Windows 驗證架構
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
這篇 IT 專業人員總覽主題說明 Windows 驗證的基本架構方案。
驗證是系統驗證使用者的登入或登入資訊的過程。 使用者的名稱和密碼會比對授權清單,如果系統偵測符合,即依照該名使用者權限清單指定的程度授與存取權。
Windows Server 作業系統實地操作一組預設的驗證資安支援業者,此為可延伸架構的一環,包括 Negotiate、Kerberos 通訊協定、NTLM、安全通道 (安全管道) 和 Digest。 這些業者使用的通訊協定可驗證使用者、電腦與服務,而驗證過程可讓經過授權的使用者與服務以安全方式存取資源。
在 Windows Server,應用程式使用 SSPI 抽象呼叫驗證使用者。 因此,開發人員不必懂特定驗證通訊協定的複雜度,或將驗證通訊協定建置到他們的應用程式中。
Windows Server 作業系統包括一套組成 Windows 資安模型的資安組成元件。 這些組成元件確保應用程式在未經驗證和授權下無法存取資源。 下列各節說明驗證架構的元素。
本機安全性授權
Local Security Authority (LSA) 是一套受到防護的子系統,驗證使用者並登入本機電腦。 此外 LSA 會在電腦上維護所有本機資安的相關資訊 (這些層面統稱本機資安政策)。 它也提供各類名稱和資安識別碼之間的翻譯服務 (SID)。
資安子系統持續追蹤電腦系統上的資安政策和帳戶。 在網域控制器案例中,這些政策和帳戶是網域控制器所在網域生效的政策和帳戶。 這些政策和帳戶會儲存在 Active Directory。 LSA 子系統提供物件存取權驗證、檢查使用者權利及產生審查訊息的服務。
資安支援業者介面
資安支援業者介面 (SSPI) 是取得任何分散式應用程式通訊協定驗證、訊息一致性、訊息隱私權和資安服務品質的整合式資安服務。
SSPI 是一般資安服務 API (GSSAPI) 的實地操作。 SSPI 提供機制,讓分散式應用程式呼叫幾間資安業者其中一間,取得通過驗證的連接,不需要對資安通訊協定的細節。