Windows 驗證是企業環境中安全存取的基石,可讓使用者和服務與系統互動,同時保護敏感性資訊。 本文為 IT 專業人員提供 Windows 在身份驗證過程中如何處理憑證的完整概覽。 它涵蓋認證管理、驗證和記憶體所涉及的重要元件、機制和架構,確保清楚瞭解各種 Windows作系統的驗證程式。
具體來說,涵蓋這些元件:
Windows 認證驗證概觀
Windows 身分驗證管理是作業系統從服務或使用者接收身分驗證,並將該資訊安全以備將來呈遞至驗證目標的程序。 如果計算機已加入網域,驗證目標就是域控制器。 身分驗證中使用的身分驗證是數位檔案,可將使用者的身份與某種形式的真實性證明 (例如憑證、密碼或 PIN) 相關聯。
依預設,會透過 Winlogon 服務,針對本機電腦上的 Security Accounts Manager (SAM) 資料庫,或針對加入網域的電腦上的 Active Directory 驗證 Windows 身分驗證。 透過在登入使用者介面上的使用者輸入或透過應用程式程式設計介面 (API) 以程式設計方式收集身分驗證,以呈現給身分驗證目標。
本機安全資訊儲存在登錄檔的 HKEY_LOCAL_MACHINE\SECURITY 下。 儲存的資訊包括原則設定、預設安全性值和帳戶資訊,例如快取的登入憑證。 SAM 資料庫的複本也會儲存在這裡,但受到寫入保護。
下圖顯示必要的元件,以及身分驗證透過系統以驗證使用者或程序成功登錄的路徑。
下表說明管理所有系統登入點之驗證程序中認證的每個元件。
| Component | Description |
|---|---|
| 使用者登入 | Winlogon.exe 是負責管理安全使用者互動的可執行檔。 Winlogon 服務會將使用者在安全桌面(Logon UI)上所收集的認證通過 secur32.dll 傳遞到本機安全授權單位(LSA),以啟動 Windows 作業系統的登入過程。 |
| 應用程式登錄 | 不需要互動式登錄的應用程式或服務登入。 大部分由使用者起始的進程都是在 secur32.dll 使用者模式中執行,而啟動時起始的進程,例如服務,則會使用 Ksecdd.sys在核心模式中執行。如需使用者模式和核心模式的詳細資訊,請參閱 應用程式和使用者模式 或 服務和核心模式。 |
secur32.dll |
構成驗證程序基礎的多個驗證供應商。 |
lsasrv.dll |
LSA 伺服器服務會強制執行安全策略,並做為 LSA 的安全性套件管理員。 LSA 包含 Negotiate 函式,該函式在確定會成功的協定後選擇 NTLM 或 Kerberos 協定。 |
| 安全支援提供者 | 一組供應商,可個別叫用一或多個驗證協定。 預設的供應商集合會隨每個 Windows 作業系統版本而變更,而且可以寫入自訂供應商。 |
netlogon.dll |
Net Logon 服務執行的服務如下:
|
samsrv.dll |
儲存本機安全帳戶的 Security Accounts Manager (SAM) 負責執行本機儲存的原則,並支援 API。 |
| Registry | 登錄檔包含 SAM 資料庫的副本、本機安全原則設定、預設安全值,以及只能由系統存取的帳戶資訊。 |
使用者登錄的憑證輸入
Windows Server 2008 中引進的認證提供者架構是用來在登入期間收集用戶認證的主要機制。 它可讓您以彈性且可擴充的方式,從使用者收集認證,例如密碼、智慧卡或生物特徵辨識技術。 認證提供者架構會取代舊版 Windows 中使用的圖形識別和驗證 (GINA) 架構。
若要瞭解舊版 Windows 中的圖形識別和驗證 (GINA) 架構,請展開本節。
Graphical Identification 和 Authentication (GINA) 架構適用於 Windows Server 2003、Microsoft Windows 2000 Server、Windows XP 和 Windows 2000 Professional 作業系統。 在這些系統中,每個互動登入會話都會建立 Winlogon 服務的獨立實例。 GINA 架構載入到 Winlogon 使用的程序空間中,接收並處理身分驗證,並透過 LSALogonUser 對身份驗證介面進行呼叫。
工作階段 0 中執行互動式登錄的 Winlogon 執行個體。 工作階段 0 承載系統服務及其他重要進程,包括 Local Security Authority (LSA) 進程。
下圖顯示 Windows Server 2003、Microsoft Windows 2000 Server、Windows XP 和 Microsoft Windows 2000 Professional 的身分驗證程序。
認證提供者架構
憑證提供者架構採用可延伸的設計,利用憑證提供者來實現。 不同的登入圖格代表安全桌面上的這些提供者,允許任意數目的登入案例,包括相同使用者的不同帳戶和不同的驗證方法,例如密碼、智慧卡和生物特徵辨識。
下圖顯示認證提供者架構的認證程式:
Winlogon 在收到安全注意順序事件之後,一律會啟動登入 UI 程式。 Logon UI 會查詢每個身分驗證供應商,以取得該供應商設定為列舉的不同身分驗證型別的數目。 身分驗證供應商可選擇指定其中一個圖塊作為預設值。 在所有提供者列舉其圖格之後,登入UI就會向用戶顯示它們。 使用者會與圖塊互動,以提供其身分驗證。 Logon UI 會提交這些身分驗證以進行驗證。
認證提供者不是強制執行機制;它們可用來收集和串行化認證。 Local Security Authority 和驗證套件會強制執行安全性。
認證提供者會在計算機上註冊,並負責下列工作:
描述驗證所需的身分驗證資訊。
處理與外部驗證授權單位的通訊和邏輯。
用於互動和網路登入的整合憑證。
互動式與網路登錄的身分驗證封裝過程包括序列化程序。 藉由串行化認證,可以向用戶顯示多個登入圖格。 因此,您的組織可以使用自定義認證提供者來控制登入顯示,例如使用者、登入目標系統、網路預先登入存取和工作站鎖定/解除鎖定原則。 多個認證提供者可以共存於同一部計算機上。 單一登錄 (SSO) 提供者可以開發為標準認證提供者或預先登入存取提供者 (PLAP)。
每個 Windows 版本都包含一個預設認證提供者和一個預設的登入前存取提供者,也稱為 SSO 提供者。 SSO 供應商允許使用者在登錄本機電腦前連線到網路。 實作此提供者時,提供者不會列舉登入UI上的圖格。
SSO 提供者適用於下列場景:
網路驗證和計算機登入是由不同的認證提供者處理,包括此案例的下列變化:
使用者在登入計算機之前可以選擇連線到網路,例如連線到虛擬專用網(VPN),但不需要進行此連線。
需要網路驗證才能擷取本機電腦上互動式驗證期間所使用的資訊。
多重網路驗證後,緊接著進入其中一個其他情境。 例如,使用者向 Internet 服務供應商 (ISP) 進行身份驗證,向 VPN 進行身份驗證,然後使用他們的使用者帳戶身分驗證在本機登錄。
已停用快取的認證資訊,而且需要先透過 VPN 的遠端存取服務連線,然後才能在本機登入驗證使用者身分。
網域使用者未在已加入網域的計算機上設定本機帳戶,而且必須先透過 VPN 連線建立遠端訪問服務連線,才能完成互動式登錄。
網路驗證和計算機登入是由相同的認證提供者處理,用戶必須先連線到網路,才能登入計算機。
登入圖塊列舉
身分驗證供應商會在以下情況列舉登入圖塊:
針對工作站登入。 憑證提供者通常將憑證序列化以進行本地安全授權機構的身分驗證。 此程序會顯示每個使用者特定的圖塊,以及每個使用者的目標系統特定的圖塊。
登錄與驗證架構可讓使用者使用身分驗證供應商列舉的圖塊來解除工作站的鎖定。 一般而言,目前登錄的使用者是預設的圖塊,但如果有一個以上的使用者登錄,則會顯示許多的圖塊。
身分驗證供應商會在使用者請求更改密碼或其他私密資訊(例如 PIN)時列出相關圖塊。 一般而言,目前登錄的使用者是預設的圖塊,但如果有一個以上的使用者登錄,則會顯示許多的圖塊。
身分驗證供應商會根據序列化身分驗證來列舉要在遠端電腦上進行驗證的圖塊。 憑證UI不會使用與登入UI、解除鎖定工作站或變更密碼相同的提供者實例。 因此,在認證 UI 實例之間,無法在提供者中維持狀態資訊。 此結構會為每個遠端電腦登入產生一個磁磚,前提是認證資訊已正確序列化。 此方案也用於 User Account Control (UAC),可在允許可能影響電腦操作或可能影響電腦其他使用者的設定之前,提示使用者權限或管理員密碼,從而幫助防止對電腦進行未經授權的更改。
應用程式與服務登錄的身分驗證輸入
Windows 驗證的設計目的是管理不需要使用者互動的應用程式或服務的認證。 使用者模式中的應用程式會受到其可存取之系統資源的限制,而服務可不受限制地存取系統記憶體與外部裝置。
系統服務和傳輸層級應用程式可透過 Windows 中的安全性支援提供者介面 (SSPI) 存取安全性支援提供者 (SSP),其提供列舉系統上可用安全性套件、選取套件,以及使用該套件取得已驗證連線的函式。
驗證客戶端/伺服器連線時:
連線客戶端的應用程式會使用 SSPI
InitializeSecurityContext (General)功能將身分驗證傳送到伺服器。連線伺服器端的
AcceptSecurityContext (General)應用程式會以 SSPI 函式回應。SSPI 函式
InitializeSecurityContext (General)和AcceptSecurityContext (General)會重複執行,直到交換所有必要的驗證訊息以成功或失敗驗證為止。驗證連線之後,伺服器上的 LSA 會使用來自客戶端的資訊來建置安全性內容,其中包含存取令牌。
然後,伺服器可以呼叫 SSPI 函式
ImpersonateSecurityContext以將存取權杖附加到服務的模擬執行緒。
應用程式和使用者模式
在 Windows 中,使用者模式由兩個系統組成,這兩個系統能夠將 I/O 請求傳遞到相應的核心模式驅動程式:環境系統,執行為許多不同型別的作業系統編寫的應用程式;以及完整系統,代表環境系統執行特定於系統的功能。
整合系統為環境系統執行操作系統特定功能,並包含安全性系統進程(LSA)、工作站服務和伺服器服務。 安全系統進程處理安全權杖,基於資源權限授予或拒絕存取使用者帳戶的權限,處理登錄請求和發起登錄驗證,並確定作業系統需要稽核的系統資源。
應用程式可以在使用者模式中執行,其中應用程式可以作為任何主體執行,包括在 Local System (SYSTEM) 的安全內容中。 應用程式也可以以核心模式執行,應用程式可以在 Local System (SYSTEM) 的安全內容中執行。
SSPI 可透過 secur32.dll 模組取得,這是用來取得整合式安全性服務的 API,用於驗證、訊息完整性和訊息隱私權。 它在應用層協定和安全協定之間提供一個抽象層。 因為不同的應用程式需要不同的識別或驗證使用者的方法,以及不同的資料加密方式,SSPI 提供存取包含不同驗證和加密功能的動態連結程式庫 (DLL) 的方法。 這些 DLL 稱為 Security Support Providers (SSP)。
受管理服務帳戶和虛擬帳戶在 Windows Server 2008 R2 和 Windows 7 中引入,以提供關鍵應用程式 (如 Microsoft SQL Server 和 Internet Information Services (IIS)),並隔離其自己的網域帳戶,同時無需管理員手動管理這些帳戶的服務主體名稱 (SPN) 和身分驗證。 如需有關這些功能及其在驗證中的作用的詳細資訊,請參閱 Windows 7 和 Windows Server 2008 R2 的受管理服務帳戶文件 和 群組管理的服務帳戶概述。
服務和核心模式
儘管大部分的 Windows 應用程式都是在啟動這些應用程式的使用者安全性內容中執行,但服務則不同。 當使用者啟動計算機時,服務控制站會有許多 Windows 服務,例如網路和列印服務。 這些服務可能會以 Local Services 或 Local System 的形式執行,並且可能會在最後一位使用者登出後繼續執行。
Note
服務通常在稱為 Local System (SYSTEM)、Network Service 或 Local Service 的安全內容中執行。 Windows Server 2008 R2 引進以受管理服務帳戶執行的服務,它們是網域主體。
在啟動服務之前,服務控制者會使用為服務指定的帳戶登入,然後提供服務的身分驗證以供 LSA 驗證。 Windows 服務實作一個程式化介面,服務控制者管理員可以使用該介面來控制服務。 Windows 服務可以在系統啟動時自動啟動,也可以使用服務控制程式手動啟動。 例如,當 Windows 客戶端電腦加入網域時,電腦上的訊息服務會連線到網域控制者,並開啟安全通道至該網域控制者。 若要取得已驗證的連線,服務必須擁有遠端電腦的 Local Security Authority (LSA) 信任的憑證。 當與網路中的其他電腦通訊時,LSA 會使用本機電腦網域帳戶的身分驗證,與在 Local System 與 Network Service 安全性內容中執行的所有其他服務一樣。 本機電腦上的服務會以 SYSTEM 身分執行,因此不需要向 LSA 顯示認證。
檔案 ksecdd.sys 會管理及加密這些憑證,並使用 LSA 的本機過程調用。 檔類型為DRV(驅動程式),且從Windows Server 2008開始,稱為內核模式安全性支援提供者 (SSP),且符合 FIPS 140-2 層級 1 規範。
核心模式可以完全存取電腦的硬體和系統資源。 核心模式會防止使用者模式的服務和應用程式存取作業系統中的關鍵區域,使其無法存取不應該存取的部分。
當地安全機構
Local Security Authority (LSA) 是受保護的系統程序,可驗證使用者並登錄本機電腦。 此外,LSA 維護著關於電腦上本機安全所有方面的資訊 (這些方面統稱為本機安全原則),並且提供各種服務,用於名稱和安全識別符號 (SID) 之間的轉換。 安全性系統程序 Local Security Authority Server Service (LSASS) 會追蹤在電腦系統上有效的安全性原則與帳戶。
LSA 會根據下列哪兩個實體之一簽發了使用者帳戶來驗證使用者的身分:
本機安全性授權單位:LSA 可以檢查位於同一部計算機上的安全性帳戶管理員 (SAM) 資料庫,以驗證用戶資訊。 任何工作站或成員伺服器都可以儲存本機使用者帳戶與本機群組資訊。 但是,這些帳戶只能用於存取該工作站或電腦。
本機網域或受信任網域的安全性授權單位:LSA 會連絡發出帳戶的實體,並要求驗證帳戶有效,並確認請求來自帳戶持有者。
本機安全性授權子系統服務 (LSASS) 會代表使用中 Windows 工作階段的使用者,將認證儲存在記憶體中。 儲存的認證可讓用戶順暢地存取網路資源,例如檔案共用、Exchange Server 信箱和 SharePoint 網站,而不需要重新輸入每個遠端服務的認證。
LSASS 可以使用多種形式儲存認證,包括:
可逆加密的純文字。
Kerberos 票證(票證授權票證(TGT)、服務票證)。
NT 哈希。
LAN Manager (LM) 哈希。
如果使用者使用智慧卡登入 Windows,LSASS 不會儲存純文字密碼,但會儲存帳戶的對應 NT 哈希值,以及智慧卡的純文本 PIN。 如果為互動式登入所需的智慧卡啟用帳戶屬性,則會為帳戶自動產生隨機 NT 雜湊值,而不是原始的密碼雜湊。 設定屬性時自動產生的密碼哈希不會變更。
如果使用者使用與 LAN Manager (LM) 雜湊相容的密碼登入 Windows 電腦,則此驗證器會出現在記憶體中。 即使停用了需要純文本憑證的憑證提供者,記憶體中純文本憑證的儲存仍然無法停用。
預存的認證會直接與上次重新啟動後啟動且未關閉的本機安全性授權單位子系統子系統服務 (LSASS) 登入會話相關聯。 例如,當使用者執行下列任何動作時,會建立具有儲存的 LSA 憑證的 LSA 會話:
登入電腦上的本機會話或遠端桌面通訊協定 (RDP) 會話。
使用 [RunAs ] 選項執行工作。
在計算機上執行作用中的 Windows 服務。
執行排程的工作或批次作業。
使用遠端管理工具在本地電腦上執行任務。
在某些情況下,LSA 機密 (只能由 SYSTEM 帳戶程序存取的機密資料段) 儲存在硬碟驅動器上。 其中一些秘密是必須在重新啟動后保存的認證,而且會以加密形式儲存在硬碟上。 儲存為 LSA 秘密的認證可能包括:
電腦上的 Active Directory Domain Services(AD DS)帳戶密碼。
計算機上設定之 Windows 服務的帳戶密碼。
已設定排程工作的帳戶密碼。
IIS 應用程式集區和網站的帳戶密碼。
Microsoft帳戶的密碼。
Windows 用戶端作系統為 LSA 提供額外的保護,以防止非受保護的進程讀取記憶體和程序代碼插入,這是在 Windows 8.1 中引進的。 此保護可提高 LSA 儲存和管理的身分驗證的安全性。
如需這些額外保護的詳細資訊,請參閱 設定其他 LSA 保護。
快取的憑證和驗證
驗證機制取決於登錄時證明資料的呈現。 但是,當電腦與網域控制器中斷連線,而使用者正在提供網域憑證時,Windows 會在驗證機制中使用快取的憑證程序。
每次使用者登錄網域時,Windows 都會快取提供的身分驗證,並將其儲存在作業系統登入中的安全性登錄區中。 使用快取的憑證,使用者可以登入網域成員,而不必連線到該網域中的網域控制站。
身分驗證儲存與驗證
不一定想要使用一組認證來存取不同的資源。 例如,管理員在存取遠端伺服器時可能希望使用管理而不是使用者身分驗證。 同樣地,如果使用者存取外部資源,例如銀行帳戶,他們只能使用與其網域認證不同的認證。
遠端登錄身分驗證程序
Remote Desktop Protocol (RDP) 使用 Windows 8 中引入的 Remote Desktop Client,管理連線到遠端電腦的使用者身分驗證。 明文的身分驗證會傳送至目標主機,而主機會嘗試執行驗證程序,如果成功,則會將使用者連線至允許的資源。 RDP 不會將認證儲存在用戶端上,但使用者的網域認證會儲存在 LSASS 中。
受限制的系統管理模式可為 Windows Server 2012 R2 和 Windows 8.1 中引進的遠端登錄案例提供額外的安全性。 在這種 Remote Desktop 模式下,客戶端應用程式會使用 NT 單向功能 (NTOWF) 執行網路登入挑戰回應,或在驗證遠端主機時使用 Kerberos 服務票證。 驗證系統管理員之後,系統管理員在 LSASS 中沒有個別的帳戶認證,因為它們未提供給遠端主機。 反之,管理員擁有該工作階段的電腦帳戶憑證。 系統不會將系統管理員認證提供給遠端主機,因此動作會以計算機帳戶的形式執行。 資源也受限於計算機帳戶,且系統管理員無法使用自己的帳戶存取資源。
自動重新啟動登入身分驗證程序
當使用者登入時,LSA 會將使用者認證儲存在只有 windows 8.1 中引進的 LSASS.exe才能存取的加密記憶體中。 當 Windows Update 在沒有使用者在場的情況下啟動自動重新啟動時,會使用這些身分驗證來設定使用者的 Autologon。
重新啟動時,使用者會自動,透過 Autologon 機制登入,然後電腦會額外鎖定,以確保工作階段安全。 鎖定是透過 Winlogon 啟動,而身分驗證管理則由 LSA 完成。 透過自動登入並鎖定使用者在控制台上的工作階段,使用者鎖定畫面的應用程式會重新啟動並可再次使用。
如需有關 ARSO 的詳細資訊,請參閱 Winlogon Automatic Restart Sign-On (ARSO)。
Windows 保管庫和憑證管理員
認證管理員是用來儲存和管理使用者名稱和密碼的控制面板功能,這是 Windows Server 2008 R2 和 Windows 7 中引進的。 Credential Manager 可讓使用者將與其他系統和網站相關的身分驗證儲存在安全的 Windows Vault 中。
使用者可以從支援的瀏覽器和 Windows 應用程式儲存認證,並儲存在本機電腦上,以便在需要登入這些資源時方便。 身分驗證會儲存在電腦上使用者設定檔下的特殊加密資料夾中。 支援這項功能的應用程式(使用認證管理員 API,例如網頁瀏覽器和應用程式,可以在登入程式期間將正確的認證呈現給其他電腦和網站。
當網站、應用程式或其他電腦透過 NTLM 或 Kerberos 協定要求驗證時,會出現一個對話方塊,您可以在其中選取 Update Default Credentials 或 Save Password 核取方塊。 支援認證管理員 API 的應用程式會產生此對話框,讓使用者在本機儲存認證。 如果使用者選取 Save Password 核取方塊,Credential Manager 會追蹤使用者的使用者名稱、密碼以及正在使用的驗證服務的相關資訊。
下次使用服務時,Credential Manager 會自動提供儲存在 Windows Vault 中的身分驗證。 如果未接受,系統會提示使用者輸入正確的存取資訊。 如果以新身分驗證授予存取權,Credential Manager 會以新身分驗證覆寫先前的身分驗證,然後將新身分驗證儲存在 Windows Vault 中。
安全帳戶管理器資料庫
Security Accounts Manager (SAM) 是一個資料庫,用來儲存本機使用者帳戶和群組。 它存在於每個 Windows作系統中;不過,當計算機加入網域時,Active Directory 會管理 Active Directory 網域中的網域帳戶。
例如,即使沒有使用者登錄,執行 Windows 作業系統的客戶端電腦也會透過與網域控制者通訊來參與網路網域。 若要起始通訊,電腦必須在網域中擁有作用中的帳戶。 在接受來自電腦的通訊之前,域控制器上的 LSA 會驗證電腦的身份,然後建構電腦的安全背景內容文,就像對人類安全主體所做的那樣。 此安全性內容定義特定電腦上的使用者或服務,或網路上的使用者、服務或電腦的身分與能力。 例如,安全性內容中包含的存取令牌會定義可存取的資源(例如檔案共用或印表機),以及主體(例如使用者、計算機或服務)可以在該資源上執行的動作(例如讀取、寫入或修改)。
使用者或電腦的安全性背景內容會因電腦的不同而不同,例如當使用者登錄伺服器或除使用者自己的主要工作站以外的工作站時。 它也可能因會話的不同而有所不同,例如管理員修改使用者的權限和許可時。 此外,當使用者或電腦獨立作業、在網路中或作為 Active Directory 網域的一部分時,安全背景內容通常不同。
本機網域和受信任的網域
當兩個域之間存在信任時,每個域的身分驗證機制依賴於來自另一個域的身分驗證的有效性。 信任協助提供受信任網域中共用資源的控制存取,此過程藉由驗證傳入的驗證要求是否來自信賴的授權域 (信賴域) 來實現。 透過這種方式,信任充當橋樑,使得只有經過驗證的身分驗證請求才能在網域間傳遞。
特定信任傳遞驗證要求的方式取決於驗證要求的設定方式。 信任關係可以是單向的,透過從受信任的域提供存取信任域中的資源權限,或者是雙向的,透過從每個域提供存取另一個域中的資源權限。 信任也是非可轉移的,在這種情況下,信任只存在於兩個信任夥伴網域之間,或可轉移的,在此情況下,信任會自動延伸到任一合作夥伴信任的任何其他網域。
如需有關驗證、網域與樹系信任關係的資訊,請參閱 委派的驗證和信任關係。
Windows 驗證中的憑證
公用金鑰基礎設施 (PKI) 是軟體、加密技術、程序和服務的組合,使組織能夠保護其通訊和業務交易。 PKI 保護通訊和商業交易安全的能力基於在身分驗證使用者和受信任資源之間交換數位憑證。
數位證書是一份電子檔,其中包含其所屬實體的相關信息、發行該實體、唯一序號或其他一些唯一的識別、發行和到期日,以及數字指紋。
驗證是判斷遠端主機是否可信任的程序。 要建立可信度,遠端主機必須提供可接受的驗證憑證。
遠端主機透過從憑證授權單位 (CA) 取得憑證來建立其可信度。 CA 可以擁有來自更高權威的身分驗證,從而建立信任鏈。 若要判斷憑證是否值得信任,應用程式必須判斷根 CA 的身分識別,然後判斷其是否值得信任。
類似地,遠端主機或本地電腦必須確定使用者或應用程式提供的憑證是否可信。 使用者透過 LSA 和 SSPI 呈現的憑證會評估本機電腦上本機登錄、網路上或透過 Active Directory 中的憑證存放區在網域上的真實性。
若要產生憑證,驗證數據會通過哈希演算法,例如安全哈希演算法(SHA)來產生訊息摘要。 然後,訊息摘要會使用發件者的私鑰進行數字簽署,以證明寄件者產生訊息摘要。
智慧卡驗證
智慧卡技術是基於憑證的驗證範例。 使用智慧卡登錄網路提供強大的驗證形式,因為當使用者驗證網域時,會使用密碼學為基礎的識別與擁有證明。 Active Directory Certificate Services (AD CS) 透過為每個智慧卡發行登錄憑證,提供密碼編譯型識別。
虛擬智慧卡技術在 Windows 8 中引入。 它將智慧卡的憑證儲存在 PC 中,然後使用裝置的防篡改 Trusted Platform Module (TPM) 安全晶片對其進行保護。 如此一來,計算機實際上就會變成必須接收使用者 PIN 才能驗證的智慧卡。
有關智慧卡身份驗證的資訊,請參閱《Windows 智慧卡技術參考》。
遠端和無線驗證
遠端和無線網路驗證是另一種使用憑證進行驗證的技術。 Internet Authentication Service (IAS) 和虛擬專用網路伺服器使用 Extensible Authentication Protocol-Transport Level Security (EAP-TLS)、Protected Extensible Authentication Protocol (PEAP) 或 Internet Protocol 安全性 (IPsec) 為多種型別的網路存取執行基於證書的身份驗證,包括虛擬專用網路 (VPN) 和無線連線。
如需網路中憑證式驗證的相關資訊,請參閱 Network 存取驗證與憑證。