Authentication Services Security
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
9/8/2008
O seguinte provedores suporte de segurança são com suporte:
- Para Windows Embedded CE, fornecedor de suporte de segurança Kerberos
- Fornecedor de Suporte de Segurança NTLM
- Fornecedor de suporte de segurança Schannel
- Fornecedor de suporte de segurança Negotiate
É importante sempre usar Seguro codificação técnicas enquanto você trabalho com a autenticação serviços funcionalidade.
Melhores Práticas
Use autenticação mútua
Use provedor de suporte de segurança Kerberos (SSP) para fornecer autenticação mútua entre entidades. Kerberos permite que o servidor para cliente verificar identidade e permite que o cliente para verificar a identidade servidor. Observe que SSP de NTLM não fornece autenticação mútua.
Evite armazenar credenciais usuário sobre o dispositivo
Os desenvolvedores sistema operacional podem evitar os usuários de salvar senhas no dispositivo por meio de Credential Manager. Você pode definir a valor do Registro DisallowSavedNetworkPasswords para 1. Isso ajuda a evitar os hackers de extrair credenciais de rede do dispositivo no maiúsculas e minúsculas o dispositivo for roubado. Para obter mais informações, consulte Authentication Services Registry Settings.
Evite usar senhas texto no criptografado
Credenciais senha em texto sem formatação são usados quando Credential Manager armazena em cache o real senha. As senhas em texto sem formatação são principal riscos de segurança e deve ser evitada sempre que possível.
Use inteligente Cartões para armazenar credenciais
Você pode adicionar uma camada de segurança, armazenando informações sobre autenticação em um cartão inteligente instead of no dispositivo. Isso impede que os hackers extraindo credenciais de rede a partir de dispositivo em maiúsculas e minúsculas que o dispositivo for roubado.
Use passagem autenticação
Se um controlador de domínio está disponível, use passagem autenticação instead of usando o local banco de dados de usuário nomes e senhas. Esta prática evita armazenando o usuário nomes e senhas no dispositivo. Windows Embedded CE Distributed COM, servidor Web e o redirecionador componentes podem usar passagem autenticação.
Use um protocolo de autenticação de alta segurança
Ao usar SSP do NTLM, você pode especificar a autenticação protocolos para o cliente e o servidor separadamente. Para evitar o NTLM SSP de usar o protocolo de autenticação mais fraco, defina o LmCompatibilityLevelClient valor no Registro para 3. Isso especifica que o cliente só usará o NTLM v2 para autenticação. No entanto, autenticação falhará se o servidor não for capaz de protocolo NTLM v2. Você também pode definir a LmCompatibilityLevelServer valor para 2 ou 3. Ambas essas especificar que o servidor usará somente NTLM v2. A autenticação falhará se o cliente não for capaz de protocolo NTLM v2. Para obter mais informações, consulte Authentication Services Registry Settings.
O NTLM v2 protocolo de autenticação está disponível somente no Windows CE .NET 4.1 e posterior. Servidores execução Microsoft Windows 2000 e suporte posterior NTLM v2.
Chamar AcquireCredentialsHandle somente uma vez
Ao usar qualquer SSP, chamar o AcquireCredentialsHandle somente um tempo e o uso de credencial armazenada em cache tratado para se autenticar novamente. Dessa forma, o usuário não precise inserir novamente as credenciais.
Configurações do Registro padrão
Você deve estar ciente das configurações de Registro que afetam a segurança. Se um valor tem implicações de segurança você irá localizar um Observação de segurança Na documentação a configurações Registro.
Para informações Registro, consulte Authentication Services Registry Settings.
Portas
Há Portas específicas são usadas para autenticação serviços.