Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
BT uzmanlarına yönelik bu başvuru konusu, Windows kimlik doğrulamasının kimlik bilgilerini nasıl işlediğini açıklar.
Windows kimlik bilgileri yönetimi, işletim sisteminin hizmetten veya kullanıcıdan kimlik bilgilerini aldığı ve gelecekte kimlik doğrulama hedefine sunabilmek için bu bilgilerin güvenliğini sağladığı işlemdir. Etki alanına katılmış bir bilgisayar söz konusu olduğunda, kimlik doğrulama hedefi etki alanı denetleyicisidir. Kimlik doğrulamasında kullanılan kimlik bilgileri, kullanıcının kimliğini sertifika, parola veya PIN gibi bir kimlik doğrulaması kanıtıyla ilişkilendiren dijital belgelerdir.
Varsayılan olarak, Windows kimlik bilgileri Winlogon hizmeti aracılığıyla yerel bilgisayardaki Güvenlik Hesapları Yöneticisi (SAM) veritabanında veya etki alanına katılmış bir bilgisayarda Active Directory'de doğrulanır. Kimlik bilgileri, oturum açma kullanıcı arabirimindeki kullanıcı girişi aracılığıyla veya kimlik doğrulama hedefine sunulmak üzere uygulama programlama arabirimi (API) aracılığıyla program aracılığıyla toplanır.
Yerel güvenlik bilgileri kayıt defterinde HKEY_LOCAL_MACHINE\SECURITYaltında depolanır. Depolanan bilgiler ilke ayarlarını, varsayılan güvenlik değerlerini ve önbelleğe alınmış oturum açma kimlik bilgileri gibi hesap bilgilerini içerir. SAM veritabanının bir kopyası da burada depolanır, ancak yazmaya karşı korumalıdır.
Aşağıdaki diyagramda gerekli olan bileşenler ve kimlik bilgilerinin kullanıcının kimliğini doğrulamak veya başarılı bir oturum açma işlemi için sistem üzerinden geçen yollar gösterilmektedir.
Aşağıdaki tabloda, oturum açma noktasında kimlik doğrulama işlemindeki kimlik bilgilerini yöneten her bileşen açıklanmaktadır.
Tüm sistemler için kimlik doğrulama bileşenleri
| Bileşen | Açıklama |
|---|---|
| Kullanıcı oturum açma | Winlogon.exe, güvenli kullanıcı etkileşimlerini yönetmekle sorumlu yürütülebilir dosyadır. Winlogon hizmeti, güvenli masaüstünde (Oturum Açma Kullanıcı Arabirimi) kullanıcı eylemi tarafından toplanan kimlik bilgilerini Secur32.dllaracılığıyla Yerel Güvenlik Yetkilisi'ne (LSA) geçirerek Windows işletim sistemleri için oturum açma işlemini başlatır. |
| Uygulama girişi | Etkileşimli oturum açma gerektirmeyen uygulama veya hizmet oturum açma işlemleri. Kullanıcı tarafından başlatılan işlemlerin çoğu Secur32.dll kullanarak kullanıcı modunda çalıştırılırken, başlangıçta başlatılan hizmetler gibi işlemler Ksecdd.syskullanarak çekirdek modunda çalışır. Kullanıcı modu ve çekirdek modu hakkında daha fazla bilgi için bu konudaki Uygulamalar ve Kullanıcı Modu veya Hizmetler ve Çekirdek Modu bölümüne bakın. |
| Secur32.dll | Kimlik doğrulama işleminin temelini oluşturan birden çok kimlik doğrulama sağlayıcısı. |
| Lsasrv.dll | Hem güvenlik ilkelerini uygulayan hem de LSA için güvenlik paketi yöneticisi olarak görev yapan LSA Server hizmeti. LSA, hangi protokolün başarılı olacağını belirledikten sonra NTLM veya Kerberos protokollerini seçen Negotiate işlevini içerir. |
| Güvenlik Desteği Sağlayıcıları | Tek tek bir veya daha fazla kimlik doğrulama protokolü çağırabilen bir sağlayıcı kümesi. Varsayılan sağlayıcı kümesi, Windows işletim sisteminin her sürümüyle değişebilir ve özel sağlayıcılar yazılabilir. |
| Netlogon.dll | Net Logon hizmetinin gerçekleştirdiği hizmetler şunlardır: - Bilgisayarın güvenli kanalını (Schannel ile karıştırılmaması için) bir etki alanı denetleyicisine korur. |
| Samsrv.dll | Yerel güvenlik hesaplarını depolayan Güvenlik Hesapları Yöneticisi (SAM), yerel olarak depolanan ilkeleri zorunlu kılar ve API'leri destekler. |
| Kayıt sistemi | Kayıt Defteri SAM veritabanının, yerel güvenlik ilkesi ayarlarının, varsayılan güvenlik değerlerinin ve yalnızca sistem tarafından erişilebilen hesap bilgilerinin bir kopyasını içerir. |
Bu konu aşağıdaki bölümleri içerir:
Kullanıcı oturum açma için kimlik bilgisi girişi
Windows Server 2008 ve Windows Vista'da, Grafik Tanımlama ve Kimlik Doğrulaması (GINA) mimarisi, oturum açma kutucukları kullanarak farklı oturum açma türlerini listelemeyi mümkün kılan bir kimlik bilgisi sağlayıcısı modeliyle değiştirildi. Her iki model de aşağıda açıklanmıştır.
Grafik Tanımlama ve Kimlik Doğrulaması mimarisi
Grafik Tanımlama ve Kimlik Doğrulaması (GINA) mimarisi Windows Server 2003, Microsoft Windows 2000 Server, Windows XP ve Windows 2000 Professional işletim sistemleri için geçerlidir. Bu sistemlerde, her etkileşimli oturum açma oturumu Winlogon hizmetinin ayrı bir örneğini oluşturur. GINA mimarisi Winlogon tarafından kullanılan işlem alanına yüklenir, kimlik bilgilerini alır ve işler ve kimlik doğrulama arabirimlerine LSALogonUser aracılığıyla çağrı yapar.
Etkileşimli oturum açma için Winlogon örnekleri Oturum 0'da çalıştırılır. Oturum 0, sistem hizmetlerini ve Yerel Güvenlik Yetkilisi (LSA) işlemi de dahil olmak üzere diğer kritik işlemleri barındırıyor.
Aşağıdaki diyagramda Windows Server 2003, Microsoft Windows 2000 Server, Windows XP ve Microsoft Windows 2000 Professional için kimlik bilgisi işlemi gösterilmektedir.
Kimlik bilgisi sağlayıcısı mimarisi
Kimlik bilgisi sağlayıcısı mimarisi, bu konunun başındaki Uygulandığı Yer listesinde belirtilen sürümler için geçerlidir. Bu sistemlerde kimlik bilgileri giriş mimarisi, kimlik bilgisi sağlayıcılarını kullanarak genişletilebilir bir tasarıma dönüştü. Bu sağlayıcılar, güvenli masaüstünde, aynı kullanıcı için farklı hesaplar ve parola, akıllı kart ve biyometri gibi farklı kimlik doğrulama yöntemleri gibi herhangi bir sayıda oturum açma senaryosuna izin veren farklı oturum açma kutucuklarıyla temsil edilir.
Kimlik bilgisi sağlayıcısı mimarisiyle, Winlogon her zaman güvenli bir dikkat dizisi olayı aldıktan sonra Oturum Açma Kullanıcı Arabirimi'ni başlatır. Oturum Açma Kullanıcı Arabirimi, her kimlik bilgisi sağlayıcısını, sağlayıcının numaralandırmak üzere yapılandırıldığı farklı kimlik bilgisi türlerinin sayısı için sorgular. Kimlik bilgisi sağlayıcıları, varsayılan olarak bu kutucuklardan birini belirtme seçeneğine sahiptir. Tüm sağlayıcılar kutucuklarını numaralandırdıktan sonra, Oturum Açma Kullanıcı Arabirimi bunları kullanıcıya görüntüler. Kullanıcı, kimlik bilgilerini sağlamak için bir kutucukla etkileşim kurar. Oturum açma kullanıcı arabirimi kimlik doğrulaması için bu kimlik bilgilerini gönderir.
Kimlik bilgisi sağlayıcıları zorlama mekanizmaları değildir. Kimlik bilgilerini toplamak ve seri hale getirmek için kullanılırlar. Yerel Güvenlik Yetkilisi ve kimlik doğrulama paketleri güvenliği uygular.
Kimlik bilgisi sağlayıcıları bilgisayarda kayıtlıdır ve aşağıdakilerden sorumludur:
Kimlik doğrulaması için gereken kimlik bilgisi bilgilerini açıklama.
Dış kimlik doğrulama yetkilileriyle iletişimi ve mantığı işleme.
Etkileşimli ve ağ oturum açma için kimlik bilgilerini paketleme.
Etkileşimli ve ağ oturumu açma için kimlik bilgilerini paketleme işlemi serileştirme işlemini içerir. Kimlik bilgileri seri hale getirilerek oturum açma kullanıcı arabiriminde birden çok oturum açma kutucunu görüntülenebilir. Bu nedenle, kuruluşunuz özelleştirilmiş kimlik bilgisi sağlayıcılarının kullanımı aracılığıyla kullanıcılar, oturum açma için hedef sistemler, ağa oturum açma öncesi erişim ve iş istasyonu kilitleme/kilit açma ilkeleri gibi oturum açma görüntüsünü denetleyebilir. Aynı bilgisayarda birden çok kimlik bilgisi sağlayıcısı birlikte bulunabilir.
Çoklu oturum açma (SSO) sağlayıcıları standart kimlik bilgisi sağlayıcısı veyaLogon-Access Öncesi Sağlayıcısı olarak geliştirilebilir.
Windows'un her sürümü bir varsayılan kimlik bilgisi sağlayıcısı ve SSO sağlayıcısı olarak da bilinen bir varsayılanLogon-Access Öncesi Sağlayıcısı (PLAP) içerir. SSO sağlayıcısı, kullanıcıların yerel bilgisayarda oturum açmadan önce bir ağa bağlantı oluşturmasına izin verir. Bu sağlayıcı uygulandığında, sağlayıcı Oturum Açma kullanıcı arabirimindeki kutucukları listelemez.
SSO sağlayıcısının aşağıdaki senaryolarda kullanılması amaçlanmıştır:
Ağ kimlik doğrulaması ve bilgisayar oturumu farklı kimlik sağlayıcıları tarafından işlenir. Bu senaryoya yönelik çeşitlemeler şunlardır:
Bir kullanıcının, bilgisayarda oturum açmadan önce sanal özel ağa (VPN) bağlanma gibi bir ağa bağlanma seçeneği vardır ancak bu bağlantıyı yapması gerekmez.
Yerel bilgisayarda etkileşimli kimlik doğrulaması sırasında kullanılan bilgileri almak için ağ kimlik doğrulaması gereklidir.
Birden çok ağ kimlik doğrulaması diğer senaryolardan biri tarafından takip edilir. Örneğin, bir kullanıcı İnternet servis sağlayıcısında (ISS) kimlik doğrulaması yapar, VPN'de kimlik doğrulaması yapar ve ardından yerel olarak oturum açmak için kullanıcı hesabı kimlik bilgilerini kullanır.
Önbelleğe alınan kimlik bilgileri devre dışı bırakılır ve kullanıcının kimliğini doğrulamak için yerel oturum açmadan önce VPN üzerinden Uzaktan Erişim Hizmetleri bağlantısı gerekir.
Etki alanı kullanıcılarının etki alanına katılmış bir bilgisayarda ayarlanmış bir yerel hesabı yoktur ve etkileşimli oturum açma işlemini tamamlamadan önce VPN bağlantısı üzerinden Uzaktan Erişim Hizmetleri bağlantısı kurması gerekir.
Ağ kimlik doğrulaması ve bilgisayarda oturum açma aynı kimlik bilgisi sağlayıcısı tarafından işlenir. Bu senaryoda, kullanıcının bilgisayarda oturum açmadan önce ağa bağlanması gerekir.
Oturum açma kutucuğu numaralandırması
Kimlik bilgisi sağlayıcısı aşağıdaki örneklerde oturum açma kutucuklarını numaralandırır:
Bu konunun başında belirtilen Uygulanan sistemler listesinde yer alan işletim sistemleri için.
Kimlik bilgisi sağlayıcısı, iş istasyonu oturum açma kutucuklarını numaralandırır. Kimlik bilgisi sağlayıcısı genellikle yerel güvenlik yetkilisine kimlik doğrulaması için kimlik bilgilerini serileştirir. Bu işlem, her kullanıcıya özgü ve her kullanıcının hedef sistemlerine özgü kutucukları görüntüler.
Oturum açma ve kimlik doğrulama mimarisi, kullanıcının bir iş istasyonunun kilidini açmak için kimlik bilgisi sağlayıcısı tarafından numaralandırılmış kutucukları kullanmasına olanak tanır. Genellikle, şu anda oturum açmış olan kullanıcı varsayılan kutucuktur, ancak birden fazla kullanıcı oturum açtıysa, çok sayıda kutucuk görüntülenir.
Kimlik bilgisi sağlayıcısı, kullanıcı parolasını veya PIN gibi diğer özel bilgileri değiştirme isteğine yanıt olarak kutucukları numaralandırır. Genellikle, şu anda oturum açmış olan kullanıcı varsayılan kutucuktır; ancak, birden fazla kullanıcı oturum açtıysa, çok sayıda kutucuk görüntülenir.
Kimlik bilgisi sağlayıcısı, uzak bilgisayarlarda kimlik doğrulaması için kullanılacak serileştirilmiş kimlik bilgilerine göre kutucukları numaralandırır. Kimlik bilgisi kullanıcı arabirimi, sağlayıcının Oturum Açma Kullanıcı Arabirimi, İş İstasyonuNun Kilidini Açma veya ParolaYı Değiştir ile aynı örneğini kullanmaz. Bu nedenle, Kimlik Bilgisi UI örnekleri arasında durum bilgileri sağlayıcıda saklanamaz. Bu yapı, kimlik bilgilerinin doğru şekilde seri hale getirildiği varsayılarak her uzak bilgisayar oturum açması için bir kutucuk elde eder. Bu senaryo, bilgisayarın çalışmasını etkileyebilecek veya bilgisayarın diğer kullanıcılarını etkileyebilecek ayarları değiştirebilecek eylemlere izin vermeden önce kullanıcıdan izin veya yönetici parolası istenerek bilgisayarda yetkisiz değişikliklerin önlenmesine yardımcı olabilecek Kullanıcı Hesabı Denetimi'nde (UAC) de kullanılır.
Aşağıdaki diyagramda, bu konunun başındaki Uygulandığı Yer listesinde belirlenen işletim sistemleri için kimlik bilgisi işlemi gösterilmektedir.
Uygulama ve hizmet oturum açma için kimlik bilgisi girişi
Windows kimlik doğrulaması, kullanıcı etkileşimi gerektirmeyen uygulamalar veya hizmetler için kimlik bilgilerini yönetmek üzere tasarlanmıştır. Kullanıcı modundaki uygulamalar, hangi sistem kaynaklarına erişebilecekleri bakımından sınırlandırılırken, hizmetlerin sistem belleğine ve dış cihazlara sınırsız erişimi olabilir.
Sistem hizmetleri ve aktarım düzeyi uygulamalar, bir sistemde kullanılabilen güvenlik paketlerini listelemek, bir paket seçmek ve kimliği doğrulanmış bir bağlantı elde etmek için bu paketi kullanmak için işlevler sağlayan Windows'daki Güvenlik Destek Sağlayıcısı Arabirimi (SSPI) aracılığıyla bir Güvenlik Desteği Sağlayıcısına (SSP) erişir.
bir istemci/sunucu bağlantısının kimliği doğrulandığında:
Bağlantının istemci tarafındaki uygulama, SSPI işlevini
InitializeSecurityContext (General)kullanarak sunucuya kimlik bilgileri gönderir.Bağlantının sunucu tarafındaki uygulama SSPI işleviyle
AcceptSecurityContext (General)yanıt verir.SSPI işlevleri
InitializeSecurityContext (General)veAcceptSecurityContext (General), kimlik doğrulamanın başarılı ya da başarısız olmasına kadar tüm gerekli kimlik doğrulama iletileri değiş tokuş edilene kadar yinelenir.Bağlantının kimliği doğrulandıktan sonra sunucudaki LSA, erişim belirteci içeren güvenlik bağlamını oluşturmak için istemciden gelen bilgileri kullanır.
Sunucu daha sonra erişim belirtecini hizmetin kimliğe bürünme iş parçacığına bağlamak için SSPI işlevini
ImpersonateSecurityContextçağırabilir.
Uygulamalar ve kullanıcı modu
Windows'ta kullanıcı modu, G/Ç isteklerini uygun çekirdek modu sürücülerine geçirebilen iki sistemden oluşur: birçok farklı işletim sistemi türü için yazılmış uygulamaları çalıştıran ortam sistemi ve ortam sistemi adına sisteme özgü işlevleri çalıştıran integral sistemi.
İntegral sistem, ortam sistemi adına işletim sistemine özgü işlevleri yönetir ve bir güvenlik sistemi işleminden (LSA), bir iş istasyonu hizmetinden ve bir sunucu hizmetinden oluşur. Güvenlik sistemi işlemi güvenlik belirteçleriyle ilgilenir, kaynak izinlerine göre kullanıcı hesaplarına erişim izinleri verir veya reddeder, oturum açma isteklerini işler ve oturum açma kimlik doğrulamasını başlatır ve işletim sisteminin hangi sistem kaynaklarını denetlemesi gerektiğini belirler.
Uygulamalar, Yerel Sistem'in (SYSTEM) güvenlik bağlamı da dahil olmak üzere, herhangi bir kullanıcı olarak çalışabileceği kullanıcı modunda çalışabilir. Uygulamalar, uygulamanın Yerel Sistem (SYSTEM) güvenlik bağlamında çalışabileceği çekirdek modunda da çalıştırılabilir.
SSPI, kimlik doğrulaması, ileti bütünlüğü ve ileti gizliliği için tümleşik güvenlik hizmetleri almak için kullanılan bir API olan Secur32.dll modülü aracılığıyla sağlanır. Uygulama düzeyi protokoller ve güvenlik protokolleri arasında bir soyutlama katmanı sağlar. Farklı uygulamalar kullanıcıları tanımlamak veya kimlik doğrulaması yapmak için farklı yöntemler gerektirdiğinden ve verileri ağ üzerinden dolaşırken şifrelemenin farklı yollarını gerektirdiğinden, SSPI farklı kimlik doğrulama ve şifreleme işlevleri içeren dinamik bağlantı kitaplıklarına (DLL' ler) erişmek için bir yol sağlar. Bu DLL'ler Güvenlik Desteği Sağlayıcıları (SSP) olarak adlandırılır.
Yönetilen hizmet hesapları ve sanal hesaplar, Windows Server 2008 R2 ve Windows 7'de, Microsoft SQL Server ve Internet Information Services (IIS) gibi önemli uygulamaları kendi etki alanı hesaplarının yalıtımıyla sağlamak ve bir yöneticinin bu hesapların hizmet asıl adını (SPN) ve kimlik bilgilerini el ile yönetme gereksinimini ortadan kaldırmak için kullanıma sunulmuştur. Bu özellikler ve kimlik doğrulamasındaki rolleri hakkında daha fazla bilgi için bkz. Windows 7 ve Windows Server 2008 R2 için Yönetilen Hizmet Hesapları Belgeleri ve Grup Yönetilen Hizmet Hesaplarına Genel Bakış.
Hizmetler ve çekirdek modu
Çoğu Windows uygulaması, bunları başlatan kullanıcının güvenlik bağlamında çalışsa da, bu hizmetler için geçerli değildir. Ağ ve yazdırma hizmetleri gibi birçok Windows hizmeti, kullanıcı bilgisayarı başlattığında hizmet denetleyicisi tarafından başlatılır. Bu hizmetler Yerel Hizmet veya Yerel Sistem olarak çalışabilir ve son kullanıcı oturumu kapattıktan sonra çalışmaya devam edebilir.
Uyarı
Hizmetler normalde Yerel Sistem (SYSTEM), Ağ Hizmeti veya Yerel Hizmet olarak bilinen güvenlik bağlamlarında çalışır. Windows Server 2008 R2, etki alanı ilkeleri olan yönetilen hizmet hesapları altında çalışan hizmetler tanıttı.
Bir hizmeti başlatmadan önce hizmet denetleyicisi, hizmet için belirlenen hesabı kullanarak oturum açar ve ardından hizmetin kimlik bilgilerini LSA tarafından kimlik doğrulaması için sunar. Windows hizmeti, hizmet denetleyicisi yöneticisinin hizmeti denetlemek için kullanabileceği programlı bir arabirim uygular. Bir Windows hizmeti, sistem başlatıldığında otomatik olarak veya bir hizmet denetimi programıyla el ile başlatılabilir. Örneğin, bir Windows istemci bilgisayarı bir etki alanına katıldığında, bilgisayardaki messenger hizmeti bir etki alanı denetleyicisine bağlanır ve ona güvenli bir kanal açar. Kimliği doğrulanmış bir bağlantı elde etmek için, hizmetin uzak bilgisayarın Yerel Güvenlik Yetkilisi'nin (LSA) güvendiği kimlik bilgilerine sahip olması gerekir. LSA, ağdaki diğer bilgisayarlarla iletişim kurarken Yerel Sistem ve Ağ Hizmeti'nin güvenlik bağlamında çalışan diğer tüm hizmetler gibi yerel bilgisayarın etki alanı hesabının kimlik bilgilerini kullanır. Yerel bilgisayardaki hizmetler SYSTEM olarak çalışır, bu nedenle kimlik bilgilerinin LSA'ya sunulması gerekmez.
Dosya Ksecdd.sys bu kimlik bilgilerini yönetir ve şifreler, ardından LSA'ya yerel yordam çağrısı kullanır. Dosya türü DRV 'dir (sürücü) ve çekirdek modu Güvenlik Destek Sağlayıcısı (SSP) olarak bilinir ve bu konunun başındaki Uygulandığı yer listesinde belirtilen sürümlerde FIPS 140-2 Düzey 1 uyumludur.
Çekirdek modu, bilgisayarın donanım ve sistem kaynaklarına tam erişime sahiptir. Çekirdek modu, kullanıcı modu hizmetlerinin ve uygulamalarının işletim sisteminin erişmemesi gereken kritik alanlarına erişmesini durdurur.
Yerel Güvenlik Yetkilisi
Yerel Güvenlik Yetkilisi (LSA), kullanıcıların kimliğini doğrulayan ve yerel bilgisayarda oturum açan korumalı bir sistem işlemidir. Buna ek olarak, LSA bir bilgisayardaki yerel güvenliğin tüm yönleri hakkında bilgi tutar (bu yönler topluca yerel güvenlik ilkesi olarak bilinir) ve adlar ile güvenlik tanımlayıcıları (SID) arasında çeviri için çeşitli hizmetler sağlar. Yerel Güvenlik Yetkilisi Sunucu Hizmeti (LSASS) adlı güvenlik sistemi işlemi, bir bilgisayar sisteminde geçerli olan güvenlik ilkelerini ve hesapları izler.
LSA, kullanıcının kimliğini aşağıdaki iki varlıktan hangisinin kullanıcının hesabını verdiğine göre doğrular.
Yerel Güvenlik Yetkilisi. LSA, aynı bilgisayarda bulunan Güvenlik Hesapları Yöneticisi (SAM) veritabanını denetleyerek kullanıcı bilgilerini doğrulayabilir. Herhangi bir iş istasyonu veya üye sunucu yerel kullanıcı hesaplarını ve yerel gruplar hakkındaki bilgileri depolayabilir. Ancak, bu hesaplar yalnızca söz konusu iş istasyonuna veya bilgisayara erişmek için kullanılabilir.
Yerel etki alanı veya güvenilen bir etki alanı için güvenlik yetkilisi. LSA, hesabı veren varlıkla iletişim kurar ve hesabın geçerli olduğunu ve isteğin hesap sahibinden geldiğini doğrulamayı talep eder.
Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS), etkin Windows oturumları olan kullanıcılar adına kimlik bilgilerini bellekte depolar. Depolanan kimlik bilgileri, kullanıcıların her uzak hizmet için kimlik bilgilerini yeniden girmeden dosya paylaşımları, Exchange Server posta kutuları ve SharePoint siteleri gibi ağ kaynaklarına sorunsuz bir şekilde erişmesini sağlar.
LSASS, kimlik bilgilerini aşağıdakileri içeren birden çok biçimde depolayabilir:
Ters şifreli düz metin
Kerberos biletleri (bilet verme biletleri (TGT), hizmet biletleri)
NT karması
LAN Manager (LM) karması
Kullanıcı akıllı kart kullanarak Windows'ta oturum açarsa, LSASS düz metin parola depolamaz, ancak hesap için karşılık gelen NT karma değerini ve akıllı kart için düz metin PIN'ini depolar. Hesap özniteliği etkileşimli oturum açma için gereken bir akıllı kart için etkinleştirildiyse, özgün parola karması yerine hesap için otomatik olarak rastgele bir NT karma değeri oluşturulur. Öznitelik ayarlandığında otomatik olarak oluşturulan parola karması değişmez.
Kullanıcı WINDOWS tabanlı bir bilgisayarda LAN Manager (LM) karmalarıyla uyumlu bir parolayla oturum açarsa, bu kimlik doğrulayıcı bellekte bulunur.
Düz metin kimlik bilgilerinin bellekte depolanması, bunları gerektiren kimlik bilgisi sağlayıcıları devre dışı bırakılsa bile devre dışı bırakılamaz.
Depolanan kimlik bilgileri, son yeniden başlatmadan sonra başlatılan ve kapatılmayan Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) oturum açma oturumlarıyla doğrudan ilişkilendirilir. Örneğin, bir kullanıcı aşağıdakilerden birini yaptığı zaman, depolanan LSA kimlik bilgilerine sahip LSA oturumları oluşturulur:
Bilgisayardaki yerel oturumda veya Uzak Masaüstü Protokolü (RDP) oturumunda oturum açar
RunAs seçeneğini kullanarak bir görev çalıştırır
Bilgisayarda etkin bir Windows hizmeti çalıştırır
Zamanlanmış bir görev veya toplu iş çalıştırır
Yerel bilgisayarda uzaktan yönetim aracı kullanarak bir görev çalıştırır
Bazı durumlarda, yalnızca SYSTEM hesabı işlemleri tarafından erişilebilen gizli veri parçaları olan LSA gizli dizileri sabit disk sürücüsünde depolanır. Bu gizli dizilerden bazıları, yeniden başlatmadan sonra kalıcı olması gereken kimlik bilgileridir ve sabit disk sürücüsünde şifrelenmiş biçimde depolanır. LSA gizli bilgileri olarak depolanan kimlik bilgileri şunları içerebilir:
Bilgisayarın Active Directory Etki Alanı Hizmetleri (AD DS) hesabının hesap parolası
Bilgisayarda yapılandırılan Windows hizmetleri için hesap parolaları
Yapılandırılmış zamanlanmış görevler için hesap parolaları
IIS uygulama havuzları ve web siteleri için hesap parolaları
Microsoft hesapları için parolalar
Windows 8.1'de kullanıma sunulan istemci işletim sistemi, korumalı olmayan işlemler tarafından bellek ve kod eklemenin okunmasını önlemek için LSA için ek koruma sağlar. Bu koruma, LSA'nın depolayıp yönettiği kimlik bilgilerinin güvenliğini artırır.
Bu ek korumalar hakkında daha fazla bilgi için bkz. Ek LSA Koruması Yapılandırma.
Önbelleğe alınan kimlik bilgileri ve doğrulama
Doğrulama mekanizmaları, oturum açma sırasında kimlik bilgilerinin sunulmasını kullanır. Ancak, bilgisayarın bir etki alanı denetleyicisiyle bağlantısı kesildiğinde ve kullanıcı etki alanı kimlik bilgilerini sunduğunda, Windows doğrulama mekanizmasında önbelleğe alınmış kimlik bilgileri işlemini kullanır.
Bir kullanıcı bir etki alanında her oturum açtığında, Windows sağlanan kimlik bilgilerini önbelleğe alır ve bunları işlem sisteminin kayıt defterindeki güvenlik kovanında depolar.
Önbelleğe alınmış kimlik bilgileriyle, kullanıcı bu etki alanı içindeki bir etki alanı denetleyicisine bağlanmadan bir etki alanı üyesinde oturum açabilir.
Kimlik bilgisi depolama ve doğrulama
Farklı kaynaklara erişim için her zaman tek bir kimlik bilgisi kümesi kullanmak istenmez. Örneğin, bir yönetici uzak sunucuya erişirken kullanıcı kimlik bilgileri yerine yönetim kullanmak isteyebilir. Benzer şekilde, bir kullanıcı banka hesabı gibi dış kaynaklara erişiyorsa, yalnızca etki alanı kimlik bilgilerinden farklı kimlik bilgilerini kullanabilir. Aşağıdaki bölümlerde, Windows işletim sistemlerinin geçerli sürümleriyle Windows Vista ve Windows XP işletim sistemleri arasındaki kimlik bilgisi yönetimi farklılıkları açıklanmaktadır.
Uzaktan oturum açma kimlik bilgisi işlemleri
Uzak Masaüstü Protokolü (RDP), Windows 8'de tanıtılan Uzak Masaüstü İstemcisi'ni kullanarak uzak bilgisayara bağlanan kullanıcının kimlik bilgilerini yönetir. Düz metin biçimindeki kimlik bilgileri, konağın kimlik doğrulama işlemini gerçekleştirmeye çalıştığı hedef konağa gönderilir ve başarılı olursa kullanıcıyı izin verilen kaynaklara bağlar. RDP kimlik bilgilerini istemcide depolamaz, ancak kullanıcının etki alanı kimlik bilgileri LSASS'de depolanır.
Windows Server 2012 R2 ve Windows 8.1'de kullanıma sunulan Kısıtlı Yönetici modu, uzaktan oturum açma senaryolarına ek güvenlik sağlar. Bu Uzak Masaüstü modu, istemci uygulamasının NT tek yönlü işlevi (NTOWF) ile bir ağ oturum açma sınama yanıtı gerçekleştirmesine veya uzak konakta kimlik doğrulaması yaparken Kerberos hizmet bileti kullanmasına neden olur. Yöneticinin kimliği doğrulandıktan sonra, yöneticinin LSASS'de ilgili hesap kimlik bilgileri yoktur çünkü bunlar uzak ana bilgisayara sağlanmamıştır. Bunun yerine yönetici, oturum için bilgisayar hesabı kimlik bilgilerine sahiptir. Yönetici kimlik bilgileri uzak ana bilgisayara sağlanmaz, bu nedenle eylemler bilgisayar hesabı olarak gerçekleştirilir. Kaynaklar da bilgisayar hesabıyla sınırlıdır ve yönetici kendi hesabıyla kaynaklara erişemez.
Otomatik yeniden başlatma oturum açma kimlik bilgisi işlemi
Kullanıcı bir Windows 8.1 cihazında oturum açtığında, LSA kullanıcı kimlik bilgilerini yalnızca LSASS.exetarafından erişilebilen şifrelenmiş belleğe kaydeder. Windows Update, kullanıcı iletişim durumu olmadan otomatik bir yeniden başlatma başlattığında, bu kimlik bilgileri kullanıcı için Otomatik Oturum Açma'yı yapılandırmak için kullanılır.
Yeniden başlatıldığında, kullanıcı Otomatik Oturum Açma mekanizması aracılığıyla otomatik olarak oturum açılır ve ardından bilgisayar kullanıcının oturumunu korumak için ek olarak kilitlenir. Kimlik bilgisi yönetimi LSA tarafından yapılırken, kilitleme Winlogon aracılığıyla başlatılır. Kullanıcının oturumu konsolda otomatik olarak açılıp kilitlendiğinde, kilit ekranı uygulamaları yeniden başlatılır ve kullanılabilir hale gelir.
ARSO hakkında daha fazla bilgi için bkz. Winlogon Otomatik Yeniden Başlatma Sign-On (ARSO).
Windows Vista ve Windows XP'de depolanan kullanıcı adları ve parolalar
Windows Server 2008, Windows Server 2003, Windows Vista ve Windows XP'de, Denetim Masası'ndaki Depolanan Kullanıcı Adları ve Parolaları , akıllı kartlarla kullanılan X.509 sertifikaları ve Windows Live kimlik bilgileri (artık Microsoft hesabı olarak adlandırılır) dahil olmak üzere birden çok oturum açma kimlik bilgisi kümesinin yönetimini ve kullanımını basitleştirir. Kullanıcı profilinin bir parçası olan kimlik bilgileri gerekene kadar depolanır. Bu eylem, bir parolanın gizliliğinin ihlal edilmesi durumunda tüm güvenliği tehlikeye atmadığından emin olarak kaynak başına güvenliği artırabilir.
Kullanıcı oturum açıp sunucudaki paylaşım gibi parola korumalı ek kaynaklara erişmeye çalıştığında ve kullanıcının varsayılan oturum açma kimlik bilgileri erişim kazanmak için yeterli değilse, Depolanan Kullanıcı Adları ve Parolalar sorgulanır. Doğru oturum açma bilgilerine sahip alternatif kimlik bilgileri Depolanan Kullanıcı Adları ve Parolaları'na kaydedildiyse, bu kimlik bilgileri erişim kazanmak için kullanılır. Aksi takdirde, kullanıcıdan yeni kimlik bilgileri sağlaması istenir ve bu kimlik bilgileri daha sonra oturum açma oturumunda veya sonraki bir oturum sırasında yeniden kullanmak üzere kaydedilebilir.
Aşağıdaki kısıtlamalar geçerlidir:
Depolanan Kullanıcı Adları ve Parolalar belirli bir kaynak için geçersiz veya yanlış kimlik bilgileri içeriyorsa, kaynağa erişim reddedilir ve Depolanan Kullanıcı Adları ve Parolalar iletişim kutusu görüntülenmez.
Depolanan Kullanıcı Adları ve Parolalar yalnızca NTLM, Kerberos protokolü, Microsoft hesabı (eski adıyla Windows Live ID) ve Güvenli Yuva Katmanı (SSL) kimlik doğrulaması için kimlik bilgilerini depolar. Internet Explorer'ın bazı sürümleri, temel kimlik doğrulaması için kendi önbelleklerini korur.
Bu kimlik bilgileri, \Documents and Settings\Username\Application Data\Microsoft\Credentials dizininde kullanıcının yerel profilinin şifrelenmiş bir parçası haline gelir. Sonuç olarak, kullanıcının ağ ilkesi Gezici Kullanıcı Profillerini destekliyorsa bu kimlik bilgileri kullanıcıyla birlikte dolaşabilir. Ancak, kullanıcının iki farklı bilgisayarda Depolanan Kullanıcı Adları ve Parolaları kopyaları varsa ve bu bilgisayarlardan birinde kaynakla ilişkili kimlik bilgilerini değiştirirse, değişiklik ikinci bilgisayardaki Depolanan Kullanıcı Adları ve Parolalar'a yayılmaz.
Windows Kasası ve Kimlik Bilgileri Yöneticisi
Kimlik Bilgileri Yöneticisi, kullanıcı adlarını ve parolaları depolamak ve yönetmek için Bir Denetim Masası özelliği olarak Windows Server 2008 R2 ve Windows 7'de tanıtıldı. Kimlik Bilgileri Yöneticisi, kullanıcıların diğer sistemlerle ve web siteleriyle ilgili kimlik bilgilerini güvenli Windows Kasası'nda depolamasına olanak tanır. Internet Explorer'ın bazı sürümleri bu özelliği web sitelerinde kimlik doğrulaması için kullanır.
Kimlik Bilgileri Yöneticisi kullanılarak kimlik bilgisi yönetimi, yerel bilgisayardaki kullanıcı tarafından denetlenilir. Kullanıcılar, desteklenen tarayıcılardan ve Windows uygulamalarından kimlik bilgilerini kaydedip depolayarak bu kaynaklarda oturum açmaları gerektiğinde bunu kolaylaştırabilir. Kimlik bilgileri, kullanıcının profilinin altındaki bilgisayardaki özel şifrelenmiş klasörlere kaydedilir. Web tarayıcıları ve uygulamalar gibi bu özelliği destekleyen uygulamalar (Kimlik Bilgisi Yöneticisi API'lerinin kullanımı aracılığıyla), oturum açma işlemi sırasında diğer bilgisayarlara ve web sitelerine doğru kimlik bilgilerini sunabilir.
Bir web sitesi, uygulama veya başka bir bilgisayar NTLM veya Kerberos protokolü aracılığıyla kimlik doğrulaması istediğinde, Varsayılan Kimlik Bilgilerini Güncelleştir veya Parolayı Kaydet onay kutusunu seçtiğiniz bir iletişim kutusu görüntülenir. Kullanıcının kimlik bilgilerini yerel olarak kaydetmesine olanak tanıyan bu iletişim kutusu, Credential Manager API'lerini destekleyen bir uygulama tarafından oluşturulur. Kullanıcı Parolayı Kaydet onay kutusunu seçerse, Kimlik Bilgisi Yöneticisi kullanıcının kullanıcı adını, parolasını ve kullanımda olan kimlik doğrulama hizmetiyle ilgili bilgileri izler.
Hizmet bir sonraki kullanışında Kimlik Bilgileri Yöneticisi, Windows Kasası'nda depolanan kimlik bilgilerini otomatik olarak sağlar. Kabul edilmediyse, kullanıcıdan doğru erişim bilgileri istenir. Yeni kimlik bilgileriyle erişim verilirse, Kimlik Bilgileri Yöneticisi yeni kimlik bilgileriyle önceki kimlik bilgilerinin üzerine yazar ve ardından yeni kimlik bilgilerini Windows Kasası'nda depolar.
Güvenlik Hesapları Yöneticisi veritabanı
Güvenlik Hesapları Yöneticisi (SAM), yerel kullanıcı hesaplarını ve gruplarını depolayan bir veritabanıdır. Her Windows işletim sisteminde bulunur; ancak, bir bilgisayar bir etki alanına katıldığında Active Directory, Active Directory etki alanlarındaki etki alanı hesaplarını yönetir.
Örneğin, Windows işletim sistemi çalıştıran istemci bilgisayarlar, hiçbir insan kullanıcı oturum açmadığında bile bir etki alanı denetleyicisiyle iletişim kurarak bir ağ etki alanına katılır. İletişim başlatmak için, bilgisayarın etki alanında etkin bir hesabı olmalıdır. Bilgisayardan gelen iletişimleri kabul etmeden önce, etki alanı denetleyicisindeki LSA bilgisayarın kimliğini doğrular ve ardından bilgisayarın güvenlik bağlamını tıpkı bir insan güvenlik sorumlusu için olduğu gibi oluşturur. Bu güvenlik bağlamı, belirli bir bilgisayardaki veya ağdaki bir kullanıcı, hizmet veya bilgisayarın kimliğini ve özelliklerini tanımlar. Örneğin, güvenlik bağlamında yer alan erişim belirteci, erişilebilen kaynakları (dosya paylaşımı veya yazıcı gibi) ve bu sorumlu tarafından gerçekleştirilebilecek eylemleri (okuma, yazma veya değiştirme gibi) (bu kaynaktaki bir kullanıcı, bilgisayar veya hizmet) tanımlar.
Kullanıcının veya bilgisayarın güvenlik bağlamı, örneğin bir kullanıcının kendi birincil iş istasyonu dışında bir sunucuda veya iş istasyonunda oturum açtığında bir bilgisayardan diğerine farklılık gösterebilir. Bir yöneticinin kullanıcının haklarını ve izinlerini değiştirmesi gibi bir oturumdan diğerine de farklılık gösterebilir. Buna ek olarak, bir kullanıcı veya bilgisayar tek başına, ağda veya Active Directory etki alanının bir parçası olarak çalıştığında güvenlik bağlamı genellikle farklıdır.
Yerel etki alanları ve güvenilen etki alanları
İki etki alanı arasında bir güven olduğunda, her etki alanı için kimlik doğrulama mekanizmaları diğer etki alanından gelen kimlik doğrulamalarının geçerliliğini kullanır. Güvenler, gelen kimlik doğrulama isteklerinin güvenilen bir yetkiliden (güvenilen etki alanı) geldiğini doğrulayarak bir kaynak etki alanındaki (güvenen etki alanı) paylaşılan kaynaklara denetimli erişim sağlamaya yardımcı olur. Bu şekilde güvenler, yalnızca doğrulanmış kimlik doğrulama isteklerinin etki alanları arasında hareket etmesine olanak sağlayan köprüler görevi görür.
Belirli bir güven ilişkisinin kimlik doğrulama isteklerini nasıl ilettiği, nasıl yapılandırıldığına bağlıdır. Güven ilişkileri, güvenilen etki alanından güvenen etki alanındaki kaynaklara erişim sağlayarak veya her etki alanından diğer etki alanındaki kaynaklara erişim sağlayarak iki yönlü olabilir. Güvenler de geçişsizdir; bu durumda yalnızca iki güven ortağı etki alanı arasında bir güven vardır veya geçişlidir; bu durumda güven, iş ortaklarından birinin güvendiği diğer etki alanlarına otomatik olarak genişletilir.
Kimlik doğrulamasıyla ilgili etki alanı ve orman güven ilişkileri hakkında bilgi için bkz. Temsilci Kimlik Doğrulaması ve Güven İlişkileri.
Windows kimlik doğrulamasında sertifikalar
Ortak anahtar altyapısı (PKI), bir kuruluşun iletişim ve iş işlemlerinin güvenliğini sağlamasını sağlayan yazılım, şifreleme teknolojileri, süreçler ve hizmetlerin birleşimidir. Bir PKI'nın iletişim ve iş işlemlerinin güvenliğini sağlama özelliği, kimliği doğrulanmış kullanıcılarla güvenilen kaynaklar arasında dijital sertifika değişimine dayanır.
Dijital sertifika, ait olduğu kişi veya kuruluş, sertifikayı düzenleyen varlık, benzersiz bir seri numarası veya başka bir benzersiz kimlik, verme ve son kullanma tarihleri ile dijital parmak izi bilgilerini içeren elektronik bir belgedir.
Kimlik doğrulaması, uzak bir konağa güvenilip güvenilmediğini belirleme işlemidir. Güvenilirliğini sağlamak için uzak ana bilgisayarın kabul edilebilir bir kimlik doğrulama sertifikası sağlaması gerekir.
Uzak konaklar, bir sertifika yetkilisinden (CA) sertifika alarak güvenilirliklerini sağlar. CA da daha yüksek bir yetkiliden sertifika alabilir ve bu da bir güven zinciri oluşturur. Bir sertifikanın güvenilir olup olmadığını belirlemek için, uygulamanın kök CA'nın kimliğini belirlemesi ve ardından güvenilir olup olmadığını belirlemesi gerekir.
Benzer şekilde, uzak ana bilgisayar veya yerel bilgisayar, kullanıcı veya uygulama tarafından sunulan sertifikanın orijinal olup olmadığını belirlemelidir. Kullanıcı tarafından LSA ve SSPI aracılığıyla sunulan sertifika, yerel bilgisayarda yerel oturum açma, ağda veya Active Directory'deki sertifika depoları aracılığıyla etki alanında kimlik doğrulaması için değerlendirilir.
Sertifika oluşturmak için kimlik doğrulama verileri, bir ileti özeti oluşturmak için Güvenli Karma Algoritması 1 (SHA1) gibi karma algoritmalardan geçer. İleti özeti daha sonra gönderenin özel anahtarı kullanılarak dijital olarak imzalanır ve ileti özetinin gönderen tarafından oluşturulduğu kanıtlanır.
Uyarı
SHA1, Windows 7 ve Windows Vista'da varsayılandır, ancak Windows 8'de SHA2 olarak değiştirilmiştir.
Akıllı kart kimlik doğrulaması
Akıllı kart teknolojisi, sertifika tabanlı kimlik doğrulaması örneğidir. Akıllı kartla ağda oturum açmak, kullanıcının etki alanında kimlik doğrulaması yaparken şifreleme tabanlı kimlik doğrulaması ve sahip olma kanıtı kullandığından güçlü bir kimlik doğrulaması biçimi sağlar. Active Directory Sertifika Hizmetleri (AD CS), her akıllı kart için bir oturum açma sertifikası verme yoluyla şifreleme tabanlı tanımlama sağlar.
Akıllı kart kimlik doğrulaması hakkında bilgi için bkz. Windows Akıllı Kart Teknik Başvurusu.
Sanal akıllı kart teknolojisi Windows 8'de tanıtıldı. Akıllı kartın sertifikasını bilgisayarda depolar ve ardından cihazın kurcalamaya dayanıklı Güvenilir Platform Modülü (TPM) güvenlik yongasını kullanarak korur. Bu şekilde bilgisayar, kimlik doğrulaması için kullanıcının PIN'ini alması gereken akıllı kart haline gelir.
Uzaktan ve kablosuz kimlik doğrulaması
Uzak ve kablosuz ağ kimlik doğrulaması, kimlik doğrulaması için sertifika kullanan başka bir teknolojidir. İnternet Kimlik Doğrulama Hizmeti (IAS) ve sanal özel ağ sunucuları, sanal özel ağ (VPN) ve kablosuz bağlantılar dahil olmak üzere birçok ağ erişimi türü için sertifika tabanlı kimlik doğrulaması gerçekleştirmek üzere Genişletilebilir Kimlik Doğrulaması Protocol-Transport Düzeyi Güvenlik (EAP-TLS), Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) veya İnternet Protokolü güvenliği (IPsec) kullanır.
Ağda sertifika tabanlı kimlik doğrulaması hakkında bilgi için bkz. Ağ erişimi kimlik doğrulaması ve sertifikalar.