Översikt över Windowsautentisering
Gäller för: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
Det här navigeringsavsnittet för IT-proffs listar de dokumentationsresurser för Windowsautentisering och inloggningstekniker som inkluderar produktutvärdering, komma-igång guider, procedurer, design och distributionsguider, tekniska referenser och kommandoreferenser.
Funktionsbeskrivning
Autentisering är en process för att verifiera identiteten för ett objekt, en tjänst, eller en person. När du autentiserar ett objekt så är målet att verifiera att objektet är äkta. När du autentiserar en tjänst eller person så är målet att verifiera att de autentiseringsuppgifter som ges är autentiska.
I nätverkssammanhang handlar autentisering om att bevisa sin identitet för ett nätverksprogram eller resurs. Vanligtvis bevisas identiteten genom en kryptografisk process som antingen använder en nyckel som bara användaren känner till, kryptering med offentlig nyckel, eller med delad nyckel. Serverdelen av autentiseringsutbytet jämför signerad data med en känd kryptografisk nyckel för att på så sätt validera autentiseringsförsöket.
Att lagra kryptografiska nycklar på en säker, central plats, gör att autentiseringsprocessen blir skalbar och hanterbar. Active Directory Domain Services är den rekommenderade standardteknologin för att lagra identitetsinformation (inklusive kryptografiska nycklar som är användarens autentiseringsuppgifter). Active Directory krävs för standardimplementeringar av NTLM och Kerberos.
Autentiseringstekniker kan sträcka sig från en enkel inloggning som identifierar användare baserat på något som bara användaren känner till, som ett lösenord, till kraftigare säkerhetsmekanismer som använder något som användaren har, såsom tokens, offentliga nyckelcertifikat och biometri. I en företagsmiljö kan tjänster eller användare behöva åtkomst till flera program eller tjänster på flera olika typer av servrar på samma plats eller på flera olika platser. Därmed behöver autentisering stödja miljöer för andra plattformar och för andra Windows-operativsystem.
Windows-operativsystemet implementerar en full uppsättning autentiseringsprotokoll, inklusive Kerberos, NTLM, TLS/SSL (Transport Layer Security/Secure Sockets Layer), och Sammanfattad som en del av sin utökningsbara arkitektur. Dessutom kombineras vissa protokoll i autentiseringspaket, exempelvis Negotiate och Credential Security Support Provider. Dessa protokoll och paket möjliggör autentisering av användare, datorer och tjänster. Autentiseringsprocessen i sin tur, möjliggör att auktoriserade användare och tjänster har åtkomst till resurser på ett säkert sätt.
För ytterligare information om Windows-autentisering, inklusive
se Teknisk översikt för Windows-autentisering.
Praktiska tillämpningar
Windows-autentisering används för att verifiera att informationen kommer från en betrodd källa, vare sig det rör sig om en person eller ett datorobjekt, som en annan dator. Windows tillhandahåller flera olika metoder för att uppnå det här målet, som det beskrivs nedan.
För... |
Funktion |
Beskrivning |
---|---|---|
Autentisering inom en Active Directory-domän |
Kerberos |
Windows Server-operativsystem implementerar Kerberos-autentiseringsprotokollet version 5 och tillägg för offentlig nyckel och en lösenordsbaserad autentisering. Kerberos-klientautentisering implementeras som en SSP (security support provider) och kan nås via SSPI-gränssnittet (Security Support Provider Interface). Den initiala användarautentiseringen är integrerad med Winlogon-arkitekturen för enkel inloggning. Kerberos KDC (Key Distribution Center) är integrerad med andra Windows Server säkerhetstjänster som kör på domänkontrollern. KDC använder domänens Active Directory katalogtjänstdatabas som databas för säkerhetskonton. Active Directory krävs för standardimplementeringar av Kerberos. För ytterligare resurser, se Översikt över Kerberos-autentisering. |
Säker autentisering på webben |
TLS/SSL som det implementerats i Schannel Security Support Provider |
TLS (Transport Layer Security)-protokoll versioner 1.0, 1.1 och 1.2, SSL (Secure Sockets Layer)-protokoll version 2.0 och 3.0, DTLS (Datagram Transport Layer Security)-protokoll version 1.0 och PCT (Private Communications Transport)-protokollet version 1.0, är alla baserade på kryptering med offentlig nyckel. Autentiseringsprotokollsviten Secure Channel (Schannel) innehåller de här protokollen. Alla Schannel-protokoll använder sig av en klient/server-modell. För ytterligare resurser, se Översikt över TLS/SSL (Schannel SSP). |
Autentisering till en webbtjänst eller ett program |
Integrerad Windows-autentisering Sammanfattad autentisering |
För ytterligare resurser, se Integrerad Windows-autentisering och Sammanfattad autentisering, och Avancerad sammanfattad autentisering. |
Autentisering till äldre program |
NTLM |
NTLM är ett autentiseringsprotokoll av anrop/svar-typ. Utöver autentisering, erbjuder NTLM alternativt också sessionssäkerhet, specifikt funktioner för meddelandeintegritet och sekretess genom signering och försegling. För ytterligare resurser, se NTLM-översikt. |
Att dra nytta av multifaktor-autentisering |
Smartkort-stöd Biometrisk support |
Smartkort är manipulationsfria och portabla sätt att erbjuda säkerhetslösningar för åtgärder som klientautentisering, inloggning på domäner, kodsignering och säkring av e-post. Biometri förlitar sig på att mäta en oföränderlig fysisk egenskap för en person för att på så sätt identifiera personen. Fingeravtryck är en av de mest använda biometriska egenskaperna med miljontals enheter för fingeravtrycksläsning i omlopp integrerade i allt från datorer till annan kringutrustning. För ytterligare resurser, se Översikt över smartkort och Översikt över Windows Biometric Framework [W8]. |
Att erbjuda lokal hantering, lagring och återanvändning av autentiseringsuppgifter |
Hantering av autentiseringsuppgifter Lokal säkerhetskontroll Lösenord |
Hantering av autentiseringsuppgifter i Windows tillser att autentiseringsuppgifterna lagras på ett säkert sätt. Autentiseringsuppgifter samlas ihop på det skyddade skrivbordet (för lokal eller domänåtkomst) via appar eller via webbsidor så att korrekt autentiseringsuppgifter kan visas varje gång en resurs används. För ytterligare resurser, se Teknisk översikt för cachelagrade och lagrade autentiseringsuppgifter och Översikt över lösenord. |
Att utöka modernt autentiseringsskydd även till äldre system |
Utökat skydd för autentisering |
Den här funktionen förbättrar skyddet för och hanteringen av autentiseringsuppgifter vid autentisering av nätverksanslutningar med integrerad windowsautentisering (IWA). För ytterligare resurser, se Utökat skydd för autentisering. |
Programvarukrav
Windows-autentisering är avsedd att vara kompatibel med tidigare versioner av Windows-operativsystemet. Förbättringar i varje version är dock inte nödvändigtvis giltiga för tidigare versioner. Läs dokumentationen om specifika funktioner för mer information.
Information om Serverhanteraren
Många autentiseringsfunktioner kan konfigureras med hjälp av gruppolicy som kan installeras med hjälp av serverhanteraren. Funktionen Windows Biometric Framework installeras med hjälp av serverhanteraren. Andra serverroller som är beroende av autentiseringsmetoder som Web Server (IIS) och Active Directory Domain Services kan också installeras med hjälp av serverhanteraren.
Relaterade resurser
Autentiseringsteknologier |
Resurser |
---|---|
Windows-autentisering |
Teknisk översikt för Windows-autentisering |
Kerberos |
Översikt över Kerberos-autentisering Översikt av Kerberos-begränsad delegering Teknisk referens för Kerberos-autentisering(2003) Kerberos överlevnadsguide (TechNet Wiki) |
TLS/SSL och DTLS (Schannel security support provider) |
|
Sammanfattad autentisering |
|
NTLM |
NTLM-översikt |
PKU2U |
|
Smartkort |
|
Virtuella smartkort |
|
Biometri |
Översikt över Windows Biometric Framework [W8]Översikt över Windows Biometric Framework [W8] |
Inloggningsuppgifter |
Hantering och skydd av autentiseringsuppgifter Översikt över lösenord |