Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu başvuruya genel bakış konusu, Windows kimlik doğrulamasının temel aldığı kavramları açıklar.
Kimlik doğrulaması, bir nesnenin veya kişinin kimliğini doğrulama işlemidir. Bir nesnenin kimliğini doğruladığınızda, amaç nesnenin orijinal olduğunu doğrulamaktır. Bir kişinin kimliğini doğruladığınızda amaç, kişinin sahtekar olmadığını doğrulamaktır.
Ağ bağlamında kimlik doğrulaması, bir ağ uygulamasına veya kaynağına kimlik doğrulama işlemidir. Kimlik genellikle yalnızca kullanıcının bildiği bir anahtarı (ortak anahtar şifrelemesinde olduğu gibi) veya paylaşılan anahtarı kullanan bir şifreleme işlemiyle kanıtlanmıştır. Kimlik doğrulama değişiminin sunucu tarafı, kimlik doğrulama girişimini doğrulamak için imzalanan verileri bilinen bir şifreleme anahtarıyla karşılaştırır.
Şifreleme anahtarlarının güvenli bir merkezi konumda depolanması, kimlik doğrulama işlemini ölçeklenebilir ve sürdürülebilir hale getirir. Active Directory, kullanıcının kimlik bilgileri olan şifreleme anahtarlarını içeren kimlik bilgilerini depolamak için önerilen ve varsayılan teknolojidir. Varsayılan NTLM ve Kerberos uygulamaları için Active Directory gereklidir.
Kimlik doğrulama teknikleri, basit bir oturum açmadan işletim sistemine veya bir hizmette veya uygulamada oturum açmadan, kullanıcıları yalnızca kullanıcının bildiği bir şeye (parola gibi) göre tanımlayan, belirteçler, ortak anahtar sertifikaları, resimler veya biyolojik öznitelikler gibi kullanıcının sahip olduğu bir şeyi kullanan daha güçlü güvenlik mekanizmalarına kadar değişir. Bir iş ortamında, kullanıcılar tek bir konumda veya birden çok konumdaki birçok sunucu türündeki birden çok uygulamaya erişebilir. Bu nedenlerden dolayı, kimlik doğrulamasının diğer platformlar ve diğer Windows işletim sistemleri için ortamları desteklemesi gerekir.
Kimlik doğrulaması ve yetkilendirme: Seyahat benzetmesi
Seyahat benzetmesi, kimlik doğrulamasının nasıl çalıştığını açıklamaya yardımcı olabilir. Yolculuğa başlamak için genellikle birkaç hazırlık görevi gereklidir. Gezgin gerçek kimliğini ev sahibi yetkililerine kanıtlamalı. Bu kanıt vatandaşlık kanıtı, doğum yeri, kişisel fiş, fotoğraflar veya ev sahibi ülkenin yasalarının gerektirdiği her şey biçiminde olabilir. Seyahat edenin kimliği, güvenlik sorumlusu olan bir kuruluş tarafından verilen ve yönetilen bir sistem hesabına benzer bir pasaport verilmesiyle doğrulanır. Pasaport ve hedeflenen varış noktası, resmi makam tarafından yayınlanan bir dizi kural ve düzenlemeye dayanır.
Yolculuk
Gezgin uluslararası sınıra ulaştığında, bir sınır görevlisi kimlik bilgilerini ister ve gezgin pasaportunu sunar. İşlem iki katlıdır:
Güvenlik görevlisi, pasaportun yerel yönetimin en azından pasaport vermek konusunda güvendiği bir güvenlik otoritesi tarafından verildiğini ve pasaportta değişiklik yapılmadığını doğrulayarak pasaportu doğrular.
Koruma, yüzün pasaportta resimlenen kişinin yüzüyle eşleşip eşleşmediğini ve diğer gerekli kimlik bilgilerinin düzgün düzende olduğunu doğrulayarak seyahat eden kişinin kimliğini doğrular.
Pasaportun geçerli olduğu ve seyahat edenin sahibi olduğu kanıtlanırsa, kimlik doğrulaması başarılı olur ve seyahat edenin sınırdan geçişine izin verilebiliyor.
Güvenlik yetkilileri arasındaki geçişli güven, kimlik doğrulamasının temelidir; uluslararası bir sınırda gerçekleştirilir kimlik doğrulaması türü güvene dayanır. Yerel yönetim gezgini tanımıyor, ancak ev sahibi hükümetin bilmesine güveniyor. Ev sahibi hükümet pasaportunu çıkardığında, gezgini de tanımıyor. Doğum sertifikasını veya diğer belgeleri veren kuruluşa güvendi. Doğum belgesini veren kurum da sertifikayı imzalayan hekime güvendi. Doktor, gezginin doğumuna tanık oldu ve belgeyi kimliğin doğrudan kanıtıyla damgaladı, bu örnekte yenidoğanın ayak iziyle. Güvenilir aracılar aracılığıyla bu şekilde aktarılan güven geçişli olur.
Geçişli güven, Windows istemci/sunucu mimarisinde ağ güvenliğinin temelini oluşturur. Güven ilişkisi, etki alanı ağacı gibi bir etki alanı kümesi boyunca akar ve bir etki alanı ile bu etki alanına güvenen tüm etki alanları arasında bir ilişki oluşturur. Örneğin, A etki alanının B etki alanıyla geçişli güveni varsa ve B etki alanı C etki alanına güveniyorsa, A etki alanı C etki alanına güvenir.
Kimlik doğrulaması ile yetkilendirme arasında bir fark vardır. Kimlik doğrulaması ile sistem, sizin dediğiniz kişi olduğunuzu kanıtlar. Yetkilendirme ile sistem, yapmak istediklerinizi yapma haklarına sahip olduğunuzu doğrular. Sınır benzetimini bir sonraki adıma getirmek için, yalnızca seyahat edenin geçerli bir pasaportun uygun sahibi olduğunu doğrulamak, seyahat edene bir ülkeye girme yetkisi vermek zorunda değildir. Belirli bir ülkenin sakinlerinin, yalnızca girilen ülkenin söz konusu ülkenin tüm vatandaşlarına sınırsız izin verdiği durumlarda pasaport sunarak başka bir ülkeye girmelerine izin verilir.
Benzer şekilde, belirli bir etki alanındaki tüm kullanıcılara bir kaynağa erişme izni verilmektedir. Aynı Kanada'nın ABD vatandaşlarının Kanada'ya girmesine izin vermesinde olduğu gibi, bu etki alanına ait olan tüm kullanıcıların kaynağa erişimi vardır. Ancak, Brezilya veya Hindistan'a girmeye çalışan ABD vatandaşları, bu ülkelerin her ikisi de geçerli bir vizeye sahip olmak için abd vatandaşlarının ziyaret etmelerini gerektirdiğinden yalnızca pasaport sunarak bu ülkelere giremeyeceklerini tespit ederler. Bu nedenle, kimlik doğrulaması kaynaklara erişimi veya kaynakları kullanmak için yetkilendirmeyi garanti etmez.
Credentials
Caution
Kullanıcı yerel oturum açma işlemi gerçekleştirdiğinde, kimlik bilgileri ağ üzerinden bir kimlik sağlayıcısıyla kimlik doğrulamasından önce önbelleğe alınmış bir kopyaya karşı yerel olarak doğrulanır. Önbellek doğrulaması başarılı olursa, cihaz çevrimdışı olsa bile kullanıcı masaüstüne erişim kazanır. Ancak, kullanıcı bulutta parolasını değiştirirse, önbelleğe alınan doğrulayıcı güncelleştirilmez, bu da eski parolasını kullanarak yerel makinesine erişmeye devam ettiği anlamına gelir.
Pasaport ve muhtemelen ilişkili vizeler, seyahat eden bir kişi için kabul edilen kimlik bilgileridir. Ancak bu kimlik bilgileri bir seyahat edenin bir ülke içindeki tüm kaynaklara girmesine veya bu kaynaklara erişmesine izin vermeyebilir. Örneğin, konferansa katılmak için ek kimlik bilgileri gerekir. Windows'da kimlik bilgileri, hesap sahiplerinin kimlik bilgilerini tekrar tekrar sağlamak zorunda kalmadan ağ üzerinden kaynaklara erişmesini mümkün kılmak için yönetilebilir. Bu erişim türü, kullanıcıların başka bir hesap tanımlayıcısı veya parola girmeden kullanma yetkisine sahip oldukları tüm uygulamalara ve veri kaynaklarına erişmek için sistem tarafından bir kez kimlik doğrulamasına izin verir. Windows platformu, işletim sisteminin Yerel Güvenlik Yetkilisi'nde (LSA) kullanıcı kimlik bilgilerini yerel olarak önbelleğe alarak ağ genelinde tek bir kullanıcı kimliği (Active Directory tarafından korunur) kullanma özelliğinden yararlanıyor. Kullanıcı etki alanında oturum açtığında, Windows kimlik doğrulama paketleri kimlik bilgilerini ağ kaynaklarına doğrularken çoklu oturum açma sağlamak için kimlik bilgilerini saydam bir şekilde kullanır. Kimlik bilgileri hakkında daha fazla bilgi için bkz. Windows Kimlik Doğrulamasında Kimlik Bilgileri İşlemleri.
Seyahat eden kişi için çok faktörlü kimlik doğrulamasının bir biçimi, pasaport ve konferans kayıt bilgileri gibi kimliğini doğrulamak için birden çok belge taşıma ve sunma gereksinimi olabilir. Windows bu formu veya kimlik doğrulamayı akıllı kartlar, sanal akıllı kartlar ve biyometrik teknolojiler aracılığıyla uygular.
Güvenlik sorumluları ve hesaplar
Windows'ta, eylem başlatabilen tüm kullanıcı, hizmet, grup veya bilgisayar bir güvenlik sorumlusudur. Güvenlik sorumluları, bir bilgisayarda yerel veya etki alanı tabanlı olabilecek hesaplara sahiptir. Örneğin, etki alanına katılmış Windows istemcisi bilgisayarlar, hiçbir insan kullanıcı oturum açmadığında bile bir etki alanı denetleyicisiyle iletişim kurarak bir ağ etki alanına katılabilir. İletişim başlatmak için, bilgisayarın etki alanında etkin bir hesabı olmalıdır. Bilgisayardan gelen iletişimleri kabul etmeden önce, etki alanı denetleyicisindeki yerel güvenlik yetkilisi bilgisayarın kimliğini doğrular ve ardından bilgisayarın güvenlik bağlamını bir insan güvenlik sorumlusu için olduğu gibi tanımlar. Bu güvenlik bağlamı, belirli bir bilgisayardaki veya bir ağdaki bir kullanıcı, hizmet, grup veya bilgisayarın kimliğini ve özelliklerini tanımlar. Örneğin, erişilebilen dosya paylaşımı veya yazıcı gibi kaynakları ve bu kaynak üzerindeki bir kullanıcı, hizmet veya bilgisayar tarafından gerçekleştirilebilecek Okuma, Yazma veya Değiştirme gibi eylemleri tanımlar. Daha fazla bilgi için bkz . Güvenlik Sorumluları.
Hesap, erişim veya kaynak isteğinde bulunan bir talep sahibini (insan kullanıcı veya hizmet) tanımlamanın bir aracıdır. Orijinal pasaporta sahip olan gezgin, ev sahibi ülke ile bir hesaba sahiptir. Kullanıcıların, kullanıcı, nesne ve hizmet gruplarının tümü tek tek hesaplara sahip olabilir veya hesapları paylaşabilir. Hesaplar grupların üyesi olabilir ve belirli haklar ve izinler atanabilir. Hesaplar yerel bilgisayar, çalışma grubu, ağ ile sınırlandırılabilir veya bir etki alanına üyelik atanabilir.
Yerleşik hesaplar ve üyesi oldukları güvenlik grupları, Windows'un her sürümünde tanımlanır. Güvenlik gruplarını kullanarak, kimliği başarıyla doğrulanan birçok kullanıcıya aynı güvenlik izinlerini atayabilirsiniz ve bu da erişim yönetimini basitleştirir. Pasaport verme kuralları, seyahat edenin iş, turist veya kamu gibi belirli gruplara atanması gerektirebilir. Bu işlem, bir grubun tüm üyeleri arasında tutarlı güvenlik izinleri sağlar. İzinleri atamak için güvenlik gruplarının kullanılması, kaynakların erişim denetiminin sabit ve kolay yönetilebilir ve denetlenebilir olduğu anlamına gelir. Gerektiğinde uygun güvenlik gruplarından erişim gerektiren kullanıcıları ekleyerek ve kaldırarak, denetim listelerine (ACL) erişim değişikliklerinin sıklığını en aza indirebilirsiniz.
Tek başına yönetilen hizmet hesapları ve sanal hesaplar, Windows Server 2008 R2 ve Windows 7'de, microsoft Exchange Server ve Internet Information Services (IIS) gibi gerekli uygulamaları kendi etki alanı hesaplarının yalıtımıyla sağlamak ve bir yöneticinin bu hesapların hizmet asıl adını (SPN) ve kimlik bilgilerini el ile yönetme gereksinimini ortadan kaldırmak için kullanıma sunulmuştur. Grup tarafından yönetilen hizmet hesapları Windows Server 2012'de kullanıma sunulmuştur ve etki alanı içinde aynı işlevselliği sağlar, aynı zamanda bu işlevselliği birden çok sunucu üzerinden genişletir. Ağ Yük Dengelemesi gibi bir sunucu grubunda barındırılan bir hizmete bağlanırken, karşılıklı kimlik doğrulamasını destekleyen kimlik doğrulama protokolleri, tüm hizmet örneklerinin aynı sorumluyu kullanmasını gerektirir.
Hesaplar hakkında daha fazla bilgi için bkz:
Temsilci kimlik doğrulaması
Seyahat benzetmesini kullanmak için ülkeler, delegeler iyi bilindiği sürece resmi bir hükümet heyetinin tüm üyelerine aynı erişimi verebilir. Bu temsilci, bir üyenin başka bir üyenin yetkisi üzerinde işlem yapmasını sağlar. Windows'da, bir ağ hizmeti bir kullanıcıdan gelen kimlik doğrulama isteğini kabul ettiğinde ve ikinci bir ağ hizmetine yeni bir bağlantı başlatmak için bu kullanıcının kimliğini varsaydığında temsilci kimlik doğrulaması gerçekleşir. Temsilci kimlik doğrulamasını desteklemek için, istemci kimlik doğrulama isteklerinin işlenmesinden sorumlu olan web sunucuları gibi ön uç veya birinci katman sunucuları ve bilgileri depolamak için sorumlu olan büyük veritabanları gibi arka uç veya n katmanlı sunucular oluşturmanız gerekir. Yöneticileriniz üzerindeki yönetim yükünü azaltmak için kuruluşunuzdaki kullanıcılara temsilci kimlik doğrulaması ayarlama hakkını devredebilirsiniz.
Temsilci seçme için güvenilir olarak bir hizmet veya bilgisayar oluşturarak, hizmetin veya bilgisayarın temsilci kimlik doğrulamasını tamamlamasına, istekte bulunan kullanıcı için bir bilet almasına ve ardından söz konusu kullanıcının bilgilerine erişmesine izin verirsiniz. Bu model, arka uç sunuculardaki veri erişimini yalnızca kimlik bilgilerini doğru erişim denetimi belirteçleriyle sunan kullanıcılar veya hizmetlerle kısıtlar. Buna ek olarak, bu arka uç kaynaklarının erişim denetimine olanak tanır. Tüm verilere istemci adına kullanılmak üzere sunucuya temsilci atanan kimlik bilgileriyle erişilmesini zorunlu tutarak, sunucunun gizliliğinin tehlikeye atılamayacağından ve diğer sunucularda depolanan hassas bilgilere erişebildiğinizden emin olursunuz. Temsilci kimlik doğrulaması, birden çok bilgisayarda çoklu oturum açma özelliklerini kullanacak şekilde tasarlanmış çok katmanlı uygulamalar için kullanışlıdır.
Etki alanları arasındaki güven ilişkilerinde kimlik doğrulaması
Birden fazla etki alanına sahip çoğu kuruluşun, seyahat eden kişinin ülkenin farklı bölgelerine seyahatine izin verdiği gibi, kullanıcıların farklı bir etki alanında bulunan paylaşılan kaynaklara erişmesi yasal bir gereksinime sahiptir. Bu erişimi denetlemek için bir etki alanındaki kullanıcıların kimliğinin doğrulanması ve başka bir etki alanındaki kaynakları kullanma yetkisinin de alınması gerekir. farklı etki alanlarındaki istemciler ve sunucular arasında kimlik doğrulaması ve yetkilendirme özellikleri sağlamak için, iki etki alanı arasında bir güven olmalıdır. Güvenler, güvenli Active Directory iletişimlerinin gerçekleştiği temel teknolojidir ve Windows Server ağ mimarisinin ayrılmaz bir güvenlik bileşenidir.
İki etki alanı arasında bir güven olduğunda, her etki alanının kimlik doğrulama mekanizmaları diğer etki alanından gelen kimlik doğrulamalarına güvenir. Güvenler, gelen kimlik doğrulama isteklerinin güvenilen bir yetkiliden (güvenilen etki alanından) geldiğini doğrulayarak bir kaynak etki alanındaki paylaşılan kaynaklara (güvenen etki alanı) denetimli erişim sağlamaya yardımcı olur. Bu şekilde güvenler, yalnızca doğrulanmış kimlik doğrulama isteklerinin etki alanları arasında hareket etmesine olanak sağlayan köprüler görevi görür.
Belirli bir güven ilişkisinin kimlik doğrulama isteklerini nasıl ilettiği, nasıl yapılandırıldığına bağlıdır. Güven ilişkileri, güvenilen etki alanından güvenen etki alanındaki kaynaklara erişim sağlayarak veya her etki alanından diğer etki alanındaki kaynaklara erişim sağlayarak iki yönlü olabilir. Güvenler de geçişsizdir; bu durumda güven yalnızca iki güven ortağı etki alanı arasında veya geçişli olarak bulunur; bu durumda güven, iş ortaklarından birinin güvendiği diğer etki alanlarına otomatik olarak genişletilir.
Güvenin nasıl çalıştığı hakkında bilgi için bkz. Etki Alanı ve Orman Güvenleri Nasıl Çalışır?
Protokol geçişi
Protokol geçişi, uygulamaların kullanıcı kimlik doğrulama katmanında farklı kimlik doğrulama mekanizmalarını desteklemesine izin vererek ve sonraki uygulama katmanlarında karşılıklı kimlik doğrulaması ve kısıtlanmış temsil gibi güvenlik özellikleri için Kerberos protokolüne geçerek uygulama tasarımcılarına yardımcı olur.
Protokol geçişi hakkında daha fazla bilgi için bkz. Kerberos Protokolü Geçişi ve Kısıtlanmış Temsilci.
Kısıtlanmış temsil
Kısıtlanmış temsil, yöneticilere uygulama hizmetlerinin bir kullanıcı adına işlem yapabilecekleri kapsamı sınırlayarak uygulama güven sınırlarını belirtme ve zorlama olanağı sağlar. Delegasyon için güvenilen bir bilgisayarın kaynak isteyebileceği belirli hizmetleri belirtebilirsiniz. Hizmetler için yetkilendirme haklarını kısıtlama esnekliği, güvenilmeyen hizmetlerin tehlikeye atılmasına yönelik fırsatları azaltarak uygulama güvenliği tasarımının geliştirilmesine yardımcı olur.
Kısıtlanmış temsil hakkında daha fazla bilgi için bkz. Kerberos Kısıtlanmış Temsile Genel Bakış.
Ek Kaynaklar
Windows Oturum Açma ve Kimlik Doğrulaması Teknik Genel Bakış