Sicherheit und Identität

Entwickeln Sie sicherere Desktop-Apps mithilfe von Windows-APIs und -Diensten. Diese APIs bieten Folgendes:

  • Authentifizierung
  • Authorization
  • Kryptografie
  • Verzeichnis-, Identitäts- und Zugriffsdienste
  • Kindersicherung
  • Rights Management

Dieser Abschnitt enthält außerdem bewährte Methoden und andere Sicherheitsartikel.

In diesem Abschnitt

Thema BESCHREIBUNG
Antischadsoftware-Scan-Schnittstelle Die Antimalware Scan Interface (AMSI) ist ein generischer Schnittstellenstandard, mit dem Anwendungen und Dienste in jedes antischadsoftware-Produkt integriert werden können, das auf einem Computer vorhanden ist. Es bietet erweiterten Schutz vor Schadsoftware für Benutzer und ihre Daten, Anwendungen und Workloads.
Authentifizierung Die Authentifizierung ist der Prozess, mit dem das System die Anmeldeinformationen eines Benutzers überprüft. Der Name und das Kennwort eines Benutzers werden mit einer autorisierten Liste verglichen, und wenn das System eine Übereinstimmung erkennt, wird der Zugriff in dem umfang gewährt, der in der Berechtigungsliste für diesen Benutzer angegeben ist.
Autorisierung Die Autorisierung ist das Recht, das System und die darin gespeicherten Daten zu nutzen. Die Autorisierung wird in der Regel von einem Systemadministrator eingerichtet und vom Computer anhand einer Benutzeridentifikation überprüft, z. B. einer Codenummer oder einem Kennwort.
Bewährte Methoden für die Sicherheits-APIs Stellt bewährte Methoden für die Entwicklung sichererer Anwendungen bereit.
Certificate Enrollment API (Zertifikatregistrierungs-API, in englischer Sprache) Die Zertifikatregistrierungs-API kann verwendet werden, um eine Clientanwendung zum Anfordern eines Zertifikats und zum Installieren einer Zertifikatantwort zu erstellen.
Ablaufsteuerungsschutz (CFG, Control Flow Guard) Control Flow Guard (CFG) ist ein hochoptimiertes Plattformsicherheitsfeature, das zur Bekämpfung von Speicherbeschädigungsrisiken erstellt wurde.
Kryptografie Kryptografie ist die Verwendung von Codes zum Konvertieren von Daten, sodass nur ein bestimmter Empfänger sie mithilfe eines Schlüssels lesen kann. CryptoAPI ermöglicht Es Benutzern, Dokumente und andere Daten in einer sicheren Umgebung zu erstellen und auszutauschen, insbesondere über unsichere Medien wie das Internet.
Kryptografie-API: Nächste Generation Kryptografie-API: Next Generation (CNG) ermöglicht Es Benutzern, Dokumente und andere Daten in einer sicheren Umgebung zu erstellen und auszutauschen, insbesondere über unsichere Medien wie das Internet.
Erweiterbarkeit dynamischer Access Control Entwickler Das DAC-Szenario (Dynamic Access Control), wie es in Windows Server 2012 bereitgestellt wird, verfügt über eine Vielzahl von Erweiterbarkeitspunkten für Entwickler, die Anpassungspotenzial für die Anwendungsentwicklung hinzufügen.
Verzeichnis-, Identitäts- und Zugriffsdienste Netzwerkadministratoren können Verzeichnisdienste verwenden, um allgemeine Verwaltungsaufgaben zu automatisieren, z. B. das Hinzufügen von Benutzern und Gruppen, das Verwalten von Druckern und das Festlegen von Berechtigungen für Netzwerkressourcen.
Unabhängige Softwareanbieter und Endbenutzerentwickler können Verzeichnisdienste verwenden, um ihre Produkte und Anwendungen verzeichnisfähig zu machen. Dienste können sich selbst in einem Verzeichnis veröffentlichen, Clients können das Verzeichnis verwenden, um Dienste zu suchen, und beide können das Verzeichnis verwenden, um andere Objekte zu suchen und zu bearbeiten.
Forefront Identity Manager (FIM) bietet eine integrierte und umfassende Lösung zum Verwalten des gesamten Lebenszyklus von Benutzeridentitäten und den zugehörigen Anmeldeinformationen.
Identity Lifecycle Manager (ILM) ermöglicht ES IT-Organisationen, die Kosten für die Verwaltung des Identitäts- und Zugriffslebenszyklus zu senken, indem sie eine einheitliche Sicht auf die Identität eines Benutzers im heterogenen Unternehmen bereitstellen und allgemeine Aufgaben automatisieren.
Active Directory-Verbunddienste (AD FS) ermöglichen die Verbundidentitäts- und Zugriffsverwaltung, indem digitale Identitäts- und Berechtigungsrechte sicherheits- und unternehmensgrenzenübergreifend gemeinsam verwendet werden.
Extensible Authentication-Protokoll Das Extensible Authentication Protocol (EAP) ist ein Standard, der von mehreren Systemkomponenten unterstützt wird. EAP ist von entscheidender Bedeutung für den Schutz der Sicherheit von drahtlosen (802.1X) und kabelgebundenen LANs, DFÜ und VPNs (Virtual Private Networks).
Erweiterbarer Authentifizierungsprotokollhost EAPHost ist eine Microsoft Windows-Netzwerkkomponente, die eine EAP-Infrastruktur (Extensible Authentication Protocol) für die Authentifizierung von "supplicant"-Protokollimplementierungen wie 802.1X und Point-to-Point (PPP) bereitstellt.
MS-CHAP-Kennwortverwaltungs-API Sie können die MS-CHAP-Kennwortverwaltungs-API verwenden, um Anwendungen zum Ändern der Kennwörter von Netzwerkbenutzern auf Remotearbeitsstationen zu erstellen.
Netzwerkzugriffsschutz Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Reihe von Betriebssystemkomponenten, die eine Plattform für den geschützten Zugriff auf private Netzwerke bereitstellen. Die NAP-Plattform bietet eine integrierte Möglichkeit zum Bewerten des Systemintegritätsstatus eines Netzwerkclients, der versucht, eine Verbindung mit einem Netzwerk herzustellen oder in diesem zu kommunizieren, und den Zugriff auf den Netzwerkclient einzuschränken, bis die Integritätsrichtlinienanforderungen erfüllt wurden.
Netzwerkrichtlinienserver Network Policy Server (NPS) ist die Microsoft-Implementierung eines RADIUS-Servers (Remote Authentication Dial-In User Service) und eines Proxys. Es ist der Nachfolger des Internetauthentifizierungsdiensts (IAS).
Kindersicherung Die Kindersicherungstechnologie in Windows soll fleißigen Eltern oder Erziehungsberechtigten dabei helfen, den Zugang zu geeigneten Materialien nach Alter oder Reifegrad für diejenigen unter ihrer Vormundschaft sicherzustellen. Es bietet eine erweiterbare Infrastruktur zusätzlich zu integrierten Funktionen.
Rights Management Drei Generationen des Rights Management SDK sind jetzt verfügbar, sowie eine Gesamt-Roadmap für von Microsoft bereitgestellte RMS-Codebeispiele und Entwicklertools für alle unterstützten Betriebssysteme. Android, iOS/OS X, Windows Phone und Windows Desktop.
Sicherheitsentwicklungslebenszyklus (SDL): Prozessleitfaden Microsoft Security Development Lifecycle (SDL) ist ein branchenführender Softwaresicherheitsprozess. Als microsoftweite Initiative und seit 2004 obligatorische Richtlinie spielt SDL eine wichtige Rolle bei der Einbettung von Sicherheit und Datenschutz in Microsoft-Software und -Kultur. Durch die Kombination eines ganzheitlichen und praktischen Ansatzes werden Sicherheit und Datenschutz frühzeitig und in allen Phasen des Entwicklungsprozesses eingeführt.
Sicherheitsverwaltung Die Sicherheitsverwaltungstechnologien können verwendet werden, um LSA-Richtlinien (Local Security Authority) und Kennwortfilterrichtlinien zu verwalten, die Fähigkeit von Programmen aus externen Quellen abzufragen und Dienstanlagen, die die Funktionalität des Sicherheitskonfigurationstools erweitern.
WMI-Sicherheitsanbieter Mit den Sicherheits-WMI-Anbietern können Administratoren und Programmierer die BitLocker-Laufwerkverschlüsselung (BitLocker Drive Encryption, BDE) und das Trusted Platform Module (TPM) mithilfe der Windows-Verwaltungsinstrumentation (WMI) konfigurieren.
Sicherheitsglossar Stellt ein Glossar mit Sicherheitsbegriffen bereit.
TPM-Basisdienste Das TPM-Basisdienstefeature (Trusted Platform Module, TPM) zentralisiert den TPM-Zugriff für alle Anwendungen. Das TBS-Feature verwendet Prioritäten, die durch das Aufrufen von Anwendungen angegeben werden, um den TPM-Zugriff kooperativ zu planen.
Windows-Biometrieframework-API Sie können die Windows Biometric Framework-API verwenden, um Clientanwendungen zu erstellen, die biometrische Endbenutzerinformationen sicher erfassen, speichern und vergleichen.
Sicherheitstechnische Artikel Artikel zu Sicherheit und Kryptografie.