Udostępnij za pośrednictwem


Scenariusze logowania systemu Windows

Niniejszy artykuł referencyjny dla specjalistów IT zawiera podsumowanie typowych scenariuszy logowania i uwierzytelniania w systemie Windows.

Systemy operacyjne Windows wymagają od wszystkich użytkowników zalogowania się na komputerze przy użyciu prawidłowego konta w celu uzyskania dostępu do zasobów lokalnych i sieciowych. Komputery z systemem Windows zabezpieczają zasoby, implementując proces logowania, w którym użytkownicy są uwierzytelniani. Po uwierzytelnieniu użytkownika technologie autoryzacji i kontroli dostępu implementują drugą fazę ochrony zasobów: określenie, czy uwierzytelniony użytkownik ma autoryzację dostępu do zasobu.

Zawartość tego artykułu ma zastosowanie do wersji systemu Windows wyznaczonych na liście Dotyczy na początku tego artykułu.

Ponadto aplikacje i usługi mogą wymagać od użytkowników zalogowania się w celu uzyskania dostępu do zasobów oferowanych przez aplikację lub usługę. Proces logowania jest podobny do procesu logowania, ponieważ wymagane jest prawidłowe konto i poprawne poświadczenia, ale informacje logowania są przechowywane w bazie danych Menedżera kont zabezpieczeń (SAM) na komputerze lokalnym i w usłudze Active Directory, jeśli ma to zastosowanie. Informacje o koncie logowania i poświadczeniach są zarządzane przez aplikację lub usługę i opcjonalnie mogą być przechowywane lokalnie w funkcji Credential Locker.

Aby dowiedzieć się, jak działa uwierzytelnianie, zobacz Pojęcia dotyczące uwierzytelniania systemu Windows.

W tym artykule opisano następujące scenariusze:

Ostrożność

Gdy użytkownik wykonuje logowanie lokalne, jego poświadczenia są weryfikowane lokalnie względem kopii buforowanej przed uwierzytelnieniem u dostawcy tożsamości za pośrednictwem sieci. Jeśli weryfikacja pamięci podręcznej zakończy się pomyślnie, użytkownik uzyska dostęp do pulpitu, nawet jeśli urządzenie jest w trybie offline. Jeśli jednak użytkownik zmieni hasło w chmurze, buforowany weryfikator nie zostanie zaktualizowany, co oznacza, że nadal będzie mógł uzyskać dostęp do komputera lokalnego przy użyciu starego hasła.

Logowanie interakcyjne

Proces logowania rozpoczyna się, gdy użytkownik wprowadza poświadczenia w oknie dialogowym wprowadzania poświadczeń, gdy użytkownik wstawia kartę inteligentną do czytnika kart inteligentnych lub gdy użytkownik wchodzi w interakcję z urządzeniem biometrycznym. Użytkownicy mogą wykonać logowanie interakcyjne przy użyciu konta użytkownika lokalnego lub konta domeny, aby zalogować się na komputerze.

Na poniższym diagramie przedstawiono interaktywne elementy logowania i proces logowania.

Diagram przedstawiający elementy logowania interakcyjnego i proces logowania.

Logowanie lokalne i domenowe

Poświadczenia, które użytkownik przedstawia dla logowania domeny, zawierają wszystkie elementy niezbędne do logowania lokalnego, takie jak nazwa konta i hasło lub certyfikat oraz informacje o domenie usługi Active Directory. Proces potwierdza identyfikację użytkownika w bazie danych zabezpieczeń na komputerze lokalnym użytkownika lub w domenie usługi Active Directory. Nie można wyłączyć tego obowiązkowego procesu logowania dla użytkowników w domenie.

Użytkownicy mogą wykonać interakcyjne logowanie do komputera na dwa sposoby:

  • Lokalnie, gdy użytkownik ma bezpośredni fizyczny dostęp do komputera lub gdy komputer jest częścią sieci komputerów.

    Logowanie lokalne udziela użytkownikowi uprawnień dostępu do zasobów systemu Windows na komputerze lokalnym. Logowanie lokalne wymaga, aby użytkownik miał konto użytkownika w Menedżerze kont zabezpieczeń (SAM) na komputerze lokalnym. Sam chroni informacje o użytkownikach i grupach oraz zarządza nimi w postaci kont zabezpieczeń przechowywanych w rejestrze komputerów lokalnych. Komputer może mieć dostęp do sieci, ale nie jest wymagany. Lokalne konto użytkownika i informacje o członkostwie w grupach służą do zarządzania dostępem do zasobów lokalnych.

    Logowanie sieciowe przyznaje użytkownikowi uprawnienia dostępu do zasobów systemu Windows na komputerze lokalnym, jak również do jakichkolwiek zasobów na komputerach podłączonych do sieci, zgodnie z tokenem dostępu poświadczeń. Zarówno logowanie lokalne, jak i logowanie sieciowe wymagają, aby użytkownik miał konto użytkownika w Menedżerze kont zabezpieczeń (SAM) na komputerze lokalnym. Informacje o członkostwie konta użytkownika lokalnego i grupy są używane do zarządzania dostępem do zasobów lokalnych, a token dostępu użytkownika definiuje, do jakich zasobów można uzyskać dostęp na komputerach sieciowych.

    Logowanie lokalne i logowanie sieciowe nie są wystarczające, aby udzielić użytkownikowi i komputerowi uprawnień dostępu do zasobów domeny i korzystania z nich.

  • Zdalnie, za pośrednictwem usług terminalowych lub usług pulpitu zdalnego (RDS), w tym przypadku logowanie jest dalej kwalifikowane jako zdalne interakcyjne.

Po zalogowaniu interakcyjnym system Windows uruchamia aplikacje w imieniu użytkownika, a użytkownik może wchodzić w interakcje z tymi aplikacjami.

Logowanie lokalne przyznaje użytkownikowi uprawnienia dostępu do zasobów na komputerze lokalnym lub zasobach na komputerach sieciowych. Jeśli komputer jest przyłączony do domeny, funkcja Winlogon próbuje zalogować się do tej domeny.

Logowanie do domeny przyznaje użytkownikowi uprawnienia dostępu do zasobów lokalnych i domeny. Logowanie do domeny wymaga, aby użytkownik miał konto użytkownika w usłudze Active Directory. Komputer musi mieć konto w domenie usługi Active Directory i być fizycznie połączone z siecią. Użytkownicy muszą również mieć uprawnienia użytkownika do logowania się na komputerze lokalnym lub w domenie. Informacje o koncie użytkownika domeny i informacje o członkostwie w grupie są używane do zarządzania dostępem do domeny i zasobów lokalnych.

Zdalne logowanie

W systemie Windows uzyskiwanie dostępu do innego komputera za pośrednictwem zdalnego logowania opiera się na protokole RDP (Remote Desktop Protocol). Ponieważ użytkownik musi już pomyślnie zalogować się na komputerze klienckim przed podjęciem próby połączenia zdalnego, procesy logowania interakcyjnego zostały pomyślnie zakończone.

Protokół RDP zarządza poświadczeniami wprowadzonymi przez użytkownika przy użyciu klienta pulpitu zdalnego. Te poświadczenia są przeznaczone dla komputera docelowego, a użytkownik musi mieć konto na tym komputerze docelowym. Ponadto komputer docelowy musi być skonfigurowany do akceptowania połączenia zdalnego. Poświadczenia komputera docelowego są wysyłane w celu przeprowadzenia procesu uwierzytelniania. Jeśli uwierzytelnianie zakończy się pomyślnie, użytkownik jest połączony z zasobami lokalnymi i sieciowymi, które są dostępne przy użyciu podanych poświadczeń.

Logowanie do sieci

Logowanie sieciowe może być używane tylko po wystąpieniu uwierzytelniania użytkownika, usługi lub komputera. Podczas logowania do sieci proces nie używa okien dialogowych wprowadzania poświadczeń do zbierania danych. Zamiast tego używane są wcześniej ustanowione poświadczenia lub inna metoda zbierania poświadczeń. Ten proces potwierdza tożsamość użytkownika w dowolnej usłudze sieciowej, do jakiej użytkownik próbuje uzyskać dostęp. Ten proces jest zwykle niewidoczny dla użytkownika, chyba że należy podać alternatywne poświadczenia.

Aby zapewnić ten typ uwierzytelniania, system zabezpieczeń obejmuje następujące mechanizmy uwierzytelniania:

  • Protokół Kerberos w wersji 5

  • Certyfikaty kluczy publicznych

  • Zabezpieczenia Secure Sockets Layer/Transport Layer (SSL/TLS)

  • Podsumowanie

  • NTLM, dla zgodności z systemami Microsoft Windows NT 4.0

Aby uzyskać informacje o elementach i procesach, zobacz interakcyjny diagram logowania we wcześniejszej części tego artykułu.

Logowanie na karcie inteligentnej

Karty inteligentne mogą służyć do logowania się tylko do kont domeny, a nie kont lokalnych. Uwierzytelnianie za pomocą karty inteligentnej wymaga użycia protokołu uwierzytelniania Kerberos. Począwszy od systemu Windows 2000 Server, w systemach operacyjnych opartych na systemie Windows zaimplementowane jest rozszerzenie klucza publicznego do początkowego żądania uwierzytelniania protokołu Kerberos. W przeciwieństwie do kryptografii wspólnego klucza tajnego kryptografia klucza publicznego jest asymetryczna. Oznacza to, że potrzebne są dwa różne klucze: jeden do szyfrowania, drugi do odszyfrowania. Razem klucze wymagane do wykonania obu operacji składają się na parę kluczy prywatnych/publicznych.

Aby zainicjować typową sesję logowania, użytkownik musi udowodnić swoją tożsamość, podając informacje znane tylko użytkownikowi i podstawowej infrastrukturze protokołu Kerberos. Informacje tajne to kryptograficzny klucz wspólny pochodzący z hasła użytkownika. Wspólny klucz tajny jest symetryczny, co oznacza, że ten sam klucz jest używany zarówno do szyfrowania, jak i odszyfrowywania.

Na poniższym diagramie przedstawiono elementy i procesy wymagane do logowania za pomocą karty inteligentnej.

Diagram przedstawiający elementy i procesy wymagane do logowania za pomocą karty inteligentnej.

Gdy karta inteligentna jest używana zamiast hasła, para kluczy prywatnych/publicznych przechowywana na karcie inteligentnej użytkownika jest zastępowana wspólnym kluczem tajnym, który pochodzi z hasła użytkownika. Klucz prywatny jest przechowywany tylko na karcie inteligentnej. Klucz publiczny można udostępnić wszystkim osobom, którym właściciel chce wymieniać poufne informacje.

Aby uzyskać więcej informacji na temat procesu logowania do karty inteligentnej w systemie Windows, zobacz Jak działa logowanie do karty inteligentnej w systemie Windows.

Logowanie biometryczne

Urządzenie służy do przechwytywania i tworzenia cyfrowej charakterystyki artefaktu, takiego jak odcisk palca. Ta reprezentacja cyfrowa jest następnie porównywana z próbką tego samego artefaktu, a gdy te dwa są zgodne, uwierzytelnianie może wystąpić. Komputery z dowolnymi systemami operacyjnymi wyznaczonymi na liście Dotyczy na początku tego artykułu można skonfigurować tak, aby akceptowały tę formę logowania. Jeśli jednak logowanie biometryczne jest skonfigurowane tylko do logowania lokalnego, użytkownik musi przedstawić poświadczenia domeny podczas uzyskiwania dostępu do domeny usługi Active Directory.

Aby uzyskać informacje o sposobie zarządzania poświadczeniami przesłanymi przez system Windows podczas procesu logowania, zobacz Zarządzanie poświadczeniami w uwierzytelnianiu systemu Windows.

Omówienie techniczne logowania i uwierzytelniania systemu Windows