Architettura di Autenticazione di Windows
Questo argomento di panoramica per professionisti IT illustra lo schema architetturale di base per autenticazione di Windows.
L'autenticazione è il processo in base al quale il sistema convalida le informazioni di accesso o di accesso di un utente. Il nome e la password di un utente vengono confrontati con un elenco autorizzato e, se il sistema rileva una corrispondenza, l'accesso viene concesso nella misura specificata nell'elenco di autorizzazioni per tale utente.
Nell'ambito di un'architettura estendibile, i sistemi operativi Windows Server implementano un set predefinito di provider di supporto per la sicurezza dell'autenticazione, tra cui Negotiate, il protocollo Kerberos, NTLM, Schannel (canale sicuro) e Digest. I protocolli usati da questi provider consentono l'autenticazione di utenti, computer e servizi, e il processo di autenticazione, a sua volta, consente agli utenti e ai servizi autorizzati di accedere alle risorse in modo sicuro.
In Windows Server, le applicazioni autenticano gli utenti usando SSPI per astrarre le chiamate per l'autenticazione. Pertanto, gli sviluppatori non devono comprendere le complessità di protocolli di autenticazione specifici o compilare protocolli di autenticazione nelle applicazioni.
I sistemi operativi Windows Server includono un set di componenti di sicurezza che costituiscono il modello di sicurezza di Windows. Questi componenti assicurano che le applicazioni non possano accedere alle risorse senza autenticazione e autorizzazione. Le sezioni seguenti descrivono gli elementi dell'architettura di autenticazione.
Autorità di protezione locale
L'Autorità di sicurezza locale (LSA) è un sottosistema protetto che autentica e registra gli utenti nel computer locale. Inoltre, la LSA gestisce informazioni relative a tutti gli aspetti della protezione locale di un computer (questi aspetti sono complessivamente noti come criteri locali di sicurezza del sistema). Fornisce anche vari servizi per la conversione tra nomi e identificatori di sicurezza (SID).
Il sottosistema di sicurezza tiene traccia dei criteri di sicurezza e degli account presenti in un sistema informatico. Nel caso di un controller di dominio, questi criteri e account sono quelli effettivi per il dominio in cui si trova il controller di dominio. Questi criteri e account vengono archiviati in Active Directory. Il sottosistema LSA fornisce servizi per convalidare l'accesso agli oggetti; controllare i diritti utente e generare messaggi di controllo.
Security Support Provider Interface
Security Support Provider Interface (SSPI) è l'API che ottiene servizi di sicurezza integrati per l'autenticazione, l'integrità dei messaggi, la privacy dei messaggi e la qualità del servizio di sicurezza per qualsiasi protocollo applicativo distribuito.
SSPI è l'implementazione dell'API GSSAPI (Generic Security Service). SSPI fornisce un meccanismo tramite il quale un'applicazione distribuita può chiamare uno dei diversi provider di sicurezza per ottenere una connessione autenticata senza conoscere i dettagli del protocollo di sicurezza.