Настройка методов проверки подлинности Configure Authentication Methods

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной зоне изолированного сервера. This procedure shows you how to configure the authentication methods that can be used by computers in an isolated domain or standalone isolated server zone.

Примечание. Если вы выполните действия, которые вы выполните в этой процедуре, измените параметры по умолчанию для всей системы. Note: If you follow the steps in the procedure in this topic, you alter the system-wide default settings. Любое правило безопасности подключения может использовать эти параметры, указав значение Default на вкладке «Проверка подлинности». Any connection security rule can use these settings by specifying Default on the Authentication tab.

Учетные данные администратора Administrative credentials

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена» или получить другие делегирование разрешений на изменение таких групп. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Настройка методов проверки подлинности To configure authentication methods

Откройте консоль управления групповыми политиками для Защитник Windows брандмауэра с расширенными мерами безопасности. Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.

В области сведений на главной странице Защитник Windows брандмауэра с расширенным безопасностью щелкните Защитник Windows брандмауэра. In the details pane on the main Windows Defender Firewall with Advanced Security page, click Windows Defender Firewall Properties.

На вкладке «Параметры IPsec» нажмите кнопку «Настроить». On the IPsec Settings tab, click Customize.

В разделе «Метод проверки подлинности» выберите тип проверки подлинности, который необходимо использовать, из следующих ок. In the Authentication Method section, select the type of authentication that you want to use from among the following:

По умолчанию. Default. Выбор этого параметра указывает компьютеру использовать метод проверки подлинности, который в настоящее время определен локальным администратором в брандмауэре Защитник Windows брандмауэре или групповой политике по умолчанию. Selecting this option tells the computer to use the authentication method currently defined by the local administrator in Windows Defender Firewall or by Group Policy as the default.

Компьютер и пользователь (с использованием Kerberos V5). Computer and User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера и пользователя, во время входа в систему, с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of both the computer and the currently logged-on user by using their domain credentials.

Компьютер (с использованием Kerberos V5). Computer (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Пользователь (с использованием Kerberos V5). User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials.

Сертификат компьютера из этого сертификационного органа. Computer certificate from this certification authority. Выбор этого параметра и ввод идентификации в ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного выбранным ЦС. Selecting this option and entering the identification of a certification authority (CA) tells the computer to use and require authentication by using a certificate that is issued by the selected CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают расширенный ключ проверки подлинности системы (EKU), обычно предоставляемый в инфраструктуре защиты сетевого доступа (NAP). If you also select Accept only health certificates, then only certificates that include the system health authentication enhanced key usage (EKU) typically provided in a Network Access Protection (NAP) infrastructure can be used for this rule.

Advanced. Advanced. Щелкните «Настроить», чтобы указать настраиваемую комбинацию методов проверки подлинности, необходимых для вашего сценария. Click Customize to specify a custom combination of authentication methods required for your scenario. Можно указать как первый, так и второй метод проверки подлинности. You can specify both a First authentication method and a Second authentication method.

Первый способ проверки подлинности может быть одним из следующих: The first authentication method can be one of the following:

Компьютер (Kerberos V5). Computer (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Компьютер (NTLMv2). Computer (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. This option works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат компьютера из этого ЦС. Computer certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного этим ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by that CA. Если также выбрать «Принять только сертификатыдля системы безопасности», можно использовать только сертификаты, выданные сервером NAP. If you also select Accept only health certificates, then only certificates issued by a NAP server can be used.

Предопламеновка ключа (не рекомендуется). Preshared key (not recommended). Выбор этого метода и ввод предшествует проверке подлинности компьютера путем обмена предшествует ключам. Selecting this method and entering a preshared key tells the computer to authenticate by exchanging the preshared keys. Если они совпадают, проверка подлинности будет успешной. If they match, then the authentication succeeds. Этот метод не рекомендуется и включен только для обеспечения обратной совместимости и тестирования. This method is not recommended, and is included only for backward compatibility and testing purposes.

Если выбрана первая проверка подлинностине является обязательной, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select First authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Второй способ проверки подлинности может быть одним из следующих: The second authentication method can be one of the following:

Пользователь (Kerberos V5). User (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Пользователь (NTLMv2). User (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена и использовании протокола NTLMv2 вместо Kerberos V5. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials, and uses the NTLMv2 protocol instead of Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат о здоровье пользователя из этого ЦС. User health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности на основе пользователя с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require user-based authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Включить сопоставление сертификата с учетной записью», сертификат можно будет связывать с пользователем в Active Directory для предоставления или запрета доступа указанным пользователям или группам пользователей. If you also select Enable certificate to account mapping, then the certificate can be associated with a user in Active Directory for purposes of granting or denying access to specified users or user groups.

Сертификат о состоянии компьютера из этого ЦС. Computer health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают EKU проверки подлинности системы, обычно предоставляемые в инфраструктуре NAP. If you also select Accept only health certificates, then only certificates that include the system health authentication EKU typically provided in a NAP infrastructure can be used for this rule.

Если выбрать вторую проверкуподлинности необязательно, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select Second authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Важно! Убедитесь, что флажки не выбраны, чтобы сделать проверку подлинности как первой, так и второй необязательной. Important: Make sure that you do not select the check boxes to make both first and second authentication optional. Это позволяет использовать простые подключения при сбойе проверки подлинности. Doing so allows plaintext connections whenever authentication fails.

Нажмите кнопку «ОК» в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповыми политиками. Click OK on each dialog box to save your changes and return to the Group Policy Management Editor.

Устранение неполадок AD FS — встроенная проверка подлинности Windows AD FS Troubleshooting — Integrated Windows Authentication

Встроенная проверка подлинности Windows позволяет пользователям входить в систему с учетными данными Windows и работать с единым входом (SSO), используя Kerberos или NTLM. Integrated Windows authentication enables users to log in with their Windows credentials and experience single-sign on (SSO), using Kerberos or NTLM.

Причина сбоя встроенной проверки подлинности Windows Reason integrated windows authentication fails

Существует три основные причины, по которым встроенная проверка подлинности Windows завершится ошибкой. There are three main reason why integrated windows authentication will fail. К ним относятся: They are: — Неправильное Настройка имени субъекта-службы (SPN) Service Principal Name(SPN) misconfiguration — Токен привязки канала Channel Binding Token — Настройка Internet Explorer Internet Explorer configuration

Неправильное Настройка имени участника-службы SPN misconfiguration

Имя участника-службы (SPN) — это уникальный идентификатор экземпляра службы. A service principal name (SPN) is a unique identifier of a service instance. Имена участников-служб используются при проверке подлинности Kerberos для связывания экземпляра службы с учетной записью входа службы. SPNs are used by Kerberos authentication to associate a service instance with a service logon account. Это позволяет клиентскому приложению запросить проверку подлинности учетной записи службы, даже если у клиента нет имени учетной записи. This allows a client application to request that the service authenticate an account even if the client does not have the account name.

Ниже приведен пример использования имени субъекта-службы с AD FS. An example of an how an SPN is used with AD FS is as follows:

1. Веб-браузер запрашивает Active Directory, чтобы определить, какая учетная запись службы работает под sts.contoso.com A web browser queries Active Directory to determine which service account is running sts.contoso.com
2. Active Directory сообщает браузеру, что это AD FS учетной записи службы. Active Directory tells the browser that it’s the AD FS service account.
3. Браузер получит билет Kerberos для учетной записи службы AD FS. The browser will get a Kerberos ticket for the AD FS service account.

Если учетная запись службы AD FS имеет неправильно настроенное или неправильное SPN, это может вызвать проблемы. If the AD FS service account has a misconfigured or the wrong SPN then this can cause issues. Просмотр трассировок сети может привести к ошибкам, например КРБ Error: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN. Looking at network traces, you may see errors such as KRB Error: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN.

С помощью трассировки сети (например, Wireshark) можно определить, какое имя субъекта-службы пытается разрешить браузер, а затем использовать средство командной строки SetSPN – Q . Using network traces (such as Wireshark) you can determine what SPN the browser is trying to resolve and then using the command line tool, setspn — Q , you can do a lookup on that SPN. Возможно, он не найден или назначен другой учетной записи, отличной от учетной записи службы AD FS. It may not be found or it may be assigned to another account other than the AD FS service account.

Имя субъекта-службы можно проверить, просмотрев свойства учетной записи службы AD FS. You can verify the SPN by looking at the properties of the AD FS service account.

Токен привязки канала Channel Binding Token

В текущей версии, если клиентское приложение проходит проверку подлинности на сервере с использованием протокола Kerberos, дайджест-проверку подлинности или проверку NTLM с использованием HTTPS, то сначала устанавливается канал безопасности транспортного уровня (TLS), а проверка подлинности выполняется по этому каналу. Currently, when a client application authenticates itself to the server using Kerberos, Digest, or NTLM using HTTPS, a Transport Level Security (TLS) channel is first established and authentication takes place using this channel.

Токен привязки канала является свойством внешнего канала, защищенного TLS, и используется для привязки внешнего канала к диалогу по внутреннему каналу, прошедшему проверку подлинности клиента. The Channel Binding Token is a property of the TLS-secured outer channel, and is used to bind the outer channel to a conversation over the client-authenticated inner channel.

При возникновении атаки «злоумышленник в середине» и расшифровке и повторном шифровании SSL-трафика ключ не будет совпадать. If there is a «man-in-the-middle» attack occurring and they are decrypting and re-encrypting the SSL traffic, then the key will not match. AD FS определит, что в центре веб-обзора r и самого себя есть что-то другое. AD FS will determine that there is something sitting in the middle between the web browse r and itself. Это приведет к сбою проверки подлинности Kerberos, и пользователю будет предложено диалоговое окно 401 вместо единого входа. This will cause the Kerberos authentication to fail and the user will be prompted with a 401 dialog instead of an SSO experience.

Это может быть вызвано следующим: This can be cause by:

• любые элементы, находясь между браузером и AD FS anything sitting in between the browser and AD FS
• Fiddler Fiddler
• Обратные прокси-серверы, выполняющие мост SSL Reverse proxies performing SSL bridging

По умолчанию AD FS имеет значение Allow. By default, AD FS has this set to «allow». Этот параметр можно изменить с помощью командлета PowerShell. Set-ADFSProperties -ExtendProtectionTokenCheck You can change this setting using the PowerShell cmdlet Set-ADFSProperties -ExtendProtectionTokenCheck

Настройка Internet Explorer Internet Explorer configuration

По умолчанию Internet Explorer будет иметь следующий порядок: By default, Internet explorer will be have the following way:

1. Internet Explorer получит ответ 401 от AD FS с словом NEGOTIATE в заголовке. Internet explorer will receive a 401 response from AD FS with the word NEGOTIATE in the header.
2. Это указывает веб-браузеру на необходимость получения билета Kerberos или NTLM для отправки обратно в AD FS. This tells the web browser to get a Kerberos or NTLM ticket to send back to AD FS.
3. По умолчанию IE пытается сделать это (SPNEGO) без вмешательства пользователя, если слово NEGOTIATE находится в заголовке. By default IE will try to do this (SPNEGO) without user interaction if the word NEGOTIATE is in the header. Он будет работать только для сайтов интрасети. It will only work for intranet sites.

Существует два основных момента, которые могут помешать этому. There are 2 main things that can prevent this from happening.

Включить встроенную проверку подлинности Windows не проверяется в свойствах IE. Enable Integrated Windows Authentication is not checked in the properties of IE. Он находится в разделе «Свойства обозревателя» — > «> безопасность». This located under Internet Options -> Advanced -> Security.

Зоны безопасности настроены неправильно Security zones are not configured properly

FQDN не входит в зону интрасети FQDNs are not in the intranet zone

URL-адрес AD FS не входит в зону интрасети. AD FS URL is not in the intranet zone.