在 Windows 身份验证的凭据进程

 

适用对象：Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows RT, Windows Server 2012, Windows RT 8.1, Windows 8

本参考主题面向 IT 专业人员介绍 Windows 身份验证处理凭据的方式。

Windows 凭据管理是操作系统接收来自服务或用户的凭据并保护该信息重用于将来的演示文稿到身份验证的目标的过程。 在已加入域的计算机的情况下进行身份验证的目标是域控制器。 身份验证中使用的凭据不将关联到某种形式的真实性，如证书、 密码或 PIN 概念验证的用户的标识的数字文档。

默认情况下，Windows 凭据进行验证，对安全帐户管理器 (SAM) 数据库在本地计算机上，或者对加入域的计算机，通过 Winlogon 服务上的 Active Directory。 凭据收集用户输入通过登录的用户界面或以编程方式通过应用程序编程接口 (API) 来提供给身份验证的目标。

本地安全信息存储在注册表中HKEY_LOCAL_MACHINE\SECURITY。 存储的信息包括策略设置、 默认安全值和帐户信息如缓存的登录凭据。 SAM 数据库的副本是还存储在这里，尽管它是写保护状态。

下图显示了所需的组件和路径凭据需要通过系统进行身份验证的用户或登录成功的进程。

下表介绍管理凭据在登录时验证过程中的每个组件。

所有系统的身份验证组件

组件

说明

用户登录

Winlogon.exe 是负责管理安全的用户交互的可执行文件。 Winlogon 服务启动的 Windows 操作系统的登录过程通过传递收集的用户执行任何操作在安全桌面上 (登录 UI) 到本地安全机构 (LSA) 通过 Secur32.dll 的凭据。

应用程序登录

应用程序或不需要交互式登录的登录服务。 大多数由用户启动的进程运行在用户模式下使用 Secur32.dll 而在启动时，例如服务、 启动的进程使用 Ksecdd.sys 在内核模式中运行。

有关用户模式和内核模式的详细信息，请参阅本主题中的应用程序和用户模式下或服务和内核模式。

Secur32.dll

多个身份验证提供程序的窗体身份验证过程的基础。

Lsasrv.dll

LSA 服务器服务，这同时会强制使用安全策略并充当 LSA 的安全包管理器。 LSA 包含在确定哪种协议才能成功之后选择 NTLM 或 Kerberos 协议的协商函数。

安全支持提供程序

可以单独调用一个或多个身份验证协议的提供程序的一组。 默认组中的提供程序可以更改与每个版本的 Windows 操作系统，并且可以编写自定义提供程序。

Netlogon.dll

Net Logon 服务执行的服务如下所示：

• 维护计算机的安全通道 (不要将其与 Schannel 相混淆） 到域控制器。

• 将通过安全通道的用户的凭据传递给域控制器，并返回的域安全标识符 (Sid) 和用户的用户权限。

• 发布服务资源记录在域名系统 (DNS) 并使用 DNS 名称解析为域控制器的 Internet 协议 (IP) 地址。

• 实现复制协议基于  ˙ 矪瞶主域控制器 (Pdc) 和备份域控制器 (Bdc) 远程过程调用 (RPC)。

Samsrv.dll

存储本地安全帐户、 安全帐户管理器 (SAM) 强制执行本地存储的策略并支持 Api。

注册表

注册表包含一份 SAM 数据库、 本地安全策略设置、 默认安全值和只是系统可访问的帐户信息。

本主题包含以下各节：

• 用户登录的凭据输入

• 为应用程序和服务登录的凭据输入

• 本地安全机构

• 缓存的凭据和验证

• 凭据存储和验证

• 安全帐户管理器数据库

• 本地域和受信任的域

• 在 Windows 身份验证的证书

用户登录的凭据输入

在Windows Server 2008和Windows Vista的图形识别和身份验证 (GINA) 体系结构已替换为凭据提供程序模型，这使其成为可枚举通过登录图块使用不同的登录类型。 下面描述了这两个模型。

图形识别和身份验证的体系结构

图形识别与认证 (GINA) 的体系结构适用于 Windows Server 2003、 Microsoft Windows 2000 Server、 Windows XP 和 Windows 2000 Professional 操作系统的系统。 在这些系统中，每个交互式登录会话创建 Winlogon 服务的单独实例。 GINA 体系结构是加载到使用 Winlogon 进程空间，接收和处理凭据，并且通过 lsalogonuser 中的身份验证接口调用。

在会话 0 中运行的交互式登录 Winlogon 的实例。 会话 0 主机系统服务和其他关键的进程，包括本地安全机构 (LSA) 进程。

下图显示了 Windows Server 2003、 Microsoft Windows 2000 Server、 Windows XP 和 Microsoft Windows 2000 Professional 的凭据处理。

凭据提供程序体系结构

适用于那些版本中指定的凭据提供程序体系结构应用于本主题开头的列表。 在这些系统中，输入的凭据的体系结构更改为可扩展的设计使用的凭据提供程序。 这些提供程序都是不同的登录的图块在安全桌面上允许任意数量的登录方案 — 不同的帐户为同一用户和不同的身份验证方法如密码、 智能卡和生物识别。

凭据提供程序体系结构，与 Winlogon 启动时总是保持登录用户界面后接收到它安全注意序列事件。 登录用户界面会查询每个凭据提供程序的不同的凭据类型提供程序配置为枚举数。 凭据提供程序可以选择将这些磁贴之一指定为默认值。 所有提供程序已经枚举其磁贴后，登录用户界面为用户显示它们。 用户交互与图块提供其凭据。 登录用户界面将提交这些凭据进行身份验证。

凭据提供程序不是强制机制。 它们用于收集和序列化的凭据。 本地安全机构和身份验证包强制实施安全。

凭据提供程序计算机上注册并负责以下：

• 描述所需的身份验证的凭据信息。

• 处理通信和逻辑与外部身份验证机构。

• 打包的凭据交互式和网络登录。

打包的凭据交互式和网络登录包含序列化的过程。 通过序列化凭据可以在登录 UI 显示多个登录图块。 因此，您的组织可以控制登录显示如用户） 的目标系统的登录、 登录前访问网络和工作站锁定/取消锁定策略 — 通过自定义的凭据提供程序使用。 多个凭据提供程序可以在同一台计算机上共存。

单一登录 (SSO) 提供程序可以作为标准的凭据提供程序或作为预登录访问提供程序开发。

每个版本的 Windows 包含一个默认凭据提供程序和一个默认前-登录访问提供程序 (PLAP) 也称作 SSO 访问接口。 SSO 提供程序允许用户建立连接到网络之前在登录到本地计算机。 当实现此访问接口时，该提供程序不会枚举在登录 UI 的图块。

SSO 提供程序用于在以下情况下使用：

• 网络身份验证和计算机登录才由不同的凭据提供程序处理。与此方案的变体包括：

  • 用户登录到计算机之前已连接到网络，例如，连接到虚拟专用网络 (VPN) 的选项但不是需要进行此连接。

  • 检索本地计算机上的交互式身份验证期间使用的信息需要网络身份验证。

  • 多个网络身份验证后跟其他方案之一。 例如，用户向 Internet 服务提供商 (ISP) 进行身份验证、 对 VPN，进行身份验证，然后使用其用户帐户凭据登录本地。

  • 缓存的凭据将被禁用，并通过 VPN 的远程访问服务连接在本地登录之前需要进行身份验证用户。

  • 域用户没有在已加入域的计算机上设置的本地帐户并且必须建立 VPN 连接完成交互式登录之前通过远程访问服务连接。

• 网络身份验证和计算机登录才由相同的凭据提供程序处理。在此方案中，用户都需要连接到网络之前登录到计算机。

登录磁贴枚举

凭据提供程序枚举在以下情况下的登录磁贴：

• 指定在这些操作系统适用于本主题开头的列表。

• 凭据提供程序枚举为工作站登录磁贴。 凭据提供程序通常将序列化为对本地安全机构进行身份验证的凭据。 此过程会为每个用户特定和特定的图块显示到每个用户的目标系统。

• 登录和身份验证的体系结构使用户能够使用枚举的凭据提供程序的磁贴以解锁工作站。 通常情况下，当前登录用户是默认磁贴，但如果有多个用户登录时，会显示大量的磁贴。

• 凭据提供程序枚举磁贴以响应用户请求以更改其密码或 PIN 之类的其他私人信息。 通常，当前登录用户是默认磁贴;但是，如果多个用户登录时，将显示大量的磁贴。

• 凭据提供程序枚举根据要用于在远程计算机上的身份验证的序列化凭据的磁贴。 凭据用户界面不使用该提供程序的同一个实例作为登录用户界面、 解除锁定工作站或更改密码。 因此，不能在提供程序中的凭据的用户界面的实例之间维护状态信息。 此结构将导致对每个远程计算机登录，假定凭据已正确序列化的一个图块。 这种情况下还可用于在用户帐户控制 (UAC)，可以通过帮助防止未经授权的更改到一台计算机在允许的操作可能影响计算机操作或可以改变会影响计算机的其他用户的设置前提示用户输入权限或提供管理员密码。

下图显示了操作系统，系统中指定的凭据过程应用于本主题开头的列表。

为应用程序和服务登录的凭据输入

Windows 身份验证用于管理应用程序或不需要用户交互的服务的凭据。 在用户模式下的应用程序是在哪些系统资源他们有权访问而服务可以具有无限制访问系统内存和外部设备方面的限制。

系统服务和传输级别的应用程序访问安全支持提供程序 (SSP) 通过安全支持提供程序接口 (SSPI) 在 Windows 中，它提供用于枚举系统上可用的安全包，选择一个包，然后使用该程序包以获取经过身份验证的连接的函数。

身份验证的客户端/服务器连接时：

• 在客户端应用程序的连接通过使用 SSPI 函数向服务器发送凭据InitializeSecurityContext (General)。

• 在服务器端应用程序的连接将使用 SSPI 函数进行响应AcceptSecurityContext (General)。

• SSPI 函数InitializeSecurityContext (General)和AcceptSecurityContext (General)重复，直到所有必要的身份验证消息被交换成功或身份验证失败。

• 该连接已通过身份验证后，在服务器上的 LSA 将使用从客户端的信息来生成包含访问令牌的安全上下文。

• 服务器然后可调用的 SSPI 函数ImpersonateSecurityContext将访问令牌附加到该服务模拟线程。

应用程序和用户模式

在 Windows 中的用户模式下组成能够将 I/O 请求传递给相应的内核模式驱动程序的两个系统： 运行时编写的许多不同类型的操作系统应用程序，环境系统和不可或缺的系统运行环境系统代表特定于系统函数。

不可或缺的系统管理环境系统代表的操作 system−specific 功能并包含安全系统进程 (LSA)、 工作站服务和服务器服务。 安全系统进程处理的安全令牌、 授予或拒绝访问基于资源的权限的用户帐户的权限、 处理登录请求和启动登录身份验证和确定哪些操作系统需要审核的系统资源。

应用程序可以运行在用户模式下在应用程序能够作为安全上下文的本地系统 (SYSTEM) 中包括的任何主体。 应用程序还可以运行在内核模式下的应用程序可以运行中的安全上下文的本地系统 (SYSTEM)。

SSPI 是可通过 Secur32.dll 模块，这是一个用于获取身份验证、 消息完整性和消息隐私的集成的安全服务的 API。 它提供应用程序级协议和安全协议之间的抽象层。 由于不同的应用程序需要不同的方法来识别或验证用户和它通过网络传输时加密数据的不同方式，SSPI 提供了一个方法以便访问包含不同的身份验证和加密功能的动态链接库 (Dll)。 这些 Dll 称为安全支持提供程序 (Ssp)。

中引入了托管的服务帐户和虚拟帐户Windows Server 2008 R2和Windows 7关键应用程序如 Microsoft SQL Server 和 Internet 信息服务 (IIS) 提供其自身域帐户的隔离，同时又消除了由管理员需要手动管理的服务主体名称 (SPN) 和为这些帐户的凭据。 有关这些功能以及在身份验证中的角色的详细信息，请参阅托管服务帐户文档适用于 Windows 7 和 Windows Server 2008 R2和组托管服务帐户概述。

服务和内核模式

尽管大多数 Windows 应用程序启动它们的安全上下文中运行，这不是用户的真正的服务。 许多 Windows 服务例如网络和打印服务是在用户启动计算机时由服务控制器启动的。 这些服务可能会以 Local Service 或 Local System 运行并可能会继续在最后一个人类用户注销后运行。

注意

服务通常称为本地系统 (SYSTEM)、 网络服务或本地服务的安全上下文中运行。Windows Server 2008 R2引入了在托管的服务帐户下运行的域主体的服务。

在开始之前一项服务，服务控制器登录时使用的帐户，指定对于服务，然后提供服务的凭据用于通过 LSA 的身份验证。 Windows 服务实现的服务控制管理器可用于控制服务的编程接口。在系统启动时或手动与服务控制程序可以自动启动 Windows 服务。 例如，当 Windows 客户端计算机加入域，计算机上的 messenger 服务将连接到域控制器，并打开到它的安全通道。 若要获取经过身份验证的连接，该服务必须具有远程计算机的本地安全机构 (LSA) 信任的凭据。 当与网络中的其他计算机通信时，LSA 使用本地计算机的域帐户的凭据，在本地系统和网络服务的安全上下文中运行的所有其他服务一样。 因此不需要提供给 LSA 凭据作为系统运行了本地计算机上的服务。

文件 Ksecdd.sys 管理和对这些凭据进行加密并使用到 LSA 本地过程调用。 文件类型是 DRV （驱动程序） 和作为内核模式安全支持提供程序 (SSP) 以及在那些版本中指定已知应用于本主题开头列表中，为符合 FIPS 140-2 级别 1 兼容。

内核模式下具有完全访问权限的计算机的硬件和系统资源。 内核模式下停止用户模式服务和应用程序访问不应有权访问的操作系统的关键领域。

本地安全机构

本地安全机构 (LSA) 是进行身份验证和用户登录到本地计算机的受保护的系统进程。 此外，LSA 还维护所有各方面信息的本地安全的计算机上 （这些方面统称为本地安全策略），并且它提供各种服务名称和安全标识符 (Sid) 之间的转换。 安全系统进程，本地安全机构服务器服务 (LSASS)，跟踪的安全策略和有效的计算机系统上的帐户。

LSA 验证基于在其下面的两个实体颁发了用户帐户上的用户的标识：

• 本地安全机构。LSA 可以通过检查安全帐户管理器 (SAM) 数据库位于同一台计算机上验证用户信息。 任何工作站或成员服务器可以存储本地用户帐户和本地组有关的信息。 但是，这些帐户可以用于访问该工作站或计算机。

• 为本地域或受信任的域的安全机构。LSA 联系颁发该帐户的实体和请求验证该帐户是有效并且帐户持有人发出请求。

本地安全机构子系统服务 (LSASS) 通过活动 Windows 会话以用户的名义将凭据存储在内存中。 存储的凭据允许无缝而无需重新输入他们为每个远程服务的凭据访问网络资源，如文件共享、 Exchange Server 邮箱和 SharePoint 站点的用户。

LSASS 可以采用多种形式来存储凭据，包括：

• 反向加密的纯文本

• Kerberos 票证 (票证授予票证 (Tgt)，服务票证)

• NT 哈希

• LAN Manager (LM) 哈希

如果用户登录到 Windows 通过使用智能卡，则 LSASS 不会存储纯文本密码，但它将存储帐户和智能卡的纯文本 PIN 对应的 NT 哈希值。 如果为交互式登录所需智能卡启用了帐户属性，将自动为该帐户生成一个随机的 NT 哈希值（而非原始密码哈希）。 在设置属性时自动生成的密码哈希不会发生更改。

如果用户登录到基于 Windows 的计算机使用 LAN Manager (LM) 哈希值与兼容的密码时，此身份验证器是存在于内存中。

无法禁用内存中纯文本凭据的存储，即使禁用需要它们的凭据提供程序也是如此。

存储的凭据直接与相关联的本地安全机构子系统服务 (LSASS) 登录会话已开始在上一次后的重新启动和未关闭。 例如，当用户执行以下任何操作时，都会创建带有已存储 LSA 凭据的 LSA 会话：

• 登录到本地会话或计算机上的远程桌面协议 (RDP) 会话

• 使用“RunAs”选项运行任务

• 在计算机上运行活动的 Windows 服务

• 运行计划任务或者批处理作业

• 使用远程管理工具在本地计算机上运行任务

在某些情况下，LSA 机密，这些秘密只有 SYSTEM 帐户进程才能访问的数据片段存储在硬盘驱动器上。 其中一些机密是重新启动后必须保留的凭据，并且它们以加密的形式存储在硬盘驱动器上。 存储为 LSA 机密的凭据可能包括：

• 计算机的 Active Directory 域服务 (AD DS) 帐户的帐户密码

• 在计算机上配置的 Windows 服务的帐户密码

• 用于已配置的计划任务的帐户密码

• 用于 IIS 应用程序池和网站的帐户密码

• Microsoft 帐户的密码

有关 Windows 如何以及在何处存储凭据的详细信息，请参阅缓存和存储凭据的技术概述。

中引入Windows 8.1，客户端操作系统提供了额外的保护为 LSA 来防止读取内存及注入代码非受保护的进程。 这种保护可提高安全性的 LSA 存储和管理的凭据。

有关这些附加保护的详细信息，请参阅配置其他 LSA 保护。

缓存的凭据和验证

验证机制依赖于在登录时表示法的凭据。 但是，当计算机断开一个域控制器，并且用户提供域凭据，Windows 使用缓存的凭据的过程中验证机制。

在用户登录到域中，每次 Windows 缓存所提供的凭据并将它们存储在注册表中的安全配置单元的操作系统。

使用缓存的凭据，用户可以登录到域成员无需连接到该域中域控制器。

有关缓存的凭据的详细信息，请参阅缓存和存储凭据的技术概述。

凭据存储和验证

它并不总是需要使用一组凭据使用不同的资源的访问权。 例如，管理员可能想要使用管理而不是用户凭据访问远程服务器时。 同样，如果用户在访问外部资源如银行帐户，他或她可以只使用不同于其域凭据的凭据。 以下部分描述了在凭据管理的 Windows 操作系统的当前版本之间的差异和Windows Vista和 Windows XP 操作系统。

远程登录凭据进程

远程桌面协议 (RDP) 管理连接到远程计算机通过使用远程桌面客户端中, 引入的用户凭据Windows 8。 以纯文本形式的凭据发送到目标主机其中主机尝试执行身份验证过程中，以及如果成功，将用户连接到允许的资源。 RDP 不将凭据存储在客户端，但 LSASS 中存储的用户的域凭据。

中引入Windows Server 2012 R2和Windows 8.1，受限管理模式提供附加到远程登录方案的安全性。 这种模式的远程桌面使此客户端应用程序执行具有 NT 单向函数 (NTOWF) 的网络登录质询响应或在对远程主机进行身份验证时使用 Kerberos 服务票证。 管理员进行身份验证后，管理员没有相应的帐户凭据 LSASS 中因为它们已不提供给远程主机。 相反，管理员可以为会话的计算机帐户凭据。 管理员凭据未提供到远程主机，以便为计算机帐户执行操作。 资源也被限制在计算机帐户，并且管理员无法访问使用他自己的帐户的资源。

自动重新启动登录凭据处理

当用户登录到 Windows 8.1 设备上时，LSA 将只能通过 LSASS.exe 访问的加密内存中保存的用户凭据。 当 Windows Update 启动时自动重新启动不用户状态显示的情况下时，这些凭据用于为用户配置自动登录。

在重新启动，通过自动登录机制中，自动登录用户，然后计算机将此外被锁定以保护用户的会话。 锁定通过启动 Winlogon 凭据管理通过 LSA 而。 通过自动登录并锁定在控制台上的用户的会话，用户的锁定屏幕应用程序是重新启动且可用。

有关 ARSO 的详细信息，请参阅Winlogon 自动重新启动登录 (ARSO)。

存储的用户名和 Windows Vista 和 Windows XP 中的密码

在Windows Server 2008，Windows Server 2003Windows Vista，和 Windows XP存储用户名和密码在控制面板得到了简化的管理和使用多个包括与智能卡一起使用的 X.509 证书和 （现在称为 Microsoft 帐户） 的 Windows Live 凭据的登录凭据集。 凭据 — 在用户配置文件的一部分 — 在需要时才存储。 此操作可以通过确保如果一个密码被泄露，它不会破坏所有安全性来增加每个资源的安全性。

在用户登录并尝试访问更多受密码保护的资源，例如在服务器上，共享之后和用户的默认登录凭据没有足够才能访问，存储用户名和密码进行查询。 如果使用正确的登录信息的备用凭据保存在存储用户名和密码，这些凭据用于获取访问权限。 否则，提示用户提供新凭据，随后可保存为更高版本在登录会话中或在后续会话期间重复使用。

以下限制适用：

• 如果存储用户名和密码为特定的资源，对资源的访问被拒绝，包含无效或不正确的凭据和存储用户名和密码对话框不会出现。

• 存储用户名和密码将凭据存储仅对使用 NTLM、 Kerberos 协议的 Microsoft 帐户 （以前称为 Windows Live ID） 和安全套接字层 (SSL) 身份验证。 某些版本的 Internet Explorer 维护其自己的缓存进行基本身份验证。

这些凭据成为 \Documents and Settings\Username\Application Data\Microsoft\Credentials 目录中的用户的本地配置文件的加密的组成部分。 因此，这些凭据可在漫游的用户如果用户的网络策略支持漫游用户配置文件。 但是，如果用户具有的副本存储用户名和密码上两个不同的计算机和更改与上一台计算机中，资源相关联的凭据更改不会传播到存储用户名和密码在第二台计算机上。

有关详细信息存储用户名和密码，请参阅缓存和存储凭据的技术概述。

Windows 保管库和凭据管理器

凭据管理器中引入了Windows Server 2008 R2和Windows 7作为一项控制面板功能来存储和管理用户名和密码。 凭据管理器允许用户将与其他系统和网站相关的凭据存储在安全的 Windows 保管库。 某些版本的 Internet Explorer 对网站进行身份验证使用此功能。

使用凭据管理器管理凭据，由本地计算机用户控制。 用户可以从支持的浏览器和 Windows 应用程序保存和存储凭据，需要登录到这些资源时非常方便。 在用户的配置文件下，凭据保存在计算机上的特殊加密文件夹中。 支持 （通过使用凭据管理器 Api)，如 web 浏览器和应用程序，此功能的应用程序可以在登录过程提供向其他计算机和网站的正确凭据。

当网站、 应用程序中或通过 NTLM 或 Kerberos 协议的另一台计算机请求身份验证，会出现一个对话框中选择的其中更新默认凭据或保存密码复选框。 此对话框中，使用户能够保存本地凭据由支持凭据管理器 Api 的应用程序生成。 如果用户选择保存密码复选框，凭据管理器跟踪的用户的用户名、 密码和正在使用的身份验证服务的相关的信息。

下次使用服务时，凭据管理器自动提供 Windows 保管库中存储的凭据。 如果未接受凭据，将提示用户提供正确的访问信息。 如果授予访问权限的新凭据，凭据管理器将覆盖以前的凭据替换为新，然后将新的凭据存储在 Windows 保管库。

安全帐户管理器数据库

安全帐户管理器 (SAM) 是用于存储本地用户帐户和组的数据库。 它是位于每个 Windows 操作系统 ；但是，当计算机加入到域，Active Directory 管理 Active Directory 域中的域帐户。

例如，运行 Windows 操作系统的客户端计算机加入网络域中通过即使在没有工作的用户登录时与域控制器进行通信。 若要启动的通信，计算机必须在域中具有一个有效的帐户。 之前接受来自计算机的通信，域控制器上的 LSA 进行身份验证的计算机标识并就像它对某个人的安全主体将构造计算机的安全上下文。 此安全上下文在特定计算机或用户、 服务或网络上的计算机上定义的身份和用户或服务的功能。 例如，访问令牌包含在安全上下文中定义的可访问的资源 (如文件共享或打印机） 和该主体可以执行的操作 （如读取、 写入或修改) — 用户、 计算机或对该资源的服务。

用户或计算机的安全上下文而异从一台计算机到另一个，例如当用户登录到服务器或用户的主工作站以外的工作站。 它还可以到另一个，如当管理员修改用户的权利和权限从一个会话改变。此外，安全上下文时通常不同用户或计算机进行操作以单独的方式，在网络中，或作为 Active Directory 域的一部分。

本地域和受信任的域

当两个域之间存在信任时，为每个域的身份验证机制依赖于来自其他域身份验证的有效性。 有助于通过验证传入的身份验证请求提供对资源域 （信任域） 中的共享资源的受控的访问来自受信任的颁发机构 （受信任域） 是信任关系。 这种方式，只让的桥接器验证身份验证请求的域之间的差旅充当信任关系。

特定的信任将身份验证请求的传递取决于它的配置方式。 信任关系可以是单向的通过提供从受信任域对信任域中的资源的访问或双向的通过提供从每个域对其他域中的资源的访问。 信任关系也是不可传递，在这种情况下仅两个信任合作伙伴域之间存在信任关系或可传递的这种情况下信任可自动扩展到两个伙伴信任的任何其他域。

有关与身份验证相关的域和林信任关系的信息，请参阅委派的身份验证和信任关系。

在 Windows 身份验证的证书

公钥基础结构 (PKI) 是软件、 加密技术、 进程和服务可使组织来保护其通信与业务事务的组合。 PKI 安全通信与业务事务的能力取决于身份验证的用户和受信任的资源之间的数字证书的交换。

数字证书是一种电子文档包含有关其所属的实体、 颁发者的实体、 唯一的序列号或其他唯一的标识、 颁发和到期日期和数字的指纹信息。

身份验证是确定是否可信任远程主机的过程。 若要建立其可信度，远程主机必须提供一个可接受的身份验证证书。

远程主机通过从证书颁发机构 (CA) 获取证书建立其值得信任。 CA 反过来，可以从更高版本的颁发机构这将创建的信任链的证书。 若要确定证书是否可信，应用程序必须确定根 CA，标识，然后确定它是否可信。

同样，远程主机或本地计算机必须确定用户或应用程序所出示的证书是否可信。 通过在 Active Directory 中的证书存储在本地登录本地计算机上、 在网络上、 或在域上的真实性计算由用户通过 LSA 和 SSPI 所出示的证书。

若要生成证书、 身份验证数据经过哈希算法如安全哈希算法 1 (SHA1) 以生成消息摘要。 消息摘要然后通过使用发件人的私钥来证明消息摘要已由发件人的数字签名。

注意

SHA1 是中的默认设置Windows 7和Windows Vista，但已更改为在 SHA2Windows 8。

智能卡身份验证

智能卡技术是举例说明如何基于证书的身份验证。 登录到使用智能卡的网络上提供了很强的身份验证因为它使用基于加密技术的标识和所有权证明进行进入域用户身份验证时。 Active Directory 证书服务 (AD CS) 提供了基于加密的通过颁发的标识每个智能卡登录证书。

有关智能卡身份验证的信息，请参阅Windows 智能卡技术参考。

中引入了虚拟智能卡技术Windows 8。 它将智能卡证书存储在 PC 上，并通过使用设备的篡改的受信任的平台模块 (TPM) 安全芯片然后保护该资产。 这种方式，PC 实际上成为了智能卡以便进行身份验证都必须将接收用户的 PIN。

有关虚拟智能卡的详细信息，请参阅虚拟智能卡概述。

远程和无线身份验证

远程和无线网络身份验证是使用证书进行身份验证的另一种技术。 Internet 身份验证服务 (IAS) 和虚拟专用网络服务器使用可扩展身份验证协议-传输级别安全 (EAP-TLS)、 受保护的可扩展身份验证协议 (PEAP) 或 Internet 协议安全 (IPsec) 为许多类型的网络访问权限，包括虚拟专用网络 (VPN) 和无线连接执行基于证书的身份验证。

有关在网络中基于证书的身份验证的信息，请参阅网络访问身份验证和证书。

另请参阅

Windows 身份验证的概念