Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här navigeringsavsnittet för IT-tekniker listar dokumentationsresurser för Windows-autentisering och inloggningstekniker som omfattar produktutvärdering, komma igång-guider, procedurer, design- och distributionsguider, tekniska referenser och kommandoreferenser.
Funktionsbeskrivning
Autentisering är en process för att verifiera identiteten för ett objekt, en tjänst eller en person. När du autentiserar ett objekt är målet att kontrollera att objektet är äkta. När du autentiserar en tjänst eller person är målet att verifiera att de autentiseringsuppgifter som visas är autentiska.
I en nätverkskontext handlar autentisering om att bevisa identitet för ett nätverksprogram eller en resurs. Vanligtvis bevisas identiteten av en kryptografisk åtgärd som antingen använder en nyckel som bara användaren känner till – som med kryptering med offentlig nyckel – eller en delad nyckel. Serversidan av autentiseringsutbytet jämför signerade data med en känd kryptografisk nyckel för att verifiera autentiseringsförsöket.
Lagring av kryptografiska nycklar på en säker central plats gör autentiseringsprocessen skalbar och underhållsbar. Active Directory Domain Services är den rekommenderade och standardtekniken för lagring av identitetsinformation (inklusive kryptografiska nycklar som är användarens autentiseringsuppgifter). Active Directory krävs för standardimplementeringar av NTLM och Kerberos.
Autentiseringstekniker sträcker sig från en enkel inloggning, som identifierar användare baserat på något som bara användaren känner till , till exempel ett lösenord, till mer kraftfulla säkerhetsmekanismer som använder något som användaren har - som token, offentliga nyckelcertifikat och biometri. I en företagsmiljö kan tjänster eller användare komma åt flera program eller resurser på många typer av servrar på en enda plats eller på flera platser. Därför måste autentisering stödja miljöer för andra plattformar och för andra Windows-operativsystem.
Windows-operativsystemet implementerar en standarduppsättning autentiseringsprotokoll, inklusive Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) och Digest, som en del av en utökningsbar arkitektur. Dessutom kombineras vissa protokoll till autentiseringspaket som Negotiate och Credential Security Support Provider. Dessa protokoll och paket möjliggör autentisering av användare, datorer och tjänster. Autentiseringsprocessen gör det i sin tur möjligt för behöriga användare och tjänster att få åtkomst till resurser på ett säkert sätt.
Mer information om Windows-autentisering, inklusive
se Teknisk översikt över Windows-autentisering.
Praktiska tillämpningar
Windows-autentisering används för att verifiera att informationen kommer från en betrodd källa, oavsett om den kommer från en person eller ett datorobjekt, till exempel en annan dator. Windows innehåller många olika metoder för att uppnå det här målet enligt beskrivningen nedan.
| Till... | Egenskap | Beskrivning |
|---|---|---|
| Autentisera inom en Active Directory-domän | Kerberos | Microsoft Windows Server-operativsystemen implementerar Kerberos version 5-autentiseringsprotokoll och tillägg för offentlig nyckelautentisering. Kerberos-autentiseringsklienten implementeras som en SSP (Security Support Provider) och kan nås via SSPI (Security Support Provider Interface). Den första användarautentiseringen är integrerad med winlogon-arkitekturen för enkel inloggning. Kerberos Key Distribution Center (KDC) är integrerat med andra Windows Server-säkerhetstjänster som körs på domänkontrollanten. KDC använder domänens Active Directory-katalogtjänstdatabas som säkerhetskontodatabas. Active Directory krävs för kerberos-standardimplementeringar. Ytterligare resurser finns i Översikt över Kerberos-autentisering. |
| Säker autentisering på webben | TLS/SSL som implementerats i Schannel Security Support Provider | TLS-protokollversionerna 1.0, 1.1 och 1.2, SSL-protokollet (Secure Sockets Layer), version 2.0 och 3.0, Datagram Transport Layer Security Protocol version 1.0 och PCT-protokollet (Private Communications Transport), version 1.0, baseras på kryptering av offentliga nycklar. Schannel-providerns autentiseringsprotokollsvit (Secure Channel) tillhandahåller dessa protokoll. Alla Schannel-protokoll använder en klient- och servermodell. Ytterligare resurser finns i översikten TLS – SSL (Schannel SSP). |
| Autentisera till en webbtjänst eller ett program | Integrerad Windows-autentisering Digest-autentisering |
Ytterligare resurser finns i Integrerad Windows-autentisering och Sammanfattad autentiseringoch Avancerad sammanfattad autentisering. |
| Autentisera till äldre program | NTLM | NTLM är ett autentiseringsprotokoll i utmaningssvarsstil. Förutom autentisering tillhandahåller NTLM-protokollet valfritt sessionssäkerhet – specifikt meddelandeintegritet och konfidentialitet genom signerings- och tätningsfunktioner i NTLM. Ytterligare resurser finns i NTLM-översikt. |
| Utnyttja multifaktorautentisering | Stöd för smartkort Biometriskt stöd |
Smartkort är ett manipuleringsbeständigt och bärbart sätt att tillhandahålla säkerhetslösningar för uppgifter som klientautentisering, inloggning till domäner, kodsignering och skydd av e-post. Biometri är beroende av att mäta en oföränderlig fysisk egenskap hos en person för att unikt identifiera den personen. Fingeravtryck är en av de mest använda biometriska egenskaperna, med miljontals biometriska fingeravtrycksenheter som är inbäddade i personliga datorer och kringutrustning. För ytterligare resurser, se den tekniska referensen för smartkort. |
| Tillhandahålla lokal hantering, lagring och återanvändning av autentiseringsuppgifter | Hantering av autentiseringsuppgifter Lokal säkerhetsmyndighet Lösenord |
Hantering av autentiseringsuppgifter i Windows säkerställer att autentiseringsuppgifterna lagras på ett säkert sätt. Autentiseringsuppgifter samlas in på Det säkra skrivbordet (för lokal åtkomst eller domänåtkomst), via appar eller via webbplatser så att rätt autentiseringsuppgifter visas varje gång en resurs används. |
| Utöka modernt autentiseringsskydd till äldre system | Utökat skydd för autentisering | Den här funktionen förbättrar skyddet och hanteringen av autentiseringsuppgifter när du autentiserar nätverksanslutningar med hjälp av integrerad Windows-autentisering (IWA). |
Programvarukrav
Windows-autentisering är utformat för att vara kompatibelt med tidigare versioner av Windows-operativsystemet. Förbättringar med varje version gäller dock inte nödvändigtvis för tidigare versioner. Mer information finns i dokumentationen om specifika funktioner.
Serverhanterarens information
Många autentiseringsfunktioner kan konfigureras med grupprincip, som kan installeras med serverhanteraren. Windows Biometric Framework-funktionen installeras med serverhanteraren. Andra serverroller som är beroende av autentiseringsmetoder, till exempel webbserver (IIS) och Active Directory Domain Services, kan också installeras med hjälp av Serverhanteraren.
Relaterade resurser
| Autentiseringstekniker | Resurser |
|---|---|
| Windows-autentisering |
Teknisk översikt över Windows-autentisering Innehåller ämnen som behandlar skillnader mellan versioner, allmänna autentiseringsbegrepp, inloggningsscenarier, arkitekturer för versioner som stöds och tillämpliga inställningar. |
| Kerberos |
Översikt över Kerberos-autentisering Översikt över Kerberos-begränsad delegering |
| TLS/SSL och DTLS (Schannels säkerhetsstödleverantör) | översikt över TLS – SSL (Schannel SSP) |
| Sammanfattad autentisering | Teknisk referens för sammanfattad autentisering(2003) |
| NTLM |
NTLM-översikt Innehåller länkar till aktuella och tidigare resurser |
| PKU2U | Introduktion till PKU2U i Windows |
| Smartkort | Teknisk referens för smartkort |
| Behörigheter |
Skydd och hantering av autentiseringsuppgifter Innehåller länkar till aktuella och tidigare resurser
Översikt över Lösenord |