Freigeben über

LSA-Authentifizierungsmodell

  • Artikel

Das Authentifizierungsmodell für die lokale Sicherheitsbehörde (LSA) verfügt über die folgenden Features:

  • LSA-Authentifizierung unterstützt benutzerdefinierte -Authentifizierungspakete. Auf diese Weise können Endbenutzer und unabhängige Softwareanbieter (ISVs) Authentifizierungsroutinen anpassen oder ersetzen, um Anforderungen zu erfüllen, die über die standardmäßigen Microsoft-Authentifizierungspakete hinausgehen. Während die von Microsoft bereitgestellten Authentifizierungspakete einen Benutzernamen und Kennwortanmeldedaten erfordern, kann ein benutzerdefiniertes Authentifizierungspaket andere Formen von Anmeldedaten wie ATM-Karteninformationen und eine PIN (Personal Identification Number) annehmen. Ein benutzerdefiniertes Authentifizierungspaket kann auch verwendet werden, um ein neues Sicherheitsprotokollzu implementieren.
  • Die LSA unterstützt benutzerdefinierte Sicherheitspakete, die als Sicherheitsunterstützungsanbieter für verteilte Anwendungen und als Authentifizierungspakete für Anwendungen funktionieren, die Authentifizierungsdienste erfordern. Auf die Authentifizierungsfunktionalität wird über dieselbe Schnittstelle wie ein eigenständiges Authentifizierungspaket zugegriffen, während auf die Funktionalität des Sicherheitssupportanbieters mithilfe Security Support Provider Interface (SSPI) zugegriffen wird. Der Satz von LSA-Unterstützungsfunktionen, die für benutzerdefinierte Sicherheitspakete verfügbar sind, ermöglicht es ihnen, erweiterte Sicherheitsfeatures bereitzustellen, z. B. die Tokenerstellung und ergänzende Anmeldeinformationen-Verwaltung.
  • Die LSA unterstützt die verwaltung heterogener Anmeldeinformationen zur Schnittstelle mit Nicht-Microsoft-Produkten, z. B. Netzwerken und Datenbanken. Da solche Produkte häufig über eigene Sicherheitsanmeldeinformationen verfügen, stellt die LSA Funktionen bereit, mit denen Authentifizierungspakete Nicht-Microsoft-Anmeldeinformationen Windows-Prozessen zuordnen können. Benutzerdefinierte Authentifizierungspakete können Dienste bereitstellen, um diese Anmeldeinformationen bei Bedarf abzufragen, z. B. wenn ein Netzwerkumleitung versucht, eine Verbindung mit einem Remotesystem herzustellen.
  • Jede auf einem System installierte Klasse des Anmeldegeräts kann über einen eigenen Anmeldevorgang verfügen. Geräteklassen enthalten in der Regel Geräte wie Smartcardleser; Im Sinne LSA- Authentifizierung werden verbundene Netzwerke jedoch auch als Geräte behandelt. Standardmäßig stellt das Windows-Betriebssystem den Anmeldevorgang bereit, der Benutzernamen und Kennwortanmeldungen mithilfe einer Tastatur unterstützt. Entwickler können Unterstützung für andere Geräte hinzufügen, z. B. Smartcard-Leser. Weitere Informationen zu Smartcards finden Sie unter Smartcard-Authentifizierung. Weitere Informationen zur Unterstützung von Anmeldegeräten finden Sie unter Winlogon- und GINA-.