了解身份验证和授权
Windows 客户端为设备提供了多种安全技术,包括身份验证和授权。 身份验证是在用户访问计算机系统或系统资源时确认其身份的过程。 在专用和公共计算机网络(包括 Internet)中,控制对资源的访问的最常见身份验证方法是验证用户的凭据,这通常是用户的用户名和密码。
但是,当你将密码身份验证用于某些关键事务(例如付款处理以及用户名和密码身份验证)时,密码身份验证本质上很弱。 密码可能会被盗或无意中泄露。 因此,大多数 Internet 企业实施证书颁发机构 (CA) 颁发和验证的数字证书。 从逻辑上讲,身份验证在授权之前进行,通过授权,作系统可以确定经过身份验证的用户是否具有访问和更新受保护系统资源所需的权限。 授权权限包括对文件和文件夹的访问、访问小时数、分配的存储空间量和其他规范。 授权有两个方面:
- 系统管理员最初定义系统资源的权限。
- 当用户尝试访问或更新系统资源时,系统或应用程序会验证用户的权限值。
可以在不实现身份验证的情况下提供授权和访问权限,例如,为尚未进行身份验证的匿名用户授予权限时。 但是,这些权限通常受到限制。
Windows 身份验证方法
当用户通过网络访问文件时,必须进行身份验证才能验证其身份,并且身份验证在网络登录过程中进行。 Windows 客户端作系统支持以下网络登录身份验证方法:
- Kerberos 版本 5 协议。 基于 Windows 的客户端和服务器将此用作main登录身份验证方法。 它为用户和计算机帐户提供身份验证。
- NTLM。 此方法提供与 Windows 2000 之前的作系统和某些应用程序的向后兼容性。 但是,它不如 Kerberos 协议灵活、效率低、安全性低。
- 证书映射。 通常,用户将此方法与智能卡结合使用。 智能卡存储的证书可以链接到用户帐户。 用户利用智能卡读取器扫描卡的芯片对用户进行身份验证。