Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit overzichtsonderwerp worden de concepten beschreven waarop Windows-verificatie is gebaseerd.
Verificatie is een proces voor het verifiëren van de identiteit van een object of persoon. Wanneer u een object verifieert, is het doel om te controleren of het object echt is. Wanneer u een persoon verifieert, is het doel om te controleren of de persoon geen imposter is.
In een netwerkcontext is verificatie het bewijs van identiteit voor een netwerktoepassing of -resource. Normaal gesproken wordt de identiteit bewezen door een cryptografische bewerking die gebruikmaakt van een sleutel die alleen de gebruiker kent (net als bij openbare-sleutelcryptografie) of een gedeelde sleutel. De serverzijde van de verificatieuitwisseling vergelijkt de ondertekende gegevens met een bekende cryptografische sleutel om de verificatiepoging te valideren.
Door de cryptografische sleutels op een veilige centrale locatie op te slaan, is het verificatieproces schaalbaar en onderhoudbaar. Active Directory is de aanbevolen en standaardtechnologie voor het opslaan van identiteitsgegevens, waaronder de cryptografische sleutels die de referenties van de gebruiker zijn. Active Directory is vereist voor standaard-NTLM- en Kerberos-implementaties.
Verificatietechnieken variëren van een eenvoudige aanmelding tot een besturingssysteem of een aanmelding bij een service of toepassing, die gebruikers identificeert op basis van iets dat alleen de gebruiker kent, zoals een wachtwoord, tot krachtigere beveiligingsmechanismen die gebruikmaken van iets dat de gebruiker heeft, zoals tokens, certificaten van openbare sleutels, afbeeldingen of biologische kenmerken. In een bedrijfsomgeving hebben gebruikers mogelijk toegang tot meerdere toepassingen op veel soorten servers binnen één locatie of op meerdere locaties. Om deze redenen moet verificatie omgevingen ondersteunen voor andere platforms en voor andere Windows-besturingssystemen.
Verificatie en autorisatie: een reisanalogie
Een reisanalogie kan helpen uitleggen hoe verificatie werkt. Er zijn meestal enkele voorbereidende taken nodig om aan de slag te gaan. De reiziger moet hun ware identiteit bewijzen aan hun gastheerautoriteiten. Dit bewijs kan de vorm hebben van bewijs van burgerschap, geboorteplaats, een persoonlijke voucher, foto's of wat vereist is door de wet van het gastland. De identiteit van de reiziger wordt gevalideerd door de uitgifte van een paspoort, dat vergelijkbaar is met een systeemaccount dat is uitgegeven en beheerd door een organisatie- en beveiligingsprincipaal. Het paspoort en de beoogde bestemming zijn gebaseerd op een reeks regels en voorschriften die zijn uitgegeven door de overheidsinstantie.
De reis
Wanneer de reiziger bij de internationale grens aankomt, vraagt een grenswacht om referenties en presenteert de reiziger zijn of haar paspoort. Het proces is tweevoud:
De beambte authenticeert het paspoort door te controleren of het is uitgegeven door een beveiligingsautoriteit die de lokale overheid vertrouwt (ten minste om paspoorten uit te geven) en door te controleren of het paspoort niet werd gewijzigd.
De bewaker verifieert de reiziger door te verifiëren dat het gezicht overeenkomt met het gezicht van de persoon die op het paspoort wordt afgebeeld en dat andere vereiste referenties in goede volgorde zijn.
Als het paspoort geldig blijkt te zijn en de reiziger de eigenaar is, is verificatie geslaagd en kan de reiziger toegang tot de grens krijgen.
Transitieve vertrouwen tussen beveiligingsautoriteiten is de basis van verificatie; het type verificatie dat op een internationale grens plaatsvindt, is gebaseerd op vertrouwen. De lokale overheid kent de reiziger niet, maar het vertrouwt dat de host overheid wel doet. Toen de regering van de gastheer het paspoort uitgaf, wist het ook niet de reiziger. Het vertrouwde op het bureau dat het geboortecertificaat of andere documentatie heeft uitgegeven. Het bureau dat het geboortecertificaat op zijn beurt heeft uitgegeven, vertrouwde de arts die het certificaat heeft ondertekend. De arts zag de geboorte van de reiziger en stempelde het certificaat met direct bewijs van de identiteit, in dit geval met de voetafdruk van de pasgeborene. Vertrouwen dat op deze manier wordt overgedragen, via vertrouwde tussenpersonen, is transitief.
Transitieve vertrouwen is de basis voor netwerkbeveiliging in windows-client-/serverarchitectuur. Een vertrouwensrelatie loopt over een set domeinen, zoals een domeinstructuur, en vormt een relatie tussen een domein en alle domeinen die dat domein vertrouwen. Als domein A bijvoorbeeld een transitieve vertrouwensrelatie heeft met domein B en als domein B domein C vertrouwt, dan domein A vertrouwt domein C.
Er is een verschil tussen verificatie en autorisatie. Met verificatie bewijst het systeem dat u bent wie u zegt dat u bent. Met autorisatie controleert het systeem of u rechten hebt om te doen wat u wilt doen. Als je de grensanalogie naar de volgende stap wilt brengen, is alleen authenticatie van de reiziger als de juiste eigenaar van een geldig paspoort niet per definitie voldoende om de reiziger toestemming te geven om een land binnen te komen. Inwoners van een bepaald land mogen een ander land binnengaan door simpelweg alleen een paspoort te presenteren in situaties waarin het land dat wordt ingevoerd onbeperkte toestemming verleent voor alle burgers van dat specifieke land.
Op dezelfde manier kunt u alle gebruikers van een bepaald domein machtigingen verlenen voor toegang tot een resource. Elke gebruiker die tot dat domein behoort, heeft toegang tot de resource, net zoals Canada toestaat dat amerikaanse burgers Canada invoeren. Amerikaanse burgers die proberen Brazilië of India in te gaan, vinden echter dat ze niet in die landen kunnen komen door slechts een paspoort te presenteren, omdat beide landen een geldig visum moeten hebben om amerikaanse burgers te bezoeken. Verificatie garandeert dus geen toegang tot resources of autorisatie voor het gebruik van resources.
Credentials
Caution
Wanneer een gebruiker een lokale aanmelding uitvoert, worden de inloggegevens lokaal geverifieerd tegen een gecachte kopie voordat ze via het netwerk worden geverifieerd bij een identiteitsprovider. Als de verificatie van de cache is geslaagd, krijgt de gebruiker toegang tot het bureaublad, zelfs als het apparaat offline is. Als de gebruiker echter het wachtwoord in de cloud wijzigt, wordt de verificator in de cache niet bijgewerkt, wat betekent dat ze nog steeds toegang hebben tot hun lokale computer met hun oude wachtwoord.
Een paspoort en eventueel bijbehorende visa zijn de geaccepteerde referenties voor een reiziger. Deze referenties kunnen echter niet toestaan dat een reiziger alle resources binnen een land binnenkomt of opent. Er zijn bijvoorbeeld extra referenties vereist om deel te nemen aan een conferentie. In Windows kunnen referenties worden beheerd om accounthouders toegang te geven tot resources via het netwerk zonder dat ze hun referenties herhaaldelijk hoeven op te geven. Met dit type toegang kunnen gebruikers eenmalig worden geverifieerd door het systeem om toegang te krijgen tot alle toepassingen en gegevensbronnen die ze mogen gebruiken zonder een andere account-id of wachtwoord in te voeren. Het Windows-platform maakt gebruik van de mogelijkheid om één gebruikersidentiteit (onderhouden door Active Directory) over het netwerk te gebruiken door gebruikersreferenties lokaal in de cache op te slaan in de Lokale Beveiligingsautoriteit (LSA) van het besturingssysteem. Wanneer een gebruiker zich aanmeldt bij het domein, gebruiken Windows-verificatiepakketten transparant de referenties om eenmalige aanmelding te bieden bij het verifiëren van de referenties voor netwerkbronnen. Zie Referentieprocessen in Windows-verificatie voor meer informatie over referenties.
Een vorm van meervoudige verificatie voor de reiziger kan de vereiste zijn om meerdere documenten te dragen en te presenteren om zijn identiteit te verifiëren, zoals een paspoort- en conferentieregistratiegegevens. Windows implementeert deze vorm of verificatie via smartcards, virtuele smartcards en biometrische technologieën.
Beveiligingsprinciplen en -accounts
In Windows is elke gebruiker, service, groep of computer die actie kan starten een beveiligingsprincipaal. Beveiligingsprincipes hebben accounts, die lokaal op een computer kunnen zijn of op een domein kunnen zijn gebaseerd. Windows-clientcomputers kunnen bijvoorbeeld deelnemen aan een netwerkdomein door te communiceren met een domeincontroller, zelfs als er geen menselijke gebruiker is aangemeld. Als u communicatie wilt initiëren, moet de computer een actief account in het domein hebben. Voordat communicatie van de computer wordt geaccepteerd, verifieert de lokale beveiligingsinstantie op de domeincontroller de identiteit van de computer en definieert vervolgens de beveiligingscontext van de computer, net zoals voor een menselijke beveiligingsprincipaal. Deze beveiligingscontext definieert de identiteit en mogelijkheden van een gebruiker of service op een bepaalde computer of een gebruiker, service, groep of computer in een netwerk. Het definieert bijvoorbeeld de resources, zoals een bestandsshare of printer, die kunnen worden geopend en de acties, zoals Lezen, Schrijven of Wijzigen, die kunnen worden uitgevoerd door een gebruiker, service of computer op die resource. Zie Beveiligingsprinciplen voor meer informatie.
Een account is een middel om een aanvrager te identificeren, de menselijke gebruiker of dienst die toegang of middelen aanvraagt. De reiziger die het authentieke paspoort bezit, heeft een account bij het hostland. Gebruikers, groepen gebruikers, objecten en services kunnen allemaal afzonderlijke accounts hebben of accounts delen. Accounts kunnen lid zijn van groepen en kunnen specifieke rechten en machtigingen worden toegewezen. Accounts kunnen worden beperkt tot de lokale computer, werkgroep, netwerk of worden toegewezen aan een domein.
Ingebouwde accounts en de beveiligingsgroepen, waarvan ze lid zijn, worden gedefinieerd voor elke versie van Windows. Met behulp van beveiligingsgroepen kunt u dezelfde beveiligingsmachtigingen toewijzen aan veel gebruikers die zijn geverifieerd, wat het toegangsbeheer vereenvoudigt. Regels voor het uitgeven van paspoorten vereisen mogelijk dat de reiziger wordt toegewezen aan bepaalde groepen, zoals zaken, toeristen of overheid. Dit proces zorgt voor consistente beveiligingsmachtigingen voor alle leden van een groep. Door beveiligingsgroepen te gebruiken om machtigingen toe te wijzen, blijft het toegangsbeheer van resources constant en eenvoudig te beheren en te controleren. Door gebruikers toe te voegen en te verwijderen die toegang nodig hebben vanuit de juiste beveiligingsgroepen, kunt u de frequentie van wijzigingen in toegangsbeheerlijsten (ACL's) minimaliseren.
Zelfstandige beheerde serviceaccounts en virtuele accounts zijn geïntroduceerd in Windows Server 2008 R2 en Windows 7 om de benodigde toepassingen, zoals Microsoft Exchange Server en Internet Information Services (IIS), van isolatie van hun eigen domeinaccounts te voorzien, terwijl de noodzaak voor een beheerder om de service-principalnaam (SPN) en referenties voor deze accounts handmatig te beheren wordt geëlimineerd. Door groepen beheerde serviceaccounts zijn geïntroduceerd in Windows Server 2012 en biedt dezelfde functionaliteit binnen het domein, maar breidt die functionaliteit ook uit op meerdere servers. Wanneer u verbinding maakt met een service die wordt gehost op een serverfarm, zoals Network Load Balance, moeten de verificatieprotocollen die wederzijdse verificatie ondersteunen, vereisen dat alle exemplaren van de services dezelfde principal gebruiken.
Zie voor meer informatie over accounts:
Gedelegeerde verificatie
Om de reisanalogie te gebruiken, kunnen landen dezelfde toegang verlenen tot alle leden van een officiële overheidsdelegatie, zolang de gemachtigden bekend zijn. Met deze delegatie kan één lid handelen op de autoriteit van een ander lid. In Windows vindt gedelegeerde verificatie plaats wanneer een netwerkservice een verificatieaanvraag van een gebruiker accepteert en ervan uitgaat dat de identiteit van die gebruiker wordt gebruikt om een nieuwe verbinding met een tweede netwerkservice te starten. Ter ondersteuning van gedelegeerde verificatie moet u front-end- of eerstelaagsservers, zoals webservers, instellen die verantwoordelijk zijn voor het verwerken van aanvragen voor clientverificatie en back-end- of n-laagservers, zoals grote databases, die verantwoordelijk zijn voor het opslaan van gegevens. U kunt het recht delegeren om gedelegeerde verificatie in te stellen aan gebruikers in uw organisatie om de administratieve belasting voor uw beheerders te verminderen.
Door een service of computer tot stand te brengen als vertrouwd voor delegering, kunt u die service of computer gedelegeerde verificatie voltooien, een ticket ontvangen voor de gebruiker die de aanvraag indient en vervolgens toegang krijgen tot informatie voor die gebruiker. Dit model beperkt de toegang tot gegevens op back-endservers alleen voor gebruikers of services die referenties met de juiste toegangsbeheertokens presenteren. Daarnaast maakt het toegangscontrole van de back-endbronnen mogelijk. Door te vereisen dat alle gegevens worden geopend via referenties die zijn gedelegeerd aan de server voor gebruik namens de client, zorgt u ervoor dat de server niet kan worden aangetast en dat u toegang kunt krijgen tot gevoelige informatie die is opgeslagen op andere servers. Gedelegeerde verificatie is handig voor toepassingen met meerdere lagen die zijn ontworpen voor het gebruik van mogelijkheden voor eenmalige aanmelding op meerdere computers.
Verificatie in vertrouwensrelaties tussen domeinen
De meeste organisaties met meer dan één domein hebben een legitieme behoefte voor gebruikers om toegang te krijgen tot gedeelde resources die zich in een ander domein bevinden, net zoals de reiziger is toegestaan om naar verschillende regio's in het land te reizen. Voor het beheren van deze toegang moeten gebruikers in het ene domein ook worden geverifieerd en geautoriseerd voor het gebruik van resources in een ander domein. Als u verificatie- en autorisatiemogelijkheden wilt bieden tussen clients en servers in verschillende domeinen, moet er een vertrouwensrelatie tussen de twee domeinen zijn. Vertrouwensrelaties zijn de onderliggende technologie waarmee beveiligde Active Directory-communicatie plaatsvindt en een integraal beveiligingsonderdeel van de Windows Server-netwerkarchitectuur vormen.
Wanneer er een vertrouwensrelatie tussen twee domeinen bestaat, vertrouwen de verificatiemechanismen voor elk domein de verificaties die afkomstig zijn van het andere domein. Vertrouwensrelaties bieden beheerde toegang tot gedeelde resources in een resourcedomein, het vertrouwende domein, door te controleren of binnenkomende verificatieaanvragen afkomstig zijn van een vertrouwde instantie- het vertrouwde domein. Op deze manier fungeren vertrouwensrelaties als bruggen waarmee alleen gevalideerde verificatieaanvragen tussen domeinen kunnen worden verzonden.
Hoe een specifieke vertrouwensrelatie verificatieaanvragen doorgeeft, is afhankelijk van hoe deze is geconfigureerd. Vertrouwensrelaties kunnen in één richting zijn, door toegang te bieden van het vertrouwde domein naar resources in het vertrouwende domein, of in twee richtingen, door toegang van elk domein aan resources in het andere domein te bieden. Vertrouwensrelaties zijn ook niet-transitief, in welk geval vertrouwen alleen bestaat tussen de twee vertrouwenspartnerdomeinen, of transitief, in welk geval vertrouwen automatisch wordt uitgebreid naar andere domeinen die een van de partners vertrouwt.
Zie Hoe domein- en forestvertrouwensrelaties werken voor informatie over hoe een vertrouwensrelatie werkt.
Protocolovergang
Protocolovergang helpt toepassingsontwerpers door toepassingen verschillende verificatiemechanismen te laten ondersteunen op de gebruikersverificatielaag en door over te schakelen naar het Kerberos-protocol voor beveiligingsfuncties, zoals wederzijdse verificatie en beperkte delegatie, in de volgende toepassingslagen.
Voor meer informatie over protocolovergang, zie Kerberos Protocol Transition en Beperkte Overdracht.
Beperkte delegatie
Beperkte delegatie biedt beheerders de mogelijkheid om grenzen voor toepassingsvertrouwen op te geven en af te dwingen door het bereik te beperken waarin toepassingsservices namens een gebruiker kunnen handelen. U kunt bepaalde services opgeven van waaruit een computer die wordt vertrouwd voor delegatie resources kan aanvragen. De flexibiliteit om autorisatierechten voor services te beperken, helpt het ontwerp van toepassingsbeveiliging te verbeteren door de kansen voor inbreuk door niet-vertrouwde services te verminderen.
Voor meer informatie over beperkte delegatie, zie Overzicht van Kerberos beperkte delegatie.