此面向 IT 专业人员的参考文章总结了常见的 Windows 登录和登录方案。
Windows作系统要求所有用户都使用有效的帐户登录到计算机,以访问本地和网络资源。 基于 Windows 的计算机通过实现对用户进行身份验证的登录过程来保护资源。 用户通过身份验证后,授权和访问控制技术实现资源保护的第二阶段:确定通过身份验证的用户是否有权访问资源。
本文的内容适用于本文开头的 “适用于 列表”中指定的 Windows 版本。
此外,应用程序和服务还可以要求用户登录以访问应用程序或服务提供的资源。 登录(应用程序和服务的)过程与登录(计算机的)过程类似,都需要有效帐户和正确凭据,但(后者的)登录信息存储在本地计算机上的安全帐户管理器 (SAM) 数据库和适用的 Active Directory 中。 (前者的)登录帐户和凭据信息由应用程序或服务管理,并且(可选)本地存储在凭据保险箱中。
若要了解身份验证的工作原理,请参阅 Windows 身份验证概念。
本文介绍以下方案:
注意
当用户执行本地登录时,他们的凭据在通过网络向标识提供者进行身份验证之前之前,会在本地根据缓存副本进行验证。 如果缓存验证成功,即使设备处于脱机状态,用户也可以访问桌面。 但是,如果用户在云中更改了其密码,则缓存验证程序不会更新,这意味着他们仍然可以使用旧密码访问本地计算机。
交互式登录
当用户在凭据输入对话框中输入凭据、用户将智能卡插入智能卡读卡器或用户与生物识别设备交互时,登录过程将开始。 用户可以使用本地用户帐户或域帐户进行交互式登录来登录计算机。
下图显示了交互式登录元素和登录过程。
本地和域登录
用户为域登录提供的凭据包含本地登录所需的全部元素,例如帐户名和密码或证书,以及 Active Directory 域信息。 该过程向用户本地计算机上的安全数据库或向 Active Directory 域确认用户标识。 无法为域中的用户关闭此强制登录过程。
用户可以通过两种方式对计算机执行交互式登录:
当用户可以直接物理访问计算机时,或当计算机属于计算机网络时,可以采取本地登录的方式。
本地登录授予用户访问本地计算机上的 Windows 资源的权限。 本地登录要求用户在本地计算机上具有安全帐户管理器(SAM)中的用户帐户。 SAM 以存储在本地计算机注册表中的安全帐户的形式保护和管理用户和组信息。 计算机可以具有网络访问权限,但这不是必需的。 本地用户帐户和组成员身份信息用于管理对本地资源的访问。
网络登录授予用户访问本地计算机上的 Windows 资源的权限,以及网络计算机上的任何资源(由凭据的访问令牌定义)。 本地登录和网络登录都要求用户在本地计算机上具有安全帐户管理器(SAM)中的用户帐户。 本地用户帐户和组成员身份信息用于管理对本地资源的访问,用户的访问令牌定义可在联网计算机上访问的资源。
本地登录和网络登录不足以授予用户和计算机访问和使用域资源的权限。
通过终端服务或远程桌面服务 (RDS) 进行远程登录。在这种情况下,登录进一步限定为远程交互式登录。
交互式登录后,Windows 代表用户运行应用程序,用户可以与这些应用程序进行交互。
本地登录授权用户访问本地计算机上的资源或联网计算机上的资源。 如果计算机已加入域,Winlogon 功能将尝试登录到该域。
域登录授予用户访问本地资源和域资源的权限。 域登录要求用户在 Active Directory 中拥有用户帐户。 计算机必须在 Active Directory 域中拥有一个帐户,且物理连接到网络。 用户还必须具有登录到本地计算机或域的用户权限。 域用户帐户信息和组成员身份信息用于管理对域和本地资源的访问。
远程登录
在 Windows 中,通过远程登录访问另一台计算机依赖于远程桌面协议(RDP)。 由于用户在尝试远程连接之前必须已成功登录到客户端计算机,因此交互式登录过程已成功完成。
RDP 使用远程桌面客户端管理用户输入的凭据。 这些凭据适用于目标计算机,用户在该目标计算机上必须拥有一个帐户。 此外,必须将目标计算机配置为接受远程连接。 发送目标计算机凭据以尝试执行身份验证过程。 如果身份验证成功,用户将连接到可使用提供的凭据访问的本地和网络资源。
网络登录
只有在发生用户、服务或计算机身份验证后,才能使用网络登录。 在网络登录期间,该过程不使用凭据条目对话框收集数据。 将改用以前建立的凭据或其他方法来收集凭据。 此过程向用户尝试访问的任何网络服务确认用户标识。 除非必须提供备用凭据,否则此过程通常对用户不可见。
若要提供此类型的身份验证,安全系统包括以下身份验证机制:
Kerberos 版本 5 协议
公钥证书
安全套接字层/传输层安全性 (SSL/TLS)
摘要
NTLM,用于与基于 Microsoft Windows NT 4.0 的系统兼容
有关元素和进程的信息,请参阅本文前面的交互式登录关系图。
智能卡登录
智能卡只能用于登录域帐户,不能用于登录本地帐户。 智能卡身份验证要求使用 Kerberos 身份验证协议。 从 Windows 2000 Server 开始,在基于 Windows 的作系统中,实现了 Kerberos 协议的初始身份验证请求的公钥扩展。 与共享密钥加密相比,公钥加密是不对称的。 也就是说,需要两个不同的密钥:一个用于加密,另一个用于解密。 执行这两个操作所需的密钥共同构成私钥/公钥对。
若要启动典型的登录会话,用户必须通过提供仅用户和底层 Kerberos 协议基础设施知道的信息来证明其身份。 机密信息是派生自用户密码的加密共享密钥。 共享密钥是对称的,这意味着加密和解密采用相同的密钥。
下图显示智能卡登录所需的元素和过程。
使用智能卡而非密码时,存储在用户智能卡上的私钥/公钥对将替换派生自用户密码的共享机密密钥。 私钥仅存储在智能卡上。 公钥可以提供给所有者想要与之交换机密信息的任何人。
有关 Windows 中的智能卡登录过程的详细信息,请参阅 智能卡登录在 Windows 中的工作原理。
生物识别登录
设备用于捕获和生成项目的数字特征,例如指纹。 然后,此数字表示形式与同一工件的示例进行比较,当这两者匹配时,即可进行身份验证。 运行本文开头“适用于”列表中指定的任何操作系统的计算机可以配置为接受这种登录方式。 但是,如果仅针对本地登录配置生物识别登录,用户在访问 Active Directory 域时需要出示域凭据。
相关内容
有关 Windows 如何管理登录过程中提交的凭据的信息,请参阅 Windows 身份验证中的凭据管理。