Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här referensöversiktsavsnittet beskriver de begrepp som Windows-autentisering baseras på.
Autentisering är en process för att verifiera identiteten för ett objekt eller en person. När du autentiserar ett objekt är målet att kontrollera att objektet är äkta. När du autentiserar en person är målet att kontrollera att personen inte är en bedragare.
I en nätverkskontext handlar autentisering om att bevisa identitet för ett nätverksprogram eller en resurs. Vanligtvis bevisas identiteten av en kryptografisk åtgärd som använder antingen en nyckel som bara användaren känner till (som med kryptering av offentliga nycklar) eller en delad nyckel. Serversidan av autentiseringsutbytet jämför signerade data med en känd kryptografisk nyckel för att verifiera autentiseringsförsöket.
Lagring av kryptografiska nycklar på en säker central plats gör autentiseringsprocessen skalbar och underhållsbar. Active Directory är den rekommenderade och standardtekniken för att lagra identitetsinformation, som inkluderar de kryptografiska nycklar som är användarens autentiseringsuppgifter. Active Directory krävs för standardimplementeringar av NTLM och Kerberos.
Autentiseringstekniker sträcker sig från en enkel inloggning till ett operativsystem eller en inloggning till en tjänst eller ett program, som identifierar användare baserat på något som bara användaren känner till, till exempel ett lösenord, till mer kraftfulla säkerhetsmekanismer som använder något som användaren har, till exempel token, certifikat för offentliga nycklar, bilder eller biologiska attribut. I en företagsmiljö kan användare komma åt flera program på många typer av servrar på en enda plats eller på flera platser. Därför måste autentisering stödja miljöer för andra plattformar och för andra Windows-operativsystem.
Autentisering och auktorisering: En reseanalogi
En reseanalogi kan hjälpa dig att förklara hur autentisering fungerar. Några förberedande uppgifter är vanligtvis nödvändiga för att påbörja resan. Resenären måste bevisa sin sanna identitet för sina värdmyndigheter. Detta bevis kan vara i form av bevis på medborgarskap, födelseplats, en personlig kupong, fotografier eller vad som krävs enligt lagen i värdlandet. Resenärens identitet verifieras genom utfärdandet av ett pass, vilket motsvarar ett systemkonto som utfärdats och administrerats av en organisation – säkerhetsobjektet. Passet och den avsedda destinationen baseras på en uppsättning regler och förordningar som utfärdats av den statliga myndigheten.
Resan
När resenären anländer till den internationella gränsen ber en gränsvakt om autentiseringsuppgifter och resenären uppvisar sitt pass. Processen är dubbel:
Vakten autentiserar passet genom att kontrollera att det har utfärdats av en säkerhetsmyndighet som den lokala regeringen litar på (åtminstone förtroenden för att utfärda pass) och genom att kontrollera att passet inte har ändrats.
Vakten autentiserar resenären genom att kontrollera att ansiktet matchar ansiktet på den person som visas på passet och att andra nödvändiga autentiseringsuppgifter är i god ordning.
Om passet visar sig vara giltigt och resenären visar sig vara dess ägare, lyckas autentiseringen och resenären kan tillåtas åtkomst över gränsen.
Transitivt förtroende mellan säkerhetsmyndigheter är grunden för autentisering; den typ av autentisering som äger rum vid en internationell gräns baseras på förtroende. Den lokala regeringen känner inte resenären, men den litar på att värdregeringen gör det. När värdregeringen utfärdade passet kände den inte heller resenären. Den litade på den byrå som utfärdade födelseattestet eller annan dokumentation. Byrån som utfärdade födelseattestet litade i sin tur på läkaren som undertecknade certifikatet. Läkaren bevittnade resenärens födelse och stämplade certifikatet med direkta bevis på identiteten, i detta fall med den nyföddas fotavtryck. Förtroende som överförs på det här sättet, via betrodda mellanhänder, är transitivt.
Transitivt förtroende är grunden för nätverkssäkerhet i Windows-klient-/serverarkitektur. En förtroenderelation flödar över en uppsättning domäner, till exempel ett domänträd, och bildar en relation mellan en domän och alla domäner som litar på den domänen. Om domän A till exempel har ett transitivt förtroende med domän B, och om domän B litar på domän C, så litar domän A på domän C.
Det finns en skillnad mellan autentisering och auktorisering. Med autentisering bevisar systemet att du är den du säger att du är. Med auktorisering verifierar systemet att du har behörighet att göra det du vill göra. För att ta gränsanalogin till nästa steg, betyder det inte nödvändigtvis att resenären får komma in i ett land bara för att det har autentiserats att resenären är den rättmätiga ägaren av ett giltigt pass. Invånare i ett visst land får komma in i ett annat land genom att bara uppvisa ett pass i situationer där det land som införs ger obegränsat tillstånd för alla medborgare i det aktuella landet att komma in.
På samma sätt kan du ge alla användare från en viss domän behörighet att komma åt en resurs. Alla användare som tillhör den domänen har åtkomst till resursen, precis som Kanada tillåter amerikanska medborgare att komma in i Kanada. Men amerikanska medborgare som försöker komma in i Brasilien eller Indien upptäcker att de inte kan komma in i dessa länder bara genom att presentera ett pass eftersom båda dessa länder kräver att besökande amerikanska medborgare har ett giltigt visum. Autentisering garanterar därför inte åtkomst till resurser eller auktorisering för att använda resurser.
Credentials
Caution
När en användare utför en lokal inloggning verifieras deras autentiseringsuppgifter lokalt mot en cachelagrad kopia innan de autentiseras med en identitetsprovider via nätverket. Om cacheverifieringen lyckas får användaren åtkomst till skrivbordet även om enheten är offline. Men om användaren ändrar sitt lösenord i molnet uppdateras inte den cachelagrade kontrollanten, vilket innebär att de fortfarande kan komma åt sin lokala dator med sitt gamla lösenord.
Ett pass och eventuellt tillhörande visum är godkända autentiseringsuppgifter för en resenär. Dessa autentiseringsuppgifter kanske dock inte låter en resenär ange eller komma åt alla resurser i ett land. Ytterligare autentiseringsuppgifter krävs till exempel för att delta i en konferens. I Windows kan autentiseringsuppgifter hanteras för att göra det möjligt för kontoinnehavare att komma åt resurser via nätverket utan att upprepade gånger behöva ange sina autentiseringsuppgifter. Med den här typen av åtkomst kan användarna autentiseras en gång av systemet för att få åtkomst till alla program och datakällor som de har behörighet att använda utan att ange någon annan kontoidentifierare eller lösenord. Windows-plattformen utnyttjar möjligheten att använda en enskild användaridentitet (underhålls av Active Directory) i nätverket genom att lokalt cachelagra användarautentiseringsuppgifter i operativsystemets lokala säkerhetsmyndighet (LSA). När en användare loggar in på domänen använder Windows-autentiseringspaket transparent inloggningsuppgifterna för att tillhandahålla enkel inloggning när uppgifterna valideras för nätverksresurser. Mer information om autentiseringsuppgifter finns i Autentiseringsprocesser i Windows-autentisering.
En form av multifaktorautentisering för resenären kan vara kravet på att bära och presentera flera dokument för att autentisera sin identitet, till exempel information om pass- och konferensregistrering. Windows implementerar det här formuläret eller autentiseringen via smartkort, virtuella smartkort och biometrisk teknik.
Säkerhetsprinciper och konton
I Windows är alla användare, tjänster, grupper eller datorer som kan initiera åtgärder ett säkerhetsobjekt. Säkerhetsobjekt har konton som kan vara lokala för en dator eller vara domänbaserade. Till exempel kan Windows-klientdomänanslutna datorer delta i en nätverksdomän genom att kommunicera med en domänkontrollant även när ingen mänsklig användare är inloggad. För att initiera kommunikation måste datorn ha ett aktivt konto i domänen. Innan kommunikation från datorn accepteras autentiserar den lokala säkerhetsmyndigheten på domänkontrollern datorns identitet och definierar sedan datorns säkerhetskontext precis som för en säkerhetsprincip för människor. Den här säkerhetskontexten definierar identiteten och funktionerna för en användare eller tjänst på en viss dator eller en användare, tjänst, grupp eller dator i ett nätverk. Den definierar till exempel de resurser, till exempel en filresurs eller skrivare, som kan nås och de åtgärder, till exempel Läsa, Skriva eller Ändra, som kan utföras av en användare, tjänst eller dator på resursen. Mer information finns i Säkerhetsprincipaler.
Ett konto är ett sätt att identifiera en sökande – den mänskliga användaren eller tjänsten – som begär åtkomst eller resurser. Resenären som innehar det autentiska passet har ett konto hos värdlandet. Användare, grupper av användare, objekt och tjänster kan alla ha enskilda konton eller dela konton. Konton kan vara medlemmar i grupper och kan tilldelas specifika rättigheter och behörigheter. Konton kan begränsas till den lokala datorn, arbetsgrupp, nätverk eller tilldelas medlemskap till en domän.
Inbyggda konton och säkerhetsgrupper, som de är medlemmar i, definieras för varje version av Windows. Genom att använda säkerhetsgrupper kan du tilldela samma säkerhetsbehörigheter till många användare som har autentiserats, vilket förenklar åtkomstadministration. Regler för utfärdande av pass kan kräva att resenären tilldelas vissa grupper, till exempel företag, turister eller myndigheter. Den här processen säkerställer konsekventa säkerhetsbehörigheter för alla medlemmar i en grupp. Genom att använda säkerhetsgrupper för att tilldela behörigheter innebär det att åtkomstkontroll av resurser förblir konstant och lätt att hantera och granska. Genom att lägga till och ta bort användare som behöver åtkomst från lämpliga säkerhetsgrupper efter behov kan du minimera frekvensen för ändringar i åtkomstkontrollistor (ACL).
Fristående hanterade tjänstkonton och virtuella konton introducerades i Windows Server 2008 R2 och Windows 7 för att ge nödvändiga applikationer, såsom Microsoft Exchange Server och Internet Information Services (IIS), möjlighet att isolera dessa program från sina egna domänkonton, samtidigt som behovet av att en administratör manuellt administrera tjänstens huvudnamn (SPN) och autentiseringsuppgifter för dessa konton elimineras. Grupphanterade tjänstkonton introducerades i Windows Server 2012 och tillhandahåller samma funktioner i domänen men utökar även den funktionen över flera servrar. När du ansluter till en tjänst som finns i en servergrupp, till exempel Nätverksbelastningsbalans, kräver autentiseringsprotokollen som stöder ömsesidig autentisering att alla instanser av tjänsterna använder samma huvudnamn.
Mer information om konton finns i:
Delegerad autentisering
För att använda reseanalogin kan länder utfärda samma tillgång till alla medlemmar i en officiell regeringsdelegation, precis så länge delegaterna är välkända. Med den här delegeringen kan en medlem agera på en annan medlems auktoritet. I Windows sker delegerad autentisering när en nätverkstjänst accepterar en autentiseringsbegäran från en användare och förutsätter användarens identitet för att initiera en ny anslutning till en andra nätverkstjänst. För att stödja delegerad autentisering måste du upprätta servrar på klientsidan eller på den första nivån, till exempel webbservrar, som ansvarar för hantering av klientautentiseringsbegäranden och serverdels- eller n-nivåservrar, till exempel stora databaser, som ansvarar för att lagra information. Du kan delegera rätten att konfigurera delegerad autentisering till användare i din organisation för att minska den administrativa belastningen på dina administratörer.
Genom att upprätta en tjänst eller dator som betrodd för delegering låter du tjänsten eller datorn slutföra delegerad autentisering, ta emot ett ärende för den användare som gör begäran och sedan komma åt information för den användaren. Den här modellen begränsar dataåtkomsten på serverdelsservrar bara till de användare eller tjänster som presenterar autentiseringsuppgifter med rätt åtkomstkontrolltoken. Dessutom möjliggör det granskningsåtkomst för dessa backendresurser. Genom att kräva att alla data nås med hjälp av autentiseringsuppgifter som delegeras till servern för användning för klientens räkning, ser du till att servern inte kan komprometteras och att du kan få åtkomst till känslig information som lagras på andra servrar. Delegerad autentisering är användbar för program med flera nivåer som är utformade för att använda funktioner för enkel inloggning på flera datorer.
Autentisering i förtroenderelationer mellan domäner
De flesta organisationer som har mer än en domän har ett legitimt behov av att användare får åtkomst till delade resurser som finns i en annan domän, precis som resenären tillåts resa till olika regioner i landet. För att styra den här åtkomsten krävs att användare i en domän också kan autentiseras och auktoriseras för att använda resurser i en annan domän. För att kunna tillhandahålla autentiserings- och auktoriseringsfunktioner mellan klienter och servrar i olika domäner måste det finnas ett förtroende mellan de två domänerna. Förtroenden är den underliggande teknik med vilken säker Active Directory-kommunikation sker och är en integrerad säkerhetskomponent i Windows Server-nätverksarkitekturen.
När det finns ett förtroende mellan två domäner litar autentiseringsmekanismerna för varje domän på de autentiseringar som kommer från den andra domänen. Förtroenden hjälper till att ge kontrollerad åtkomst till delade resurser i en resursdomän – den betrodda domänen – genom att verifiera att inkommande autentiseringsbegäranden kommer från en betrodd utfärdare – den betrodda domänen. På så sätt fungerar förtroenden som bryggor som endast låter verifierade autentiseringsbegäranden resa mellan domäner.
Hur ett visst förtroende skickar autentiseringsbegäranden beror på hur det konfigureras. Förtroenderelationer kan vara enkelriktade genom att ge åtkomst från den betrodda domänen till resurser i den betrodda domänen, eller dubbelriktat, genom att ge åtkomst från varje domän till resurser i den andra domänen. Förtroenden är också antingen icke-överföringskänsliga, i vilket fall förtroende endast finns mellan de två betrodda partnerdomänerna, eller transitiva, i vilket fall förtroende automatiskt utökas till andra domäner som någon av partnerna litar på.
Information om hur ett förtroende fungerar finns i Hur domän- och skogsförtroenden fungerar.
Protokollövergång
Protokollövergång hjälper programdesigners genom att låta program stödja olika autentiseringsmekanismer på användarautentiseringsnivån och genom att växla till Kerberos-protokollet för säkerhetsfunktioner, till exempel ömsesidig autentisering och begränsad delegering, på efterföljande programnivåer.
Mer information om protokollövergång finns i Kerberos-protokollövergång och begränsad delegering.
Begränsad delegering
Begränsad delegering ger administratörer möjlighet att ange och framtvinga gränser för programförtroende genom att begränsa omfånget där programtjänster kan agera för en användares räkning. Du kan ange specifika tjänster från vilka en dator som är betrodd för delegering kan begära resurser. Flexibiliteten att begränsa auktoriseringsrättigheter för tjänster bidrar till att förbättra programsäkerhetsdesignen genom att minska möjligheterna till kompromisser för ej betrodda tjänster.
Mer information om begränsad delegering finns i Översikt över Kerberos-begränsad delegering.