Windows 驗證概念

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016

此參考概述說明 Windows 驗證依據概念的主題。

驗證是確認物件或個人身分識別的程序。 驗證物件時，目標是要確認該物件為正版。 驗證一個人時，目標是驗證這個人非冒牌貨。

在網路內容中，驗證就是針對網路應用程式或資源提供身分識別的操作。 通常情況下，身份由密碼操作來證明，該密碼操作使用只有使用者知道的金鑰 (如公用金鑰密碼學) 或共用金鑰。 驗證交換的伺服器端會使用已知的密碼編譯金鑰比較簽署的資料，來驗證該驗證嘗試。

在安全的集中位置儲存密碼編譯金鑰，可以擴充和管理驗證程序。 Active Directory 是建議預設儲存標識資訊的技術，包括作為使用者驗證的密碼金鑰。 預設的 NTLM 與 Kerberos 實作需要 Active Directory。

驗證技術包括簡單登入作業系統或登入服務或應用程式 (基於只有使用者才知道的東西，如密碼)，以及使用使用者擁有的權杖、公用金鑰憑證、圖片或生物屬性等功能更強大的安全機制。 在商業環境中，使用者可能會在位於單一位置或跨多個位置的多種類型的伺服器上存取多個應用程式。 基於上述原因，驗證必須支援其他平台與其他 Windows 作業系統的環境。

驗證與授權：旅行比喻

旅行比喻有助於解釋身份驗證的工作原理。 通常需要做一些準備工作才能開始旅程。 旅行者必須向欲前往國家主管機關證明其真實身份。 這種證明可以是公民身份、出生地、個人憑證、照片或欲前往國家法律要求的任何證明。 旅行者的身份可以透過簽發護照來驗證，這類似於由安全負責人組織簽發和管理的一個系統帳戶。 護照和預定目的地以政府主管激湍頒佈的一套規則和條例為基礎。

旅程

當旅行者到達國際邊界時，邊防人員會要求出示證件，旅行者會出示護照。 這一過程分為兩部分：

• 邊防人員驗證護照是否由當地政府信任的安全當局簽發 (至少信任簽發護照)，並驗證護照是否未遭修改。

• 該邊防人員透過確認臉部與護照上被拍攝人的臉部相符以及其他所需的證件是否符合要求來驗證該旅行者。

若證明該護照有效，則證明旅行者為其所有者，則認證是成功的，旅行者可以獲准進入邊界。

安全主管機構之間的可傳遞信任是身份驗證的基礎；在國際邊界上進行的身份驗證型別以信任為基礎。 當地政府並不瞭解旅行者，但相信欲前往國家政府會瞭解他們。 欲前往國家政府簽發護照時，也不認識旅行者。 它信任簽發出生證或其他文件的機構。 簽發出生證的機構則信任簽署出生證明的醫生。 醫生目睹旅行者的出生，並在證書上蓋章，直接證明該人的身份，在這個例子中是新生兒的足跡。 以這種方式透過可信中介傳遞的信任是具有傳遞性的。

具傳遞性的信任是 Windows 客戶端/伺服器結構中網路安全的基礎。 信任關係會經過一組網域，如網域樹，並在網域和信任該域的所有網域之間形成關係。 例如，如果網域 A 與網域 B 具有傳遞性的信任，並且如果網域 B 信任網域 C，則網域 A 信任網域 C。

驗證和授權之間有區別。 透過驗證，系統可以證明您就是您自己。 經過授權後，系統會驗證您是否有權執行您想要執行的動作。 若進一步討論邊界類比，僅僅證明旅行者是有效護照的適當所有人，並不一定就授權旅行者進入一個國家。 某一特定國家的居民只有在被進入國准許該國所有公民無限制地進入的情況下，才允許出示護照，進入另一國家。

同樣地，您可以授與來自特定網域的所有使用者存取資源的許可權。 任何屬於該網域的使用者都可以存取該資源，就像加拿大允許美國公民進入加拿大一樣。 然而，試圖進入巴西或印度的美國公民發現，他們不能僅透過出示護照來進入這兩個國家，因為這兩個國家都要求來訪的美國公民擁有有效的簽證。 因此，驗證並不保證對資源的訪問或授權使用資源。

認證

護照和可能相關的簽證是旅行者接受的證件。 然而，這些證件可能不允許旅行者進入或訪問一個國家內的所有資源。 例如，需要額外的認證才能出席會議。 在 Windows 中，可以管理身份證明，使帳戶持有人可以透過網路存取資源，而不必重複提供其身份證明。 這種存取方式讓使用者能夠一次透過系統驗證，從而存取其有權使用的所有應用程式和資料來源，而無需輸入其他帳戶識別符號或密碼。 Windows 平台透過在作業系統的 Local Security Authority (LSA) 中本地快取使用者身分驗證，利用跨網路使用單個使用者身分 (由 Active Directory 維護) 的能力。 當使用者登入網域時，Windows 驗證套件會以透明方式使用身分驗證，以在驗證網路資源的身分驗證時提供單一登入。 如需身分驗證的詳細資訊，請參閱 Windows Authentication 中的 Credentials Processes。

對旅行者進行多重身份認證的形式可能是攜帶和出示多重證件以驗證其身份的要求，例如護照和會議登記資訊。 Windows 透過智慧卡、虛擬智慧卡及生物識別技術來實作此表單或驗證。

安全性主體和帳戶

在 Windows 中，任何可以起始動作的使用者、服務、群組或電腦都是安全性主體。 安全性主體有帳戶，這些帳戶可以是電腦的本機帳戶，也可以是網域帳戶。 例如，即使沒有使用者登入，Windows 使用者端加入網域的電腦也可以透過與網域控制站通訊來加入網域中。 若要起始通訊，電腦必須在網域中擁有作用中的帳戶。 在接受來自電腦的通訊之前，網域控制器上的本地安全機構會驗證電腦的身份，然後像定義人類安全主體那樣定義電腦的安全背景資訊。 此安全性內容定義特定電腦上的使用者或服務，或網路上的使用者、服務、群組或電腦的識別與能力。 例如，它定義可存取的資源 (例如檔案共用或印表機) 以及可在該資源上由使用者、服務或電腦執行的動作 (例如 Read、Write 或 Modify)。 如需詳細資訊，請參閱 Security Principals。

帳戶是用來識別要求存取或資源的請求者 (使用者或服務) 的一種方式。 持有真實護照的旅行者擁有欲前往國家的帳戶。 使用者、使用者群組、物件和服務都可以擁有個別帳戶或共用帳戶。 帳戶可以是群組的成員，並可指派特定的權利和權限。 帳號可限制為本機電腦、工作群組、網路，或是被指派為網域的成員。

內建帳戶及安全性群組 (它們是其成員) 會在每個版本的 Windows 上定義。 透過使用安全群組，可以將相同的安全權限分配給許多已成功驗證的使用者，這簡化存取管理。 發放護照的規則可能要求將旅行者分配給某些群體，如商界、旅遊者或政府。 此程序可確保群組的所有成員具有一致的安全權限。 透過使用安全群組來分配權限表示資源的存取控制將保持不變並且易於管理和稽核。 透過根據需要向適當的安全群組中新增和刪除需要訪問權限的使用者，可以將更改存取訪問控制清單 (ACL) 的頻率降至最低。

Windows Server 2008 R2 和 Windows 7 中引入獨立受管理服務帳戶和虛擬帳戶，以便提供必需的應用程式 (如 Microsoft Exchange Server 和 Internet Information Services (IIS))，並隔離其自己的網域帳戶，同時無需管理員手動管理這些帳戶的服務主體名稱 (SPN) 和身分驗證。 群組管理服務帳戶在 Windows Server 2012 中引入，在網域內提供相同的功能，但也擴展多部伺服器的功能。 當連線到伺服器陣列上託管的服務時，例如「網路負載平衡」，支援相互驗證的驗證通訊協定會要求服務的所有執行個體都使用相同的主體。

如需帳戶的詳細資訊，請參閱：

• Active Directory Accounts

• Active Directory Security Groups

• 本機帳戶

• Microsoft 帳戶

• 服務帳戶

• Special Identities

委派的驗證

用旅行比喻來說，各國可以允許政府官方委託的所有成員享有同樣的通行權，只要這些委託者都是眾所周知的。 這個委託允許一個成員根據另一個成員的授權行事。 在 Windows 中，當網路服務接受來自使用者的驗證請求並假定該使用者的身份以便啟動到第二網路服務的新連線時，就會發生委託驗證。 若要支援委託驗證，您必須建立前端或第一層伺服器 (例如網路伺服器)，負責處理使用者端驗證要求，以及後端或 n 層伺服器 (例如大型資料庫)，負責儲存資訊。 您可以將設定委託驗證的權利委託給組織中的使用者，以減輕管理員的管理負擔。

透過將服務或電腦建立為受信任委託，您可以讓該服務或電腦完成委託身份驗證，接收發出請求的使用者工單，然後存取該使用者的資訊。 此模型將後端伺服器上的資料存取限制為僅提供具有正確存取控制權杖身分驗證的使用者或服務。 此外，它允許對這些後端資源進行存取稽核。 透過要求所有資料都必須透過委託給伺服器以代表客戶端使用的認證來存取，您可以確保伺服器不會受到損害，而且您可以存取儲存在其他伺服器上的機密資訊。 委託驗證適用於設計為跨多台電腦使用單一登入功能的多層應用程式。

網域之間信任關係中的驗證

擁有多個網域的大多組織都有合法的需求，使用者需要訪問位於不同網域的共用資源，就像允許旅行者前往該國不同地區一樣。 控制這種存取要求一個網域中的使用者也可以被驗證並授權使用另一個網域中的資源。 若要在不同網域中的使用者端與伺服器之間提供驗證與授權功能，兩個網域之間必須存在信任。 信任是安全的 Active Directory 通訊底層技術，是 Windows Server 網路架構不可或缺的安全性元件。

當兩個網域之間存在信任時，每個網域的驗證機制都信任來自另一個網域的驗證。 信任幫助提供資源域 (信任域) 中共用資源的受控存取，方法是驗證傳入的身份驗證請求是否來自受信任的授權機構 (信任域)。 透過這種方式，信任充當橋樑，使得只有經過驗證的身分驗證請求才能在網域間傳遞。

特定信任如何傳遞驗證要求取決於其配置方式。 信任關係可以是單向的，透過從受信任的域提供存取信任域中的資源權限，或者是雙向的，透過從每個域提供存取另一個域中的資源權限。 信任也可以是具有非傳遞性 (在這種情況下，信任只存在於兩個信任夥伴域之間)，也可以是具傳遞性的 (在這種情況下，信任自動擴展到任何夥伴信任的任何其他域)。

有關信任工作原理的資訊，請參閱 How Domain and Forest Trusts Work。

協定轉換

協定轉換透過讓應用程式在使用者身份驗證層支援不同的身份驗證機制，並透過在後續應用程式層中切換到 Kerberos 協定來提供安全功能 (如相互身份驗證和約束委託)，為應用程式設計者提供幫助。

如需有關協定轉換的詳細資訊，請參閱 Kerberos Protocol Transition 和 Constrained Delegation。

限制委派

限制委託可讓管理員藉由限制應用程式服務可代表使用者進行動作的範圍，來指定及強制應用程式信任界限。 您可以指定特定服務，信任委託的電腦可以從中要求資源。 限制服務授權權限的靈活性有助於改善應用程式安全性設計，從而減少不可信服務危害的機會。

如需限制委託的詳細資訊，請參閱 Kerberos Constrained Delegation Overview。

其他參考

Windows Logon and Authentication Technical Overview