które mogą być lokalne na komputerze lub oparte na domenie. Na przykład komputery przyłączone do domeny klienta systemu Windows mogą uczestniczyć w domenie sieciowej, komunikując się z kontrolerem domeny nawet wtedy, gdy żaden użytkownik nie jest zalogowany. Aby zainicjować komunikację, komputer musi mieć aktywne konto w domenie. Przed zaakceptowaniem komunikacji z komputera lokalny urząd zabezpieczeń na kontrolerze domeny uwierzytelnia tożsamość komputera, a następnie definiuje kontekst zabezpieczeń komputera tak samo jak dla podmiotu zabezpieczeń człowieka. Ten kontekst zabezpieczeń definiuje tożsamość i możliwości użytkownika lub usługi na określonym komputerze, usłudze, grupie lub komputerze w sieci. Na przykład definiuje zasoby, takie jak udział plików lub drukarka, do których można uzyskać dostęp, oraz akcje, takie jak Odczyt, Zapis lub Modyfikuj, które mogą być wykonywane przez użytkownika, usługę lub komputer na tym zasobie. Aby uzyskać więcej informacji, zobacz Podmioty zabezpieczeń.
Konto to sposób identyfikowania podmiotu — użytkownika lub usługi — który żąda dostępu lub zasobów. Podróżnik, który posiada autentyczny paszport posiada konto z kraju przyjmującego. Użytkownicy, grupy użytkowników, obiektów i usług mogą mieć pojedyncze konta lub konta udziałów. Konta mogą być członkami grup i mogą mieć przypisane określone prawa i uprawnienia. Konta mogą być ograniczone do komputera lokalnego, grupy roboczej, sieci lub być przypisane do domeny.
Wbudowane konta i grupy zabezpieczeń, których są członkami, są definiowane w każdej wersji systemu Windows. Za pomocą grup zabezpieczeń można przypisać te same uprawnienia zabezpieczeń do wielu użytkowników, którzy są pomyślnie uwierzytelnieni, co upraszcza administrowanie dostępem. Przepisy dotyczące wydawania paszportów mogą wymagać przypisania podróżnych do niektórych grup, takich jak biznes, czy turysta lub rząd. Ten proces zapewnia spójne uprawnienia zabezpieczeń dla wszystkich członków grupy. Użycie grup zabezpieczeń do przypisywania uprawnień oznacza, że kontrola dostępu do zasobów pozostaje stała i łatwa do zarządzania i inspekcji. Dodając i usuwając użytkowników, którzy wymagają dostępu z odpowiednich grup zabezpieczeń zgodnie z potrzebami, można zminimalizować częstotliwość zmian list kontroli dostępu (ACL).
Autonomiczne zarządzane konta usług i konta wirtualne zostały wprowadzone w systemach Windows Server 2008 R2 i Windows 7 w celu zapewnienia niezbędnych aplikacji, takich jak Microsoft Exchange Server i Internet Information Services (IIS), z izolacją własnych kont domeny, eliminując jednocześnie potrzebę ręcznego administrowania główną nazwą usługi (SPN) i poświadczeniami dla tych kont. Konta usług zarządzanych przez grupę zostały wprowadzone w systemie Windows Server 2012 i udostępniają te same funkcje w domenie, ale także rozszerzają tę funkcjonalność na wielu serwerach. Podczas nawiązywania połączenia z usługą hostowaną w farmie serwerów, takiej jak równoważenie obciążenia sieciowego, protokoły uwierzytelniania obsługujące wzajemne uwierzytelnianie wymagają, aby wszystkie wystąpienia usług używały tej samej jednostki.
Aby uzyskać więcej informacji o kontach, zobacz:
Uwierzytelnianie delegowane
Używając analogii podróży, kraje mogą zapewnić ten sam dostęp wszystkim członkom oficjalnej delegacji rządowej, tak długo, jak delegaci są dobrze znani. To delegowanie pozwala jednemu członkowi działać z upoważnienia innego członka. W systemie Windows delegowane uwierzytelnianie występuje, gdy usługa sieciowa akceptuje żądanie uwierzytelniania od użytkownika i zakłada tożsamość tego użytkownika w celu zainicjowania nowego połączenia z drugą usługą sieciową. Aby obsługiwać uwierzytelnianie delegowane, należy ustanowić serwery frontonu lub pierwszej warstwy, takie jak serwery internetowe, które są odpowiedzialne za obsługę żądań uwierzytelniania klientów i serwerów zaplecza lub n-warstwowych, takich jak duże bazy danych, które są odpowiedzialne za przechowywanie informacji. Możesz delegować prawo do konfigurowania uwierzytelniania delegowanego dla użytkowników w organizacji, aby zmniejszyć obciążenie administracyjne administratorów.
Ustanawiając usługę lub komputer jako zaufany dla delegowania, możesz zezwolić usłudze lub komputerowi na ukończenie delegowanego uwierzytelniania, otrzymać bilet dla użytkownika, który wysyła żądanie, a następnie uzyskać dostęp do informacji dla tego użytkownika. Ten model ogranicza dostęp do danych na serwerach zaplecza tylko tym użytkownikom lub usługom, które przedstawiają poświadczenia przy użyciu prawidłowych tokenów kontroli dostępu. Ponadto umożliwia ona dostęp do inspekcji tych zasobów zaplecza. Wymagając dostępu do wszystkich danych za pomocą poświadczeń delegowanych do serwera do użytku w imieniu klienta, upewnij się, że serwer nie może zostać naruszony i że można uzyskać dostęp do poufnych informacji przechowywanych na innych serwerach. Uwierzytelnianie delegowane jest przydatne w przypadku aplikacji wielowarstwowych przeznaczonych do korzystania z funkcji logowania jednokrotnego na wielu komputerach.
Uwierzytelnianie w relacjach zaufania między domenami
Większość organizacji mających więcej niż jedną domenę ma uzasadnione potrzeby, aby użytkownicy mogli uzyskiwać dostęp do udostępnionych zasobów znajdujących się w innej domenie, podobnie jak podróżni mogą podróżować do różnych regionów w kraju. Kontrolowanie tego dostępu wymaga, aby użytkownicy w jednej domenie mogli być również uwierzytelniani i autoryzowani do używania zasobów w innej domenie. Aby zapewnić możliwości uwierzytelniania i autoryzacji między klientami i serwerami w różnych domenach, musi istnieć relacja zaufania między dwiema domenami. Relacje zaufania to podstawowa technologia, za pomocą której odbywa się zabezpieczona komunikacja z usługą Active Directory i stanowi integralny składnik zabezpieczeń architektury sieci systemu Windows Server.
Jeśli relacja zaufania istnieje między dwiema domenami, mechanizmy uwierzytelniania dla każdej domeny ufają uwierzytelnienia pochodzącemu z innej domeny. Zaufanie pomaga zapewnić kontrolowany dostęp do zasobów udostępnionych w domenie zasobów — domenie zaufania — sprawdzając, czy przychodzące żądania uwierzytelniania pochodzą z zaufanego urzędu — zaufanej domeny. W ten sposób relacje zaufania działają jako mostki, które umożliwiają tylko weryfikowanie żądań uwierzytelniania przesyłanych między domenami.
Sposób, w jaki określone zaufanie przekazuje żądania uwierzytelniania, zależy od tego, jak jest skonfigurowane. Relacje zaufania mogą być jednokierunkowe, zapewniając dostęp z zaufanej domeny do zasobów w domenie zaufania lub dwukierunkowo, zapewniając dostęp z każdej domeny do zasobów w innej domenie. Relacje zaufania są również nietransitywne, w takim przypadku relacja zaufania istnieje tylko między dwiema domenami partnerów zaufania lub przechodnią, w takim przypadku relacja zaufania automatycznie rozszerza się na wszystkie inne domeny, którym ufa jeden z partnerów.
Aby uzyskać informacje o sposobie działania relacji zaufania, zobacz How Domain and Forest Trusts Work.
Przejście protokołu
Protokół przejściowy wspiera projektantów aplikacji, pozwalając aplikacjom obsługiwać różne mechanizmy uwierzytelniania na poziomie uwierzytelniania użytkownika, jednocześnie przechodząc na protokół Kerberos dla funkcji zabezpieczeń, takich jak wzajemne uwierzytelnianie i delegowanie ograniczone, w dalszych warstwach aplikacji.
Aby uzyskać więcej informacji na temat przejścia protokołu, zobacz Przejście protokołu Kerberos i Ograniczone delegowanie.
Delegowanie
Ograniczone delegowanie umożliwia administratorom określanie i wymuszanie granic zaufania aplikacji przez ograniczenie zakresu, w którym usługi aplikacji mogą działać w imieniu użytkownika. Można określić określone usługi, z których komputer zaufany do delegowania może żądać zasobów. Elastyczność ograniczania uprawnień autoryzacji dla usług pomaga zwiększyć projekt zabezpieczeń aplikacji, zmniejszając możliwości naruszenia przez niezaufane usługi.
Aby uzyskać więcej informacji na temat ograniczonego delegowania, zobacz Omówienie ograniczonego delegowania protokołu Kerberos.
Dodatkowe referencje
Omówienie techniczne logowania i uwierzytelniania systemu Windows