Общие сведения о проверке подлинности Windows Windows Authentication Overview

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом разделе для ИТ-специалистов перечислены источники документации по способам проверки подлинности и входа в систему в Windows, которые включают оценку продукта, руководства по началу работы, процедуры, руководства по разработке и развертыванию, технические справочники и справочники по командам. This navigation topic for the IT professional lists documentation resources for Windows authentication and logon technologies that include product evaluation, getting started guides, procedures, design and deployment guides, technical references, and command references.

Описание компонента Feature description

Проверка подлинности — это процесс проверки удостоверения объекта, службы или пользователя. Authentication is a process for verifying the identity of an object, service or person. Задача проверки подлинности объекта заключается в проверке подлинности объекта. When you authenticate an object, the goal is to verify that the object is genuine. Целью проверки подлинности службы или пользователя является проверка подлинности предоставленных учетных данных. When you authenticate a service or person, the goal is to verify that the credentials presented are authentic.

В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. In a networking context, authentication is the act of proving identity to a network application or resource. Как правило, удостоверение удостоверяется в криптографической операции, которая использует либо ключ, либо только пользователь, который знает с помощью шифрования с открытым ключом, либо общий ключ. Typically, identity is proven by a cryptographic operation that uses either a key only the user knows — as with public key cryptography — or a shared key. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности. The server side of the authentication exchange compares the signed data with a known cryptographic key to validate the authentication attempt.

Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Storing the cryptographic keys in a secure central location makes the authentication process scalable and maintainable. Домен Active Directory Services — это рекомендуемая и используемая по умолчанию технология для хранения сведений об удостоверениях ( , включая криптографические ключи, которые являются учетными данными пользователя ) . Active Directory Domain Services is the recommended and default technology for storing identity information (including the cryptographic keys that are the user’s credentials). Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию. Active Directory is required for default NTLM and Kerberos implementations.

Методы проверки подлинности основаны на простом входе в систему, который определяет пользователей на основе чего-то, что только знает пароль, к более мощным механизмам обеспечения безопасности, использующим то, что пользователь имеет в качестве маркеров, а также сертификаты открытого ключа и биометрические данные. Authentication techniques range from a simple logon, which identifies users based on something that only the user knows — like a password, to more powerful security mechanisms that use something that the user has — like tokens, public key certificates, and biometrics. В бизнес-среде службы или пользователи могут открывать множество приложений или ресурсов на различных типах серверов из одного или многих местоположений. In a business environment, services or users might access multiple applications or resources on many types of servers within a single location or across multiple locations. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows. For these reasons, authentication must support environments for other platforms and for other Windows operating systems.

Операционная система Windows реализует набор протоколов проверки подлинности по умолчанию, включая Kerberos, NTLM, безопасность транспортного уровня / SSL ( TLS / SSL ) и дайджест в составе расширяемой архитектуры. The Windows operating system implements a default set of authentication protocols, including Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL), and Digest, as part of an extensible architecture. Кроме того, некоторые протоколы объединены в пакеты проверки подлинности, такие как поставщик поддержки согласования и безопасности учетных данных. In addition, some protocols are combined into authentication packages such as Negotiate and the Credential Security Support Provider. Эти протоколы и пакеты обеспечивают выполнение проверки подлинности пользователей, компьютеров и служб; процесс проверки подлинности, в свою очередь, позволяет авторизованным пользователям и службам осуществлять безопасный доступ к ресурсам. These protocols and packages enable authentication of users, computers, and services; the authentication process, in turn, enables authorized users and services to access resources in a secure manner.

Дополнительные сведения о проверке подлинности Windows, включая: For more information about Windows Authentication including

Практическое применение Practical applications

Проверка подлинности Windows используется для проверки сведений, поступающих от доверенного источника, пользователя или объекта компьютера, например другого компьютера. Windows Authentication is used to verify that the information comes from a trusted source, whether from a person or computer object, such as another computer. Windows предоставляет множество различных способов достижения этой цели, как описано ниже. Windows provides many different methods to achieve this goal as described below.

Кому. To.	Функция Feature	Описание Description
Проверка подлинности в домене Active Directory Authenticate within an Active Directory domain	Kerberos Kerberos	Операционные системы Microsoft Windows Server реализуют протокол проверки подлинности Kerberos версии 5 и расширения для проверки подлинности с открытым ключом. The Microsoft Windows Server operating systems implement the Kerberos version 5 authentication protocol and extensions for public key authentication. Клиент проверки подлинности Kerberos реализуется как SSP поставщика поддержки безопасности ( ) и доступен через интерфейс поставщика поддержки безопасности ( SSPI ) . The Kerberos authentication client is implemented as a security support provider (SSP) and can be accessed through the Security Support Provider Interface (SSPI). Начальная проверка подлинности пользователя интегрирована с — архитектурой единого входа Winlogon. Initial user authentication is integrated with the Winlogon single sign-on architecture. Kerberos центр распространения ключей ( KDC ) интегрирован с другими службами безопасности Windows Server, работающими на контроллере домена. The Kerberos Key Distribution Center (KDC) is integrated with other Windows Server security services running on the domain controller. В качестве базы данных учетных записей безопасности в KDC используется база данных службы Active Directory Directory домена. The KDC uses the domain’s Active Directory directory service database as its security account database. Служба каталогов Active Directory необходима для реализаций Kerberos по умолчанию. Active Directory is required for default Kerberos implementations. Дополнительные сведения см. в статье Обзор проверки подлинности Kerberos. For additional resources, see Kerberos Authentication Overview.
Безопасная проверка подлинности в сети Secure authentication on the web	/Протокол TLS SSL, реализованный в поставщике поддержки безопасности SChannel TLS/SSL as implemented in the Schannel Security Support Provider	Протоколы ( TLS ) версии 1,0, 1,1 и 1,2, SSL ( ) протоколе SSL, версии 2,0 и 3,0, датаграмма транспорта транспортного уровня версии 1,0 и ( ) протокол шифрования протокола PCT для частного обмена данными, версия 1,0, основаны на криптографии с открытым ключом. The Transport Layer Security (TLS) protocol versions 1.0, 1.1, and 1.2, Secure Sockets Layer (SSL) protocol, versions 2.0 and 3.0, Datagram Transport Layer Security protocol version 1.0, and the Private Communications Transport (PCT) protocol, version 1.0, are based on public key cryptography. ( ) Набор протоколов проверки подлинности поставщика безопасного канала Schannel предоставляет эти протоколы. The Secure Channel (Schannel) provider authentication protocol suite provides these protocols. Все протоколы Schannel используют модель клиента и сервера. All Schannel protocols use a client and server model. Дополнительные ресурсы см. в разделе TLS-SSL ()ного поставщика услуг SChannel. For additional resources, see TLS — SSL (Schannel SSP) Overview.
Проверка подлинности веб-службы или приложения Authenticate to a web service or application	Встроенная проверка подлинности Windows Integrated Windows Authentication Дайджест-проверка подлинности Digest Authentication	Дополнительные ресурсы см. в разделах Встроенная проверка подлинности Windows, Дайджест-проверка подлинности и Расширенная дайджест-проверка подлинности. For additional resources, see Integrated Windows Authentication and Digest Authentication, and Advanced Digest Authentication.
Проверка подлинности приложений прежних версий Authenticate to legacy applications	NTLM NTLM	NTLM — это — протокол проверки подлинности в стиле ответа на запрос. Помимо проверки подлинности, протокол NTLM обеспечивает безопасность сеанса, в частности, целостность и конфиденциальность сообщений с помощью функций подписания и запечатывания в NTLM. NTLM is a challenge-response style authentication protocol.In addition to authentication, the NTLM protocol optionally provides for session security—specifically message integrity and confidentiality through signing and sealing functions in NTLM. Дополнительные сведения см. в статье Обзор протокола NTLM. For additional resources, see NTLM Overview.
Использование многофакторной проверки подлинности Leverage multifactor authentication	Поддержка смарт-карты Smart card support Поддержка биометрии Biometric support	Смарт-карты являются — защищенным и переносимым способом обеспечения безопасности для таких задач, как проверка подлинности клиента, вход в домены, подписывание кода и защита электронной — почты. Smart cards are a tamper-resistant and portable way to provide security solutions for tasks such as client authentication, logging on to domains, code signing, and securing e-mail. Биометрия основывается на измерении неизменных физических характеристик человека для его уникальной идентификации. Biometrics relies on measuring an unchanging physical characteristic of a person to uniquely identify that person. Отпечатки пальцев — наиболее часто используемые биометрические характеристики. Существуют миллионы встроенных в персональные компьютеры и периферийные устройства биометрических устройств для снятия отпечатков пальцев. Fingerprints are one of the most frequently used biometric characteristics, with millions of fingerprint biometric devices that are embedded in personal computers and peripherals. Дополнительные ресурсы см. в статье Технический справочник по смарт-картам. For additional resources, see Smart Card Technical Reference.
Осуществление локального управления, хранения и повторного использования учетных данных Provide local management, storage and reuse of credentials	Управление учетными данными Credentials management Локальная система безопасности Local Security Authority Пароли Passwords	Диспетчер учетных данных системы Windows обеспечивает безопасное хранение учетных данных. Credential management in Windows ensures that credentials are stored securely. Учетные данные собираются на защищенном рабочем столе ( для локального доступа или домена ) , через приложения или через веб-сайты, чтобы при каждом доступе к ресурсу преддавались правильные учетные данные. Credentials are collected on the Secure Desktop (for local or domain access), through apps or through websites so that the correct credentials are presented every time a resource is accessed.
Расширение современной защиты устаревших систем с помощью проверки подлинности Extend modern authentication protection to legacy systems	Расширенная защита для проверки подлинности Extended Protection for Authentication	Эта функция улучшает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью встроенной проверки подлинности Windows ( IWA ) . This feature enhances the protection and handling of credentials when authenticating network connections by using Integrated Windows Authentication (IWA).

Требования к программному обеспечению Software requirements

Проверка подлинности Windows совместима с более ранними версиями операционной системы Windows. Windows Authentication is designed to be compatible with previous versions of the Windows operating system. Однако это не значит, что усовершенствования новых выпусков будут работать в более ранних версиях. However, improvements with each release are not necessarily applicable to previous versions. Дополнительные сведения см. в документации по определенным функциям. Refer to documentation about specific features for more information.

Сведения о диспетчере сервера Server Manager information

Многие функции проверки подлинности можно настроить с помощью групповой политики, которую можно установить с помощью диспетчера сервера. Many authentication features can be configured using Group Policy, which can be installed using Server Manager. Функция биометрической платформы Windows устанавливается с помощью диспетчера сервера. The Windows Biometric Framework feature is installed using Server Manager. Другие роли сервера, зависящие от методов проверки подлинности, таких как ( IIS ) и службы домен Active Directory, также можно установить с помощью Диспетчер сервера. Other server roles which are dependent upon authentication methods, such as Web Server (IIS) and Active Directory Domain Services, can also be installed using Server Manager.

Настройка методов проверки подлинности Configure Authentication Methods

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной зоне изолированного сервера. This procedure shows you how to configure the authentication methods that can be used by computers in an isolated domain or standalone isolated server zone.

Примечание. Если вы выполните действия, которые вы выполните в этой процедуре, измените параметры по умолчанию для всей системы. Note: If you follow the steps in the procedure in this topic, you alter the system-wide default settings. Любое правило безопасности подключения может использовать эти параметры, указав значение Default на вкладке «Проверка подлинности». Any connection security rule can use these settings by specifying Default on the Authentication tab.

Учетные данные администратора Administrative credentials

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена» или получить другие делегирование разрешений на изменение таких групп. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Настройка методов проверки подлинности To configure authentication methods

Откройте консоль управления групповыми политиками для Защитник Windows брандмауэра с расширенными мерами безопасности. Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.

В области сведений на главной странице Защитник Windows брандмауэра с расширенным безопасностью щелкните Защитник Windows брандмауэра. In the details pane on the main Windows Defender Firewall with Advanced Security page, click Windows Defender Firewall Properties.

На вкладке «Параметры IPsec» нажмите кнопку «Настроить». On the IPsec Settings tab, click Customize.

В разделе «Метод проверки подлинности» выберите тип проверки подлинности, который необходимо использовать, из следующих ок. In the Authentication Method section, select the type of authentication that you want to use from among the following:

По умолчанию. Default. Выбор этого параметра указывает компьютеру использовать метод проверки подлинности, который в настоящее время определен локальным администратором в брандмауэре Защитник Windows брандмауэре или групповой политике по умолчанию. Selecting this option tells the computer to use the authentication method currently defined by the local administrator in Windows Defender Firewall or by Group Policy as the default.

Компьютер и пользователь (с использованием Kerberos V5). Computer and User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера и пользователя, во время входа в систему, с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of both the computer and the currently logged-on user by using their domain credentials.

Компьютер (с использованием Kerberos V5). Computer (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Пользователь (с использованием Kerberos V5). User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials.

Сертификат компьютера из этого сертификационного органа. Computer certificate from this certification authority. Выбор этого параметра и ввод идентификации в ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного выбранным ЦС. Selecting this option and entering the identification of a certification authority (CA) tells the computer to use and require authentication by using a certificate that is issued by the selected CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают расширенный ключ проверки подлинности системы (EKU), обычно предоставляемый в инфраструктуре защиты сетевого доступа (NAP). If you also select Accept only health certificates, then only certificates that include the system health authentication enhanced key usage (EKU) typically provided in a Network Access Protection (NAP) infrastructure can be used for this rule.

Advanced. Advanced. Щелкните «Настроить», чтобы указать настраиваемую комбинацию методов проверки подлинности, необходимых для вашего сценария. Click Customize to specify a custom combination of authentication methods required for your scenario. Можно указать как первый, так и второй метод проверки подлинности. You can specify both a First authentication method and a Second authentication method.

Первый способ проверки подлинности может быть одним из следующих: The first authentication method can be one of the following:

Компьютер (Kerberos V5). Computer (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Компьютер (NTLMv2). Computer (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. This option works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат компьютера из этого ЦС. Computer certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного этим ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by that CA. Если также выбрать «Принять только сертификатыдля системы безопасности», можно использовать только сертификаты, выданные сервером NAP. If you also select Accept only health certificates, then only certificates issued by a NAP server can be used.

Предопламеновка ключа (не рекомендуется). Preshared key (not recommended). Выбор этого метода и ввод предшествует проверке подлинности компьютера путем обмена предшествует ключам. Selecting this method and entering a preshared key tells the computer to authenticate by exchanging the preshared keys. Если они совпадают, проверка подлинности будет успешной. If they match, then the authentication succeeds. Этот метод не рекомендуется и включен только для обеспечения обратной совместимости и тестирования. This method is not recommended, and is included only for backward compatibility and testing purposes.

Если выбрана первая проверка подлинностине является обязательной, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select First authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Второй способ проверки подлинности может быть одним из следующих: The second authentication method can be one of the following:

Пользователь (Kerberos V5). User (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Пользователь (NTLMv2). User (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена и использовании протокола NTLMv2 вместо Kerberos V5. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials, and uses the NTLMv2 protocol instead of Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат о здоровье пользователя из этого ЦС. User health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности на основе пользователя с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require user-based authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Включить сопоставление сертификата с учетной записью», сертификат можно будет связывать с пользователем в Active Directory для предоставления или запрета доступа указанным пользователям или группам пользователей. If you also select Enable certificate to account mapping, then the certificate can be associated with a user in Active Directory for purposes of granting or denying access to specified users or user groups.

Сертификат о состоянии компьютера из этого ЦС. Computer health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают EKU проверки подлинности системы, обычно предоставляемые в инфраструктуре NAP. If you also select Accept only health certificates, then only certificates that include the system health authentication EKU typically provided in a NAP infrastructure can be used for this rule.

Если выбрать вторую проверкуподлинности необязательно, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select Second authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Важно! Убедитесь, что флажки не выбраны, чтобы сделать проверку подлинности как первой, так и второй необязательной. Important: Make sure that you do not select the check boxes to make both first and second authentication optional. Это позволяет использовать простые подключения при сбойе проверки подлинности. Doing so allows plaintext connections whenever authentication fails.

Нажмите кнопку «ОК» в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповыми политиками. Click OK on each dialog box to save your changes and return to the Group Policy Management Editor.