Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico de visão geral para o profissional de TI explica o esquema básico de arquitetura para autenticação do Windows.
A autenticação é o processo pelo qual o sistema valida as informações de início de sessão de um usuário. O nome e a senha de um usuário são comparados com uma lista autorizada e, se o sistema detetar uma correspondência, o acesso será concedido na medida especificada na lista de permissões para esse usuário.
Como parte de uma arquitetura extensível, os sistemas operacionais Windows Server implementam um conjunto padrão de provedores de suporte de segurança de autenticação, que incluem Negotiate, o protocolo Kerberos, NTLM, Schannel (canal seguro) e Digest. Os protocolos usados por esses provedores permitem a autenticação de usuários, computadores e serviços, e o processo de autenticação permite que usuários e serviços autorizados acessem recursos de maneira segura.
No Windows Server, os aplicativos autenticam usuários usando o SSPI para abstrair chamadas para autenticação. Assim, os desenvolvedores não precisam entender as complexidades de protocolos de autenticação específicos ou criar protocolos de autenticação em seus aplicativos.
Os sistemas operacionais Windows Server incluem um conjunto de componentes de segurança que compõem o modelo de segurança do Windows. Esses componentes garantem que os aplicativos não possam obter acesso a recursos sem autenticação e autorização. As seções a seguir descrevem os elementos da arquitetura de autenticação.
Autoridade de Segurança Local
A Autoridade de Segurança Local (LSA) é um subsistema protegido que autentica e inicia sessão nos utilizadores no computador local. Além disso, a LSA mantém informações sobre todos os aspetos da segurança local em um computador (esses aspetos são coletivamente conhecidos como a política de segurança local). Ele também fornece vários serviços para tradução entre nomes e identificadores de segurança (SIDs).
O subsistema de segurança controla as políticas de segurança e as contas que estão em um sistema de computador. No caso de um controlador de domínio, essas políticas e contas são aquelas que estão em vigor para o domínio no qual o controlador de domínio está localizado. Essas políticas e contas são armazenadas no Ative Directory. O subsistema LSA fornece serviços para validar o acesso a objetos, verificar os direitos do usuário e gerar mensagens de auditoria.
Interface do Fornecedor de Suporte de Segurança
A SSPI (Security Support Provider Interface) é a API que obtém serviços de segurança integrados para autenticação, integridade da mensagem, privacidade da mensagem e qualidade de serviço de segurança para qualquer protocolo de aplicativo distribuído.
SSPI é a implementação da API de Serviço de Segurança Genérica (GSSAPI). SSPI fornece um mecanismo pelo qual um aplicativo distribuído pode chamar um dos vários provedores de segurança para obter uma conexão autenticada sem conhecimento dos detalhes do protocolo de segurança.