|
适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows RT, Windows Server 2012, Windows RT 8.1, Windows 8
本参考主题面向 IT 专业人员介绍 Windows 身份验证处理凭据的方式。
Windows 凭据管理是操作系统接收来自服务或用户的凭据并保护该信息重用于将来的演示文稿到身份验证的目标的过程。 在已加入域的计算机的情况下进行身份验证的目标是域控制器。 身份验证中使用的凭据不将关联到某种形式的真实性,如证书、 密码或 PIN 概念验证的用户的标识的数字文档。
默认情况下,Windows 凭据进行验证,对安全帐户管理器 (SAM) 数据库在本地计算机上,或者对加入域的计算机,通过 Winlogon 服务上的 Active Directory。 凭据收集用户输入通过登录的用户界面或以编程方式通过应用程序编程接口 (API) 来提供给身份验证的目标。
本地安全信息存储在注册表中HKEY_LOCAL_MACHINE\SECURITY。 存储的信息包括策略设置、 默认安全值和帐户信息如缓存的登录凭据。 SAM 数据库的副本是还存储在这里,尽管它是写保护状态。
下图显示了所需的组件和路径凭据需要通过系统进行身份验证的用户或登录成功的进程。
下表介绍管理凭据在登录时验证过程中的每个组件。
所有系统的身份验证组件
| 组件 | 说明 |
|---|
| 用户登录 | Winlogon.exe 是负责管理安全的用户交互的可执行文件。 Winlogon 服务启动的 Windows 操作系统的登录过程通过传递收集的用户执行任何操作在安全桌面上 (登录 UI) 到本地安全机构 (LSA) 通过 Secur32.dll 的凭据。 | | 应用程序登录 | 应用程序或不需要交互式登录的登录服务。 大多数由用户启动的进程运行在用户模式下使用 Secur32.dll 而在启动时,例如服务、 启动的进程使用 Ksecdd.sys 在内核模式中运行。 有关用户模式和内核模式的详细信息,请参阅本主题中的应用程序和用户模式下或服务和内核模式。 | | Secur32.dll | 多个身份验证提供程序的窗体身份验证过程的基础。 | | Lsasrv.dll | LSA 服务器服务,这同时会强制使用安全策略并充当 LSA 的安全包管理器。 LSA 包含在确定哪种协议才能成功之后选择 NTLM 或 Kerberos 协议的协商函数。 | | 安全支持提供程序 | 可以单独调用一个或多个身份验证协议的提供程序的一组。 默认组中的提供程序可以更改与每个版本的 Windows 操作系统,并且可以编写自定义提供程序。 | | Netlogon.dll | Net Logon 服务执行的服务如下所示:
-
维护计算机的安全通道 (不要将其与 Schannel 相混淆) 到域控制器。 -
将通过安全通道的用户的凭据传递给域控制器,并返回的域安全标识符 (Sid) 和用户的用户权限。 -
发布服务资源记录在域名系统 (DNS) 并使用 DNS 名称解析为域控制器的 Internet 协议 (IP) 地址。 -
实现复制协议基于
|
| 
转播
