Windows 驗證中的認證程序 - Microsoft Learn

Windows認證管理是作業系統從服務或使用者接收認證的程式，並保護該資訊以供日後向驗證目標呈現。

如果是已加入網域的電腦，驗證目標就是網域控制站。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge InternetExplorer和MicrosoftEdge的詳細資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 列印 Twitter LinkedIn Facebook 電子郵件 目錄 Windows驗證中的認證程序 發行項 09/21/2022 9位參與者 意見反應 本文內容 適用于：WindowsServer2022、WindowsServer2019、WindowsServer2016 IT專業人員的這個參考主題說明Windows驗證如何處理認證。

Windows認證管理是作業系統從服務或使用者接收認證的程式，並保護該資訊以供日後向驗證目標呈現。

如果是已加入網域的電腦，驗證目標就是網域控制站。

驗證中使用的認證是數位檔，可將使用者的身分識別與某種形式的驗證證明產生關聯，例如憑證、密碼或PIN。

根據預設，Windows認證會透過Winlogon服務，根據本機電腦上的安全性帳戶管理員(SAM)資料庫，或針對已加入網域電腦的ActiveDirectory進行驗證。

認證是透過登入使用者介面上的使用者輸入，或透過應用程式程式設計介面(API)以程式設計方式收集，以向驗證目標呈現。

本機安全性資訊會儲存在登錄的HKEY_LOCAL_MACHINE\SECURITY下。

預存資訊包括原則設定、預設安全性值和帳戶資訊，例如快取的登入認證。

SAM資料庫的複本也會儲存在這裡，但受到寫入保護。

下圖顯示必要元件，以及認證通過系統以驗證使用者或程式以成功登入的路徑。

下表描述在登入時管理驗證程式中認證的每個元件。

所有系統的驗證元件 元件 描述 使用者登入 Winlogon.exe是負責管理安全使用者互動的可執行檔。

Winlogon服務會透過Secur32.dll將安全桌面(上使用者動作所收集的認證傳遞至本機安全性授權單位(LSA)，以起始Windows作業系統的)登入程式。

應用程式登入 不需要互動式登入的應用程式或服務登入。

使用者起始的大部分進程會使用Secur32.dll在使用者模式中執行，而啟動時起始的進程，例如服務，則會使用Ksecdd.sys在核心模式中執行。

如需使用者模式和核心模式的詳細資訊，請參閱本主題中的應用程式和使用者模式或服務與核心模式。

Secur32.dll 構成驗證程式基礎的多個驗證提供者。

Lsasrv.dll LSA伺服器服務會強制執行安全性原則，並做為LSA的安全性套件管理員。

LSA包含Negotiate函式，它會在判斷要成功通訊協定之後選取NTLM或Kerberos通訊協定。

安全性支援提供者 一組提供者，可個別叫用一或多個驗證通訊協定。

預設的提供者集可以隨著每個版本的Windows作業系統而變更，而且可以寫入自訂提供者。

Netlogon.dll NetLogon服務執行的服務如下所示：-維護電腦的安全通道(不會與網域控制站的Schannel)混淆。

-透過安全通道將使用者的認證傳遞至網域控制站，並傳回網域安全性識別碼，(SID)和使用者權限。

-在網域名稱系統(DNS)中發佈服務資源記錄，並使用DNS將名稱解析為網域控制站的網際網路通訊協定(IP)位址。

-根據遠端程序呼叫來實作複寫通訊協定，(RPC)，以同步處理主要網域控制站()和備份網域控制站(DC)。

Samsrv.dll 安全性帳戶管理員(SAM)，可儲存本機安全性帳戶、強制執行本機儲存的原則並支援API。

登錄 登錄包含SAM資料庫複本、本機安全性原則設定、預設安全性值，以及只能供系統存取的帳戶資訊。

本主題包含下列幾節： 使用者登入的認證輸入 應用程式和服務登入的認證輸入 本機安全性授權 快取認證和驗證 認證儲存體和驗證 安全性帳戶管理員資料庫 本機網域和受信任的網域 Windows驗證中的憑證 使用者登入的認證輸入 在WindowsServer2008和WindowsVista中，圖形識別與驗證(GINA)架構已取代為認證提供者模型，讓您可以透過登入圖格來列舉不同的登入類型。

以下說明這兩個模型。

圖形化識別和驗證架構 圖形化識別與驗證(GINA)架構適用于WindowsServer2003、MicrosoftWindows2000Server、WindowsXP和Windows2000Professional作業系統。

在這些系統中，每個互動式登入會話都會建立Winlogon服務的個別實例。

GINA架構會載入Winlogon所使用的進程空間、接收和處理認證，以及透過LSALogonUser呼叫驗證介面。

在會話0中執行互動式登入的Winlogon實例。

會話0裝載系統服務和其他重要進程，包括本機安全性授權單位(LSA)程式。

下圖顯示WindowsServer2003、MicrosoftWindows2000Server、WindowsXP和MicrosoftWindows2000Professional的認證程式。

認證提供者架構 認證提供者架構適用于本主題開頭的[套用至]清單中指定的版本。

在這些系統中，認證輸入架構會使用認證提供者變更為可延伸的設計。

這些提供者會以安全桌面上的不同登入圖格來表示，允許任意數目的登入案例-相同使用者的不同帳戶和不同的驗證方法，例如密碼、智慧卡和生物特徵辨識技術。

使用認證提供者架構時，Winlogon一律會在收到安全注意順序事件之後啟動登入UI。

登入UI會查詢每個認證提供者，以取得提供者設定為列舉的不同認證類型數目。

認證提供者可以選擇將其中一個磚指定為預設值。

所有提供者列舉其圖格之後，登入UI就會向使用者顯示它們。

使用者與磚互動以提供其認證。

登入UI會提交這些認證以進行驗證。

認證提供者不是強制執行機制。

它們可用來收集和序列化認證。

本機安全性授權單位和驗證套件會強制執行安全性。

認證提供者會在電腦上註冊，並負責下列事項： 描述驗證所需的認證資訊。

使用外部驗證授權單位處理通訊和邏輯。

封裝互動式和網路登入的認證。

封裝互動式和網路登入的認證包括序列化程式。

藉由序列化認證，即可在登入UI上顯示多個登入圖格。

因此，您的組織可以透過使用自訂認證提供者來控制登入顯示，例如使用者、用於登入的目標系統、對網路和工作站鎖定/解除鎖定原則的預先登入存取。

同一部電腦上可以共存多個認證提供者。

單一登入(SSO)提供者可以開發為標準認證提供者或預先登入存取提供者。

每個版本的Windows都包含一個預設認證提供者，以及一個預設的登入前存取提供者(PLAP)，也稱為SSO提供者。

SSO提供者可讓使用者在登入本機電腦之前，先連線到網路。

實作此提供者時，提供者不會列舉登入UI上的圖格。

SSO提供者旨在用於下列案例： 網路驗證和電腦登入是由不同的認證提供者處理。

此案例的變化包括： 使用者可以選擇連線到網路，例如在登入電腦之前連線到虛擬私人網路(VPN)，但不需要進行此連線。

需要網路驗證，才能擷取本機電腦上互動式驗證期間使用的資訊。

多個網路驗證後面接著其中一個其他案例。

例如，使用者向網際網路服務提供者進行驗證，(ISP)、向VPN進行驗證，然後使用其使用者帳號憑證在本機登入。

快取的認證已停用，而且需要透過VPN的遠端AccessServices連線，才能本機登入來驗證使用者。

網域使用者未在已加入網域的電腦上設定本機帳戶，而且必須先透過VPN連線建立遠端AccessServices連線，才能完成互動式登入。

網路驗證和電腦登入是由相同的認證提供者處理。

在此案例中，使用者必須先連線到網路，才能登入電腦。

登入磚列舉 認證提供者會列舉下列實例中的登入圖格： 針對本主題開頭的[適用于]清單中指定的這些作業系統。

認證提供者會列舉工作站登入的圖格。

認證提供者通常會將認證序列化，以便向本機安全性授權單位進行驗證。

此程式會顯示每個使用者的特定磚，以及每個使用者的目標系統專屬。

登入和驗證架構可讓使用者使用認證提供者列舉的圖格來解除鎖定工作站。

一般而言，目前登入的使用者是預設磚，但如果登入多個使用者，則會顯示許多磚。

認證提供者會列舉磚，以回應使用者要求來變更其密碼或其他私人資訊，例如PIN。

一般而言，目前登入的使用者是預設磚;不過，如果登入多個使用者，則會顯示許多磚。

認證提供者會根據要用於遠端電腦上驗證的序列化認證來列舉圖格。

認證UI不會使用與登入UI、解除鎖定工作站或變更密碼相同的提供者實例。

因此，狀態資訊無法在認證UI實例之間的提供者中維護。

此結構會為每個遠端電腦登入產生一個圖格，假設認證已正確序列化。

此案例也用於使用者帳戶控制(UAC)，這可協助防止未經授權的電腦變更，方法是提示使用者輸入許可權或系統管理員密碼，再允許可能會影響電腦作業的動作，或可能會變更影響電腦其他使用者的設定。

下圖顯示本主題開頭的[套用至]清單中所指定作業系統的認證程式。

應用程式和服務登入的認證輸入 Windows驗證的設計目的是管理不需要使用者互動的應用程式或服務認證。

使用者模式中的應用程式受限於其可存取的系統資源，而服務可以不受限制地存取系統記憶體和外部裝置。

系統服務和傳輸層級應用程式可透過Windows中的安全性支援提供者介面(SSPI)，存取安全性支援提供者(SSP)，其提供函式來列舉系統上可用的安全性套件、選取套件，以及使用該套件來取得已驗證的連線。

驗證用戶端/伺服器連線時： 連線用戶端上的應用程式會使用SSPI函式InitializeSecurityContext(General)，將認證傳送至伺服器。

連線伺服器端上的應用程式會以SSPI函式AcceptSecurityContext(General)回應。

SSPI函InitializeSecurityContext(General)式和AcceptSecurityContext(General)會重複，直到所有必要的驗證訊息交換為成功或失敗驗證為止。

驗證連線之後，伺服器上的LSA會使用來自用戶端的資訊來建置安全性內容，其中包含存取權杖。

然後伺服器可以呼叫SSPI函式ImpersonateSecurityContext，將存取權杖附加至服務的模擬執行緒。

應用程式和使用者模式 Windows中的使用者模式是由兩個系統所組成，能夠將I/O要求傳遞至適當的核心模式驅動程式：環境系統，其會執行針對許多不同類型的作業系統所撰寫的應用程式，以及代表環境系統運作系統特定函式的整數系統。

整數系統代表環境系統管理作業系統的特定功能，由LSA)、工作站服務和伺服器服務(的安全性系統程式所組成。

安全性系統程式會處理安全性權杖、授與或拒絕根據資源許可權存取使用者帳戶的許可權、處理登入要求並起始登入驗證，並判斷作業系統需要稽核的系統資源。

應用程式可以在使用者模式中執行，其中應用程式可以執行為任何主體，包括本機系統(SYSTEM)的安全性內容中。

應用程式也可以在核心模式中執行，應用程式可以在本機系統(SYSTEM)的安全性內容中執行。

SSPI可透過Secur32.dll模組取得，這是用來取得整合式安全性服務以進行驗證、訊息完整性和訊息隱私權的API。

它提供應用層級通訊協定與安全性通訊協定之間的抽象層。

由於不同的應用程式需要不同的方式來識別或驗證使用者，以及在網路上移動時加密資料的不同方式，SSPI提供存取動態連結程式庫的方式，(DLL)包含不同驗證和密碼編譯函式。

這些DLL稱為安全性支援提供者，(SSP)。

受控服務帳戶和虛擬帳戶是在WindowsServer2008R2和Windows7中引進，以提供重要的應用程式，例如MicrosoftSQLServer和InternetInformationServices(IIS)，並隔離自己的網域帳戶，同時不需要系統管理員手動管理服務主體名稱，(SPN)和這些帳戶的認證。

如需這些功能及其角色在驗證中的詳細資訊，請參閱受控服務帳戶檔，以瞭解Windows7和WindowsServer2008R2和群組受控服務帳戶概觀。

服務和核心模式 即使大部分Windows應用程式在啟動應用程式的使用者安全性內容中執行，但這並非服務。

許多Windows服務，例如網路和列印服務，會在使用者啟動電腦時由服務控制站啟動。

這些服務可能會以本機服務或本機系統的形式執行，而且可能會在最後一個人類使用者登出之後繼續執行。

注意 服務通常會在稱為本機系統(SYSTEM)、網路服務或本機服務的安全性內容中執行。

WindowsServer2008R2引進了在受控服務帳戶下執行的服務，也就是網域主體。

啟動服務之前，服務控制器會使用為服務指定的帳號登入，然後呈現服務認證以供LSA驗證。

Windows服務會實作服務控制站管理員可用來控制服務的程式設計介面。

當系統啟動或手動使用服務控制程式時，可以自動啟動Windows服務。

例如，當Windows用戶端電腦加入網域時，電腦上的Messenger服務會連線到網域控制站，並開啟其安全通道。

若要取得已驗證的連線，服務必須具有遠端電腦的本機安全性授權單位(LSA)信任的認證。

與網路中的其他電腦通訊時，LSA會使用本機電腦網域帳戶的認證，如同在本機系統和網路服務的安全性內容中執行的所有其他服務一樣。

本機電腦上的服務會以SYSTEM的形式執行，因此不需要向LSA呈現認證。

檔案Ksecdd.sys管理和加密這些認證，並使用LSA的本機程序呼叫。

檔案類型是DRV(驅動程式)，且稱為核心模式安全性支援提供者(SSP)，在本主題開頭的[套用至]清單中指定的版本中，FIPS140-2層級1相容。

核心模式具有電腦硬體和系統資源的完整存取權。

核心模式會阻止使用者模式服務和應用程式存取不應該存取其作業系統的重要區域。

本機安全性授權 本機安全性授權單位(LSA)是受保護的系統程式，可驗證使用者並將其記錄到本機電腦。

此外，LSA會維護電腦上本機安全性所有層面的相關資訊，(這些層面統稱為本機安全性原則)，並提供各種服務，以在名稱和安全性識別碼之間轉譯()。

安全性系統程式、本機安全性授權單位伺服器服務(LSASS)、追蹤在電腦系統上生效的安全性原則和帳戶。

LSA會根據下列兩個實體發出使用者帳戶來驗證使用者的身分識別： 本機安全性授權單位。

LSA可以檢查位於相同電腦上的SAM)資料庫(安全性帳戶管理員來驗證使用者資訊。

任何工作站或成員伺服器都可以儲存本機使用者帳戶和本機群組的相關資訊。

不過，這些帳戶只能用於存取該工作站或電腦。

本機網域或受信任網域的安全性授權單位。

LSA會連絡發出帳戶的實體，並要求驗證該帳戶是否有效，以及要求源自帳戶持有者的實體。

本機安全性授權子系統服務(LSASS)會代表使用中Windows工作階段的使用者，將認證儲存在記憶體中。

預存認證可讓使用者順暢地存取網路資源，例如檔案共用、ExchangeServer信箱和SharePoint網站，而不需要重新輸入每個遠端服務的認證。

LSASS可以使用多種形式儲存認證，包括： 可回復的已加密純文字 Kerberos票證(票證授與票證(TGT)、服務票證) NT雜湊 LANManager(LM)雜湊 如果使用者使用智慧卡登入Windows，LSASS不會儲存純文字密碼，但會儲存帳戶的對應NT雜湊值，以及智慧卡的純文字PIN。

如果為互動式登入所需的智慧卡啟用帳戶屬性，則會為帳戶自動產生隨機NT雜湊值，而不是原始的密碼雜湊。

設定屬性時自動產生的密碼雜湊不會變更。

如果使用者以與LANManager(LM)雜湊相容的密碼登入以Windows為基礎的電腦，此驗證器會出現在記憶體中。

您不能停用在記憶體中純文字認證的儲存體，即使需要它們的認證提供者已被停用。

預存認證會直接與本機安全性授權單位子系統服務(LSASS)登入會話相關聯，這些會話已在上次重新開機後啟動，且尚未關閉。

例如，當使用者執行下列其中一項動作時，會建立具有儲存的LSA認證的LSA工作階段： 登入電腦上的本機會話或遠端桌面通訊協定(RDP)會話 使用[RunAs]選項執行工作 在電腦上執行使用中的Windows服務 執行排程的工作或批次工作 使用遠端系統管理工具在本機電腦上執行工作 在某些情況下，LSA秘密是只有SYSTEM帳戶進程可存取的秘密資料片段，會儲存在硬碟上。

部分這些密碼是重新開機後必須保留的認證，它們是以加密形式儲存在硬碟上。

儲存為LSA密碼的認證可能包括： 電腦ActiveDirectory網域服務(ADDS)帳戶的帳戶密碼 電腦上設定的Windows服務的帳戶密碼 已設定排程工作的帳戶密碼 IIS應用程式集區及網站的帳戶密碼 Microsoft帳戶的密碼 在Windows8.1中引進，用戶端作業系統會為LSA提供額外的保護，以防止非受保護的進程讀取記憶體和程式碼插入。

此保護會增加LSA儲存和管理之認證的安全性。

如需這些額外保護的詳細資訊，請參閱設定其他LSA保護。

快取認證和驗證 驗證機制依賴在登入時呈現認證。

不過，當電腦與網域控制站中斷連線，且使用者呈現網域認證時，Windows會在驗證機制中使用快取認證的程式。

每次使用者登入網域時，Windows會快取提供的認證，並將其儲存在作業系統登錄的安全性Hive中。

使用快取的認證，使用者可以登入網域成員，而不需要連線到該網域內的網域控制站。

認證儲存體和驗證 不一定想要使用一組認證來存取不同的資源。

例如，系統管理員可能想要在存取遠端伺服器時使用系統管理，而不是使用者認證。

同樣地，如果使用者存取外部資源，例如銀行帳戶，則他們只能使用與其網域認證不同的認證。

下列各節說明目前版本的Windows作業系統與WindowsVista和WindowsXP作業系統之間的認證管理差異。

遠端登入認證程式 遠端桌面通訊協定(RDP)會使用Windows8引進的遠端桌面用戶端來管理連線到遠端電腦之使用者的認證。

純文字格式的認證會傳送至主機嘗試執行驗證程式的目標主機，如果成功，則會將使用者連線到允許的資源。

RDP不會將認證儲存在用戶端上，但使用者的網域認證會儲存在LSASS中。

在WindowsServer2012R2和Windows8.1中引進，受限制的系統管理模式為遠端登入案例提供額外的安全性。

這種遠端桌面模式會導致用戶端應用程式使用NT單向函式執行網路登入挑戰回應，(NTOWF)或使用Kerberos服務票證向遠端主機進行驗證。

驗證系統管理員之後，系統管理員在LSASS中沒有個別的帳號憑證，因為它們未提供給遠端主機。

相反地，系統管理員具有會話的電腦帳號憑證。

系統管理員認證不會提供給遠端主機，因此動作會以電腦帳戶的形式執行。

資源也僅限於電腦帳戶，而且系統管理員無法使用自己的帳戶存取資源。

自動重新開機登入認證程式 當使用者在Windows8.1裝置上登入時，LSA會將使用者認證儲存在加密的記憶體中，只有LSASS.exe才能存取。

當WindowsUpdate在沒有使用者存在的情況下起始自動重新開機時，這些認證會用來設定使用者的自動登入。

重新開機時，使用者會透過自動登入機制自動登入，然後電腦會另外鎖定以保護使用者的會話。

鎖定是透過Winlogon起始，而認證管理是由LSA完成。

藉由在主控台上自動登入和鎖定使用者的會話，使用者的鎖定畫面應用程式會重新開機並可供使用。

如需ARSO的詳細資訊，請參閱Winlogon自動重新開機Sign-On(ARSO)。

WindowsVista和WindowsXP中儲存的使用者名稱和密碼 在WindowsServer2008中，WindowsServer2003、WindowsVista和WindowsXP、主控台中的預存使用者名稱和密碼，可簡化管理及使用多個登入認證的集合，包括搭配智慧卡和Windows使用的X.509憑證即時認證(現在稱為Microsoft帳戶)。

認證-使用者設定檔的一部分會儲存到需要為止。

此動作可以藉由確保一個密碼遭到入侵，而不會危害所有安全性，藉此提高每個資源的安全性。

當使用者登入並嘗試存取其他受密碼保護的資源之後，例如伺服器上的共用，而且如果使用者的預設登入認證不足以取得存取權，則會查詢預存的使用者名稱和密碼。

如果已將具有正確登入資訊的替代認證儲存在預存的使用者名稱和密碼中，這些認證會用來取得存取權。

否則，系統會提示使用者提供新的認證，之後可以在登入會話或後續會話中儲存以供重複使用。

適用以下限制： 如果[預存使用者名稱]和[密碼]包含特定資源的無效或不正確認證，則會拒絕存取資源，而且[預存的使用者名稱與密碼]對話方塊不會出現。

預存的使用者名稱和密碼只會儲存NTLM、Kerberos通訊協定、Microsoft帳戶(先前WindowsLiveID)，以及安全通訊端層(SSL)驗證的認證。

某些版本的InternetExplorer會維護自己的快取，以進行基本驗證。

這些認證會成為\Documents和設定\Username\ApplicationData\Microsoft\Credentials目錄中使用者本機設定檔的加密部分。

因此，如果使用者的網路原則支援漫遊使用者策略，這些認證就可以與使用者漫遊。

不過，如果使用者在兩部不同的電腦上有預存使用者名稱和密碼的複本，並變更與其中一部電腦上資源相關聯的認證，則變更不會傳播到第二部電腦上的預存使用者名稱和密碼。

Windows保存庫和認證管理員 認證管理員是在WindowsServer2008R2中引進，Windows7作為儲存和管理使用者名稱和密碼的主控台功能。

認證管理員可讓使用者將與其他系統和網站相關的認證儲存在安全Windows保存庫中。

某些InternetExplorer版本會使用此功能向網站進行驗證。

使用認證管理員的認證管理是由本機電腦上的使用者所控制的。

使用者可以儲存和存放支援的瀏覽器及Windows應用程式的認證，便於在需要登入這些資源時使用。

認證會儲存在使用者設定檔下電腦上的特殊加密資料夾中。

支援此功能的應用程式(透過使用認證管理員API)，例如網頁瀏覽器和應用程式，可以在登入程式期間將正確的認證呈現給其他電腦和網站。

當網站、應用程式或其他電腦透過NTLM或Kerberos通訊協定要求驗證時，會出現一個對話方塊，您可以在其中選取[更新預設認證]或[儲存密碼]核取方塊。

此對話方塊可讓使用者在本機儲存認證，是由支援認證管理員API的應用程式所產生。

如果使用者選取[儲存密碼]核取方塊，認證管理員會持續追蹤使用者的使用者名稱、密碼，以及正在使用中驗證服務的相關資訊。

下次使用服務時，認證管理員會自動提供儲存在WindowsVault中的認證。

如果不接受這個認證，則會提示使用者輸入正確的存取資訊。

如果使用新的認證授與存取權，認證管理員會以新的認證覆寫先前的認證，然後將新的認證儲存在Windows保存庫中。

安全性帳戶管理員資料庫 安全性帳戶管理員(SAM)是儲存本機使用者帳戶和群組的資料庫。

它存在於每個Windows作業系統中;不過，當電腦加入網域時，ActiveDirectory會管理ActiveDirectory網域中的網域帳戶。

例如，執行Windows作業系統的用戶端電腦會藉由與網域控制站通訊來參與網路網域，即使沒有使用者登入亦然。

若要起始通訊，電腦必須在網域中具有作用中的帳戶。

在接受來自電腦的通訊之前，網域控制站上的LSA會驗證電腦的身分識別，然後建構電腦的安全性內容，就像對人類安全性主體所做的一樣。

此安全性內容會定義特定電腦上使用者或服務的身分識別和功能，或網路上的使用者、服務或電腦。

例如，安全性內容中包含的存取權杖會定義資源(，例如可以存取的檔案共用或印表機)，以及可存取的動作(，例如讀取、寫入或修改)，該主體可以執行的資源-使用者、電腦或服務在該資源上。

使用者或電腦的安全性內容可能會因電腦而異，例如當使用者登入伺服器或使用者本身主要工作站以外的工作站時。

它也可以因會話而異，例如當系統管理員修改使用者的許可權時。

此外，當使用者或電腦以獨立、網路或ActiveDirectory網域的一部分運作時，安全性內容通常不同。

本機網域和受信任的網域 當兩個網域之間存在信任時，每個網域的驗證機制都會依賴來自另一個網域的驗證有效性。

信任可藉由確認傳入驗證要求來自信任的授權單位(信任網域)，協助(信任網域)，提供資源網域中共用資源的受控制存取權。

如此一來，信任就會作為橋接器，讓驗證的驗證要求在網域之間移動。

特定信任傳遞驗證要求的方式取決於其設定方式。

信任關係可以是單向的，方法是將信任網域的存取權提供給信任網域中的資源，或提供從每個網域存取另一個網域中資源的雙向存取權。

信任也是非交易的，在此情況下，信任只存在於兩個信任夥伴網域之間，或可轉移，在此情況下，信任會自動延伸到任一夥伴信任的任何其他網域。

如需有關驗證之網域和樹系信任關係的資訊，請參閱委派的驗證和信任關聯性。

Windows驗證中的憑證 公開金鑰基礎結構(PKI)是軟體、加密技術、程式和服務的組合，可讓組織保護其通訊和商務交易。

PKI保護通訊和商務交易的能力，是以已驗證使用者與信任資源之間的數位憑證交換為基礎。

數位憑證是一份電子檔，其中包含其所屬實體的相關資訊、它所發行的實體、唯一序號或其他一些唯一識別、發行和到期日，以及數位指紋。

驗證是判斷遠端主機是否可信任的程式。

若要建立其可信度，遠端主機必須提供可接受的驗證憑證。

遠端主機會從憑證授權單位單位取得憑證，(CA)來建立其信任度。

CA接著可以擁有來自較高授權單位的認證，以建立信任鏈結。

若要判斷憑證是否值得信任，應用程式必須判斷根CA的身分識別，然後判斷它是否值得信任。

同樣地，遠端主機或本機電腦必須判斷使用者或應用程式出示的憑證是否為真確。

透過LSA和SSPI提供給使用者的憑證會評估本機電腦上的真確性，以便透過ActiveDirectory中的憑證存放區進行本機登入、網路或網域上的驗證。

若要產生憑證，驗證資料會通過雜湊演算法，例如安全雜湊演算法1(SHA1)，以產生訊息摘要。

然後，訊息摘要會使用寄件者的私密金鑰進行數位簽署，以證明訊息摘要是由寄件者產生。

注意 SHA1是Windows7和WindowsVista中的預設值，但已變更為Windows8中的SHA2。

智慧卡驗證 智慧卡技術是憑證型驗證的範例。

使用智慧卡登入網路可提供強式驗證形式，因為它會在向網域驗證使用者時使用密碼編譯型識別和擁有權證明。

ActiveDirectory憑證服務(ADCS)會透過發行每個智慧卡的登入憑證來提供密碼編譯型識別。

如需智慧卡驗證的相關資訊，請參閱Windows智慧卡技術參考。

虛擬智慧卡技術是在Windows8引進。

它會將智慧卡的憑證儲存在電腦中，然後使用裝置的防竄改信賴平臺模組(TPM)安全性晶片來保護它。

如此一來，電腦實際上就會變成智慧卡，必須接收使用者的PIN才能進行驗證。

遠端和無線驗證 遠端和無線網路驗證是另一種使用憑證進行驗證的技術。

網際網路驗證服務(IAS)和虛擬私人網路伺服器會使用可延伸驗證Protocol-Transport層級安全性(EAP-TLS)、受保護的可延伸驗證通訊協定(PEAP)或網際網路通訊協定安全性(IPsec)，以針對許多類型的網路存取執行憑證式驗證，包括虛擬私人網路(VPN)和無線連線。

如需網路中憑證型驗證的相關資訊，請參閱網路存取驗證和憑證。

另請參閱 Windows驗證概念 本文內容