Windows-verificatie-architectuur
Van toepassing op: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Dit overzicht van de IT-professional biedt uitleg over het basic-architectuur schema voor Windows-verificatie.
Verificatie is het proces waarmee het systeem de aanmelding of de aanmeldingsgegevens van de gebruiker valideert. Een gebruikersnaam en wachtwoord worden vergeleken met een lijst met toegestane en als het systeem vindt een overeenkomst is, toegang wordt verleend voor zover is opgegeven in de lijst met machtigingen voor die gebruiker.
De Windows Server-besturingssystemen implementeren als onderdeel van een uitbreidbare architectuur, een reeks beveiliging ondersteuning verificatieproviders, waaronder onderhandelen, de Kerberos-protocol, NTLM, Schannel (beveiligde kanaal) en Digest. De protocollen die wordt gebruikt door deze providers van gebruikers, computers en services-verificatie inschakelen en het verificatieproces kan gemachtigde gebruikers en services te krijgen tot bronnen op veilige wijze.
In Windows Server verifiëren toepassingen gebruikers met behulp van de SSPI abstracte oproepen voor verificatie. Ontwikkelaars hoeft dus niet te begrijpen van de complexiteit van de protocollen specifieke verificatie of verificatieprotocollen in hun toepassingen bouwen.
Windows Server-besturingssystemen bevatten een reeks beveiligingsonderdelen van het Windows security model. Deze onderdelen ervoor te zorgen dat toepassingen kunnen geen toegang tot bronnen zonder verificatie en -autorisatie krijgen. De volgende secties beschrijven de elementen van de verificatiearchitectuur. Smartcard-verificatie wordt beschreven in deTechnische naslaginformatie smartcards voor Windows.
Lokale certificeringsinstantie
De lokale beveiliging (LSA) is een beveiligde subsysteem dat de verificatie en gebruikers op de lokale computer zich aanmeldt. Bovendien bevat LSA informatie over alle aspecten van de lokale beveiliging op een computer (deze aspecten worden genoemd het lokale beveiligingsbeleid). Bovendien kunt verschillende services voor de omzetting van namen en beveiligings-id's (SID's).
Het beveiligingssubsysteem voor houdt van het beveiligingsbeleid en de accounts die zich op een computer. In het geval van een domein zijn controller, deze beleidsregels en -accounts die geldig zijn voor het domein waarin de domeincontroller zich bevindt. Deze beleidsregels en -accounts worden opgeslagen in Active Directory. Het subsysteem voor LSA biedt services voor toegang tot objecten valideren, gebruikersrechten controleren en het genereren van berichten controleren.
Security Support Provider-Interface
De SSPI Security Support Provider Interface () is de API die integrated security services voor verificatie, integriteit van berichten bericht privacy en beveiliging kwaliteit-of-service voor elk protocol gedistribueerde toepassing verkrijgt.
SSPI is de implementatie van de algemene beveiliging Service API (GSSAPI). SSPI biedt een mechanisme waarmee een gedistribueerde toepassing een met verschillende security providers bellen verkrijgen van een geverifieerde verbinding zonder kennis van de gegevens van de beveiligingsprotocol.