Как пройти проверку подлинности windows xp

Windows XP не прошла проверку подлинности — что делать?

Уже давно в состав обновлений Windows XP входит программа, которая проверяет вашу систему на подлинность. Грубо говоря, данный софт позволяет разработчику узнать — лицензионная или пиратская версия операционной системы установлена на вашем компьютере. Сия утилита не блокирует доступ к компьютеру, не просит отослать смс. Она лишь удаляет картинку с рабочего стола, заменяя ее на черный экран, и выводит сообщение: «Эта копия Windows не прошла проверку подлинности».

На самом деле программа допускает, что ваша система лицензионная, но по каким то причинам вам не удалось пройти проверку. Именно такой досадный случай случился у моего приятеля. Была поставлена задача — убрать сообщение с экрана, а также вернуть картинку на рабочий стол. Именно этот случай и подсобил меня написать данную статью, ибо те кто купил операционную систему легально, совсем не обязаны страдать от подобных недоразумений:

На самом деле проблема решается более чем просто. Нашим главным и единственным инструментом станет программа Autoruns, знакомая по статье «как удалить вирус с флешки». Скачать программу Autoruns можно с нашего сайта.

Итак, запускаем Autoruns, далее в списке запускаемых при старте системы программ, находим «WGALogon», которая и выводит назойливое сообщение с текстом: « Эта копия Windows не прошла проверку подлинности».

Снимаем флажок напротив этой программы и перезагружаем компьютер. Как мы видим, проблема решена просто и эффективно.
Напоследок хотелось бы произнести несколько банальных слов. Уважаемые друзья, несмотря на все вышеописанное, я очень советую ставить на свой компьютер лицензионную операционную систему и крайне не рекомендую устанавливать всевозможные сборки Windows «От Зверя» и прочих «доморощенных» производителей систем.

ДРУГИЕ СПОСОБЫ РЕШЕНИЯ ПРОБЛЕМЫ

После обновления под названием " KB905474 (Windows Genuine Advantage Notification)" , в правом нижнем углу экрана, вы будите видеть – красивую табличку

« Возможно вы приобрели поддельную копию программного обеспечения . Данная копия Windows не прошла проверку подлинности ».

за эту табличку отвечают два фаила:

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\WgaLogon.dll

WgaTray.exe постоянно «висит» в памяти, и, если его отключать через Диспетчер задач, он запускается заново.

есть несколько способ решение этой проблемы.

начнем с реестра

Для устранения таблички нужно, всего лишь подредактировать реестр Windows.

Внимание! Будьте осторожны при манипуляциях с Реестром!!!

Заходим в Пуск > Выполнить > появляется окно с названием «Запуск программы» в нем пишем regedit и жмем ОК.

Открывается редактор Реестра, в нем ищем и удаляем WgaLogon. Чтобы добраться до нужного раздела нужно зайти:

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon > Notify > WgaLogon (удаляем).

Собственно вот и все!

Если вы испытываете затруднения с ручным редактированием Реестра

Скачайте и разархивируйте файл wga.rar, Запустите файл wga.reg Появится диалоговое окно Редактора реестра «Вы действительно хотите добавить информацию из wga.reg в реестр?» – нажмите Да. Появится диалоговое окно Редактора реестра с сообщением, что данные из файла wga.reg были успешно внесены в реестр – нажмите OK.

После перезагрузки операционной системы сообщение о обнаруженной нелицензионности версии Windows — не потревожит!

Кому и это не помогло, можно воспользоваться утилитами AntiWGA 3.0, WGAOGA _Kill. Ссылки на скачивание ищите в яндекс и google.

http://www.filecluster.com/downloads/RemoveWGA.html - еще ссылка

Все действия с реестром Windows вы производите на свой страх и риск.

Windows XP не прошла проверку подлинности — что делать?

ДРУГИЕ СПОСОБЫ РЕШЕНИЯ ПРОБЛЕМЫ

После обновления под названием " KB905474 (Windows Genuine Advantage Notification)" , в правом нижнем углу экрана, вы будите видеть – красивую табличку

за эту табличку отвечают два фаила:

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\WgaLogon.dll

WgaTray.exe постоянно «висит» в памяти, и, если его отключать через Диспетчер задач, он запускается заново.

есть несколько способ решение этой проблемы.

начнем с реестра

Для устранения таблички нужно, всего лишь подредактировать реестр Windows.

Внимание! Будьте осторожны при манипуляциях с Реестром!!!

Заходим в Пуск > Выполнить > появляется окно с названием «Запуск программы» в нем пишем regedit и жмем ОК.

Открывается редактор Реестра, в нем ищем и удаляем WgaLogon. Чтобы добраться до нужного раздела нужно зайти:

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon > Notify > WgaLogon (удаляем).

Собственно вот и все!

Если вы испытываете затруднения с ручным редактированием Реестра

http://www.filecluster.com/downloads/RemoveWGA.html - еще ссылка

Все действия с реестром Windows вы производите на свой страх и риск.

Подлинность Windows XP убрать насовсем

Если используете старенький компьютер или ноутбук для просмотра фильмов, навигации в интернете и обработки офисных документов, наверняка, на нем установлена пиратская Windows XP. В связи с этим возникает необходимость отключить сервис проверки подлинности операционной системы. Им является Genuine Advantage (WGA), сообщения которого с текстом о том, что Windows не смогла пройти проверку на подлинность, постоянно выскакивают во время функционирования компьютера. За его установку отвечает критичное обновление КВ905474.

WGA является системной утилитой, устанавливаемой на ПК центром обновления. Если у вас включено автоматическое обновление XP, то после ее инсталляции Windows обязательно установит WGA. Убрать сообщение о не пройденной проверке на подлинность и деактивировать проверку подлинности ОС помогут приведенные в этой статье алгоритмы.

Избежать этого также можно, загрузив сборку Windows XP, где отсутствует эта программа и отключена функция автоматической загрузки апдейтов.

Удаление Genuine Advantage классическим методом

Удалить сервис WGA несложно. Для этого существует масса неофициальных приложений и пользовательских скриптов, но в большинстве своем антивирусные программы определяют их как вредоносное или нежелательное программное обеспечение и блокируют такие продукты. Перед запуском одной из подобных программ можно деактивировать антивирусную утилиту, но в таком случае необходимо быть уверенным на 100%, что скачали именно софт для удаления проверки подлинности XP, а не вредоносное ПО.

Загружаем программу Autoruns от Sysinternals.
С ее помощью завершаем процесс «WGALogon» (для этой цели можно использовать и «Диспетчер задач».

Переходим в каталог «System32», расположенный в системной папке «Windows» и удаляем файлs WgaTray.exe и WgaLogon.dll.

Вместо удаления файлы можете переименовать/переместить или же заархивировать на всякий случай перед тем, как удалить. Если Windows XP откажется удалять их, воспользуйтесь утилитой Unlocker.

Зайдите в каталог «dllcache» и также удалите копии этих файлов. Вообще, при наличии установочного дистрибутива Windows XP каталог можно очистить полностью – в нем хранятся копии критических системных библиотек.
Запускаем редактор реестра, введя команду «regedit» в окне «Выполнить».

Используя поисковую строку, находим все кусты (WgaLogon и WgaNotify) относящиеся к WGA, и удаляем их, дабы убрать все воспоминания о продукте.

После перезапуска компьютера сообщение о не пройденной подлинности больше не появятся.

Удаление обновления для Genuine Advantage

Зная, что обновление с кодом КВ905474 отвечает за установку WAG, можно деинсталлировать это обновление, дабы избавиться от программы для проверки подлинности ОС.

Посещаем «Панель управления», чтобы вызвать системное приложение для установки и удаления программ.
Отмечаем флажком опцию «Показать обновления» и находим приложение с кодом КВ905474.
Выделяем его и выбираем «Удалить» после двойного клика по строке, убедившись, что выбрано верное обновление.

Запускаем центр обновлений в «Панели инструментов» и выбираем любой подходящий вариант получения обновлений, кроме первого, или вообще деактивируем эту функцию, дабы Windows XP не смогла установить КВ905474 автоматически в фоновом режиме.

Таким образом вы обеспечите невозможность инсталлировать WAG без вашего ведома (в случае 2-го или 3-го варианта, или запретите обновление при выборе 4-й опции), ввиду чего проверка подлинности операционной системы работать не будет. Соблазнительные учительницы становятся главными объектами сексуальных фантазий юных студентов – шикарная фигура опытной дамы не оставляет равнодушным ни одного парня. Молодые мужчины мечтают трахнуть зрелую барышню, а на //uchilki.net они могут просмотреть большой ассортимент видео со страстным сексом на учительском столе. Ресурс содержит большое количество роликов, на которых опытные училки подставляют свой клитор для кунилингуса, а затем с наслаждением сосут чувствительный член юноши, доставляя парню море удовольствия.

Удаляем каталог «KB905474» в директории «Windows\System32».

подлиннасть Windows

Удаляем черный экран, при загрузки Windows 7, XP

Что делать если у Вас появилась надпись: эта копия Windows не прошла проверку подлинности, (по другому еще называют черный экран смерти). Конечно же у кого лицензионная версия ОС, те могут не переживать. Выход всегда есть и активируем (оживем) ОС заново, будь это Windows XP или Windows 7. По крайне мере у меня на Виндовсе было у обоих сразу и эти проблемы устранены.

Запомните одно! После установки любой не лицензионной Windows, систему не обновляем, а снимаете галочку "обновление" и не каких проблем не будет.

Но если появился на рабочем столе "черный экран", с надписью "Возможно, вы приобрели поддельную копию программного обеспечения". Эта копия Windows не прошла проверку подленности. При этом постоянно вылезает при каждой загрузки.

Сперва разберемся с Windows XP.

Запустим редактор реестра, это - (Пуск - Выполнить - regedit - Enter)
Дальше находим раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
После этого удаляем весь раздел WgaLogon (сомневающиеся могут предварительно сделать копию этого раздела)
Делаем перезагрузку системы

После перезагрузки сообщение о проверке подленности исчезнет.

Что касается по Windows 7, убираем с помощью программы RemoveWAT2.2. У меня все ок (win7 Ultimate x86) работает и на других.

Скачайте данную программу с Deposit
Убираете старую активацию
Активируете заново
И убираете навсегда проверку на подлинность
Проверенно на последних версиях Windows включая Windows 7 build 7601 (32/64 бит)

Подробная инструкция описана в самой программе, вся операция происходит буквально в три клика.

Вы когда нибудь сталкивались с "синим экране" на мониторе, с определенной ошибкой? Нет, тогда почитайте и узнайте как устранить такую ошибку.

Чтобы не искать в интернете проблемы по Windows. Просто подпишитесь на рассылку RSS и Вы первыми получите нужную информацию.

Если у вас возникают другие проблемы с компьютером, то помогут другие секреты и советы с вашим компьютером.

Предлагаю в качестве подарка скачать бесплатную книгу: причины зависаний на ПК, восстановление данных, компьютерная сеть через электропроводку и много других интересных фишек.
Еще больше интересных новостей, а главное общение, решений ваших проблем! Добавляйтесь в телеграм - https://t.me/mycompplus

Понравилась полезная статья? Подпишитесь на RSS и получайте больше нужной информации!

Как в виндовс убрать эта копия не прошла проверку подлинности

Как в виндовс xp убрать эта копия не прошла проверку подлинности

WgaTray.exe, размером в 329 КБ, который собственно и запускает само уведомление и файлик WgaLogon.dll, размером в 231 КБ.

Как убрать сообщение о проверке подлинности в Windows XP.

Запустим редактор реестра, это — (Пуск — Выполнить WIN+R — regedit — Enter)

Дальше находим раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\WgaLogon
После этого удаляем весь раздел WgaLogon (сомневающиеся могут предварительно сделать копию этого раздела)
Делаем перезагрузку системы
После перезагрузки сообщение о проверке подлинности исчезнет.

Как убрать сообщение о проверке подлинности в Windows 7

Что касается по Windows 7, убираем с помощью программы RemoveWAT21 .
Скачайте данную программу (можете поискать ее в Интернет)
Убираете старую активацию
Активируете заново и убираете навсегда проверку на подлинность
Подробная инструкция описана в самой программе, вся операция происходит буквально в три клика.

Как пройти проверку подлинности Windows 7, XP

Что же нужно сделать для удаления назойливого уведомления? Исходя из вышесказанного, ответ напрашивается сам — удалить или переименовать файлы, отвечающие за уведомление. Так же при установке обновления KB905474, система создала в кэше копии, которые расположены по следующему адресу:

WINDOWS\system32\DllCache\ (WgaLogon.dll, WgaTray.exe)

которые тоже можно удалить.
Также решить проблему с уведомлением можно, проведя некоторые изменения в реестре Windows. Ключ, отвечающий за работу
уведомления, расположен в реестре по адресу

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Winlogon\Notify\WgaLogon.

Заходим в реестр, через Пуск → выполнить, набираем команду regedit и, проникнув по ветке к ключу WgaLogon, удаляем его.

Работая с реестром надо быть предельно осторожным, не натворив непоправимых ошибок. Для тех, кто не имеет опыта или просто опасается этих манипуляции, в помощь придет программа Autoruns, которая дает доступ к реестру и всем запущенным в нем процессам. Запускаем Autoruns, переходим на вкладку Winlogon, убираем галочку напротив ключа WgaLogon, закрываем программу и перезагружаемся. В представленном случае данного ключа нет, т.к. к радости система не поражена этой гадостью. Также, щелкнув по вкладке Everything, можно получить доступ ко всем процессам запущенным в системе, проведя чистку от вредоносных программ и баннеров.

Вариант с hosts

Находим файл hosts, расположенный по адресу:

\Windows\system32\drivers\etc\hosts

открываем его с помощью блокнота и вписываем внизу в него следующую строчу:

127.0.0.1 mpa.one.microsoft.com

Затем, открыв доступ к скрытым папкам удаляем следующий файл Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat.
После этого, зайдя на Windows Update, без проблем обновляетесь.
После проведенных операций нужно перезагрузить компьютер.
Все, теперь ваша Windows функционирует как новая.

Как убрать окно эта копия не прошла проверку подлинности Windows.: spayte — LiveJournal

Что делать если у Вас появилась надпись: эта копия Windows не прошла проверку подлинности, (по другому еще называют черный экран смерти). Конечно же у кого лицензионная версия ОС, те могут не переживать. Совсем не обязательно полностью удалять операционную систему, достаточно воспользоваться советом. Выход всегда есть и активируем (оживем) ОС заново, будь это Windows XP или Windows 7.

На самом деле все это делает небольшая утилита, которая практически никакой опасности не представляет, а лишь не дает запуститься картинки на рабочем экране - она предполагает, что Ваша система нелицензированная, и пытается ва сказать об этом. В этом случае в системе прописываются пару файлов в директории папки WINDOWS\system32\:

WgaTray.exe, размером в 329 КБ, который собственно и запускает само уведомление

и файлик WgaLogon.dll, размером в 231 КБ.

Но если появился на рабочем столе "черный экран", с надписью:

Возможно, вы приобрели поддельную копию программного обеспечения

Эта копия Windows не прошла проверку подленности

При этом такое сообщение постоянно появляется при каждой загрузке системы.

Ну что же, попробуем вернуть все в нормальное сотояние. Для этого нас будет интересовать раздел в реестре Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\WgaLogon

Как убрать сообщение о проверке подлинности в Windows XP.

Запустим редактор реестра, это - (Пуск - Выполнить - regedit - Enter)

Дальше находим раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

После этого удаляем весь раздел WgaLogon (сомневающиеся могут предварительно сделать копию этого раздела)

Делаем перезагрузку системы

После перезагрузки сообщение о проверке подленности исчезнет.

Как убрать сообщение о проверке подлинности в Windows 7

Что касается по Windows 7, убираем с помощью программы RemoveWAT21 .

Скачайте данную программу (можете поискать ее в Интернет)

Убираете старую активацию

Активируете заново

И убираете навсегда проверку на подлинность

Подробная инструкция описана в самой программе, вся операция происходит буквально в три клика.

Как пройти проверку подлинности Windows 7, XP

Что же нужно сделать для удаления назойливого уведомления? Исходя из вышесказанного, ответ напрашивается сам - удалить или переименовать файлы, отвечающие за уведомление. Так же при установке обновления KB905474, система создала в кэше копии, которые расположены по следующему адресу:

WINDOWS\system32\DllCache\ (WgaLogon.dll, WgaTray.exe)

которые тоже можно удалить.

Также решить проблему с уведомлением можно, проведя некоторые изменения в реестре Windows. Ключ, отвечающий за работу

уведомления, расположен в реестре по адресу

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\WgaLogon.

Заходим в реестр, через Пуск → выполнить, набираем команду regedit и, проникнув по ветке к ключу

WgaLogon, удаляем его.

Работая с реестром надо быть предельно осторожным, не натворив непоправимых ошибок. Для тех, кто не имеет опыта или просто опасается этих манипуляции, в помощь придет программа Autoruns, которая дает доступ к реестру и всем запущенным в нем процессам. Запускаем Autoruns, переходим на вкладку Winlogon, убираем галочку напротив ключа WgaLogon, закрываем программу и перезагружаемся. В представленном случае данного ключа нет, т.к. к радости система не поражена этой гадостью. Также, щелкнув по вкладке Everything, можно получить доступ ко всем процессам запущенным в системе, проведя чистку

от вредоносных программ и баннеров.

На десерт - еще один вариант. Находим файл hosts, расположенный по

адресу:

\Windows\system32\drivers\etc\hosts

открываем его с помощью

блокнота и вписываем внизу в него следующую строчу:

127.0.0.1 mpa.one.microsoft.com

Затем, открыв доступ к скрытым папкам удаляем следующий файл

Documents and Settings\All Users\Application Data\
Windows Genuine Advantage\data\data.dat.

После этого, зайдя на Windows Update, без проблем обновляетесь.

После проведенных операций нужно перезагрузить компьютер. Все, теперь ваша Windows функционирует как новая.

по материалам wintech.net.ru, help-komputers.ru

Процессы учетных данных

при проверке подлинности Windows

12.10.2016
26 минут на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2016

В этом справочном разделе для ИТ-специалистов описывается, как проверка подлинности Windows обрабатывает учетные данные.

Управление учетными данными Windows - это процесс, с помощью которого операционная система получает учетные данные от службы или пользователя и защищает эту информацию для будущего представления цели аутентификации. В случае компьютера, присоединенного к домену, целью аутентификации является контроллер домена. Учетные данные, используемые при аутентификации, представляют собой цифровые документы, которые связывают личность пользователя с некоторой формой доказательства подлинности, такой как сертификат, пароль или PIN-код.

По умолчанию учетные данные Windows проверяются в базе данных диспетчера учетных записей безопасности (SAM) на локальном компьютере или в Active Directory на компьютере, присоединенном к домену, через службу Winlogon.Учетные данные собираются посредством пользовательского ввода в пользовательском интерфейсе входа в систему или программно через интерфейс прикладного программирования (API), которые должны быть представлены цели аутентификации.

Локальная информация о безопасности хранится в реестре под HKEY_LOCAL_MACHINE \ SECURITY . Сохраняемая информация включает параметры политики, значения безопасности по умолчанию и информацию об учетной записи, например, кэшированные учетные данные для входа. Здесь также хранится копия базы данных SAM, хотя она и защищена от записи.

На следующей схеме показаны необходимые компоненты и пути, по которым учетные данные проходят через систему для аутентификации пользователя или процесса для успешного входа в систему.

В следующей таблице описывается каждый компонент, который управляет учетными данными в процессе аутентификации в точке входа в систему.

Компоненты аутентификации для всех систем

Компонент	Описание
Вход в систему	Winlogon.exe - это исполняемый файл, отвечающий за управление безопасным взаимодействием с пользователем. Служба Winlogon инициирует процесс входа в операционные системы Windows, передавая учетные данные, собранные в результате действий пользователя на безопасном рабочем столе (пользовательский интерфейс входа), в Local Security Authority (LSA) через Secur32.dll.
Вход в приложение	Вход в приложение или службу, не требующий интерактивного входа. Большинство процессов, инициированных пользователем, запускаются в пользовательском режиме с использованием Secur32.dll, тогда как процессы, запускаемые при запуске, например службы, выполняются в режиме ядра с помощью Ksecdd.sys. Дополнительные сведения о пользовательском режиме и режиме ядра см. В разделах Приложения и режим пользователя или Службы и режим ядра в этом разделе.
Secur32.dll	Несколько провайдеров аутентификации, которые составляют основу процесса аутентификации.
Lsasrv.dll	Служба сервера LSA, которая обеспечивает соблюдение политик безопасности и действует как менеджер пакетов безопасности для LSA.LSA содержит функцию согласования, которая выбирает протокол NTLM или Kerberos после определения, какой протокол должен быть успешным.
Провайдеры поддержки безопасности	Набор провайдеров, которые могут индивидуально вызывать один или несколько протоколов аутентификации. Набор поставщиков по умолчанию может меняться с каждой версией операционной системы Windows, и можно писать собственные поставщики.
Netlogon.dll	Служба сетевого входа в систему выполняет следующие службы: - Поддерживает безопасный канал компьютера (не путать с Schannel) к контроллеру домена. - передает учетные данные пользователя через защищенный канал контроллеру домена и возвращает идентификаторы безопасности домена (SID) и права пользователя для пользователя. - Публикует записи ресурсов службы в системе доменных имен (DNS) и использует DNS для разрешения имен в IP-адреса контроллеров домена. - Реализует протокол репликации на основе удаленного вызова процедур (RPC) для синхронизации основных контроллеров домена (PDC) и резервных контроллеров домена (BDC).
Samsrv.dll	Менеджер учетных записей безопасности (SAM), который хранит локальные учетные записи безопасности, обеспечивает соблюдение локально сохраненных политик и поддерживает API.
Реестр	Реестр содержит копию базы данных SAM, параметры локальной политики безопасности, значения безопасности по умолчанию и информацию об учетной записи, доступную только системе.

Этот раздел содержит следующие разделы:

Ввод учетных данных для входа пользователя

В Windows Server 2008 и Windows Vista архитектура графической идентификации и проверки подлинности (GINA) была заменена моделью поставщика учетных данных, что позволило перечислять различные типы входа в систему с помощью плиток входа в систему.Обе модели описаны ниже.

Архитектура графической идентификации и аутентификации

Архитектура графической идентификации и аутентификации (GINA) применима к операционным системам Windows Server 2003, Microsoft Windows 2000 Server, Windows XP и Windows 2000 Professional. В этих системах каждый сеанс интерактивного входа в систему создает отдельный экземпляр службы Winlogon. Архитектура GINA загружается в пространство процессов, используемое Winlogon, принимает и обрабатывает учетные данные и выполняет вызовы интерфейсов аутентификации через LSALogonUser.

Экземпляры Winlogon для интерактивного входа в систему выполняются в сеансе 0. В сеансе 0 размещаются системные службы и другие критические процессы, включая процесс локальной службы безопасности (LSA).

На следующей схеме показан процесс учетных данных для Windows Server 2003, Microsoft Windows 2000 Server, Windows XP и Microsoft Windows 2000 Professional.

Архитектура поставщика учетных данных

Архитектура поставщика учетных данных применяется к версиям, указанным в списке Применимо к в начале этого раздела.В этих системах архитектура ввода учетных данных была изменена на расширяемую с использованием поставщиков учетных данных. Эти поставщики представлены разными плитками входа в систему на защищенном рабочем столе, которые допускают любое количество сценариев входа в систему - разные учетные записи для одного и того же пользователя и разные методы проверки подлинности, такие как пароль, смарт-карта и биометрия.

В архитектуре поставщика учетных данных Winlogon всегда запускает пользовательский интерфейс входа в систему после получения события защищенной последовательности внимания.Пользовательский интерфейс входа в систему запрашивает у каждого поставщика учетных данных количество различных типов учетных данных, которые поставщик настроен для перечисления. У поставщиков учетных данных есть возможность указать одну из этих плиток по умолчанию. После того, как все поставщики перечислили свои плитки, пользовательский интерфейс входа в систему отображает их для пользователя. Пользователь взаимодействует с плиткой, чтобы предоставить свои учетные данные. Пользовательский интерфейс входа в систему отправляет эти учетные данные для аутентификации.

Поставщики учетных данных не являются механизмами принудительного применения. Они используются для сбора и сериализации учетных данных.Пакеты Local Security Authority и аутентификации обеспечивают безопасность.

Поставщики учетных данных зарегистрированы на компьютере и несут ответственность за следующее:

Описание учетных данных, необходимых для аутентификации.
Обработка связи и логики с внешними центрами аутентификации.
Упаковка учетных данных для интерактивного входа и входа в сеть.

Упаковка учетных данных для интерактивного и сетевого входа включает процесс сериализации.Посредством сериализации учетных данных несколько плиток входа могут отображаться в пользовательском интерфейсе входа. Таким образом, ваша организация может управлять отображением входа в систему, например, пользователями, целевыми системами для входа в систему, доступом к сети перед входом в систему и политиками блокировки / разблокировки рабочих станций - с помощью настраиваемых поставщиков учетных данных. На одном компьютере могут сосуществовать несколько поставщиков учетных данных.

Поставщики единого входа (SSO) могут быть разработаны как стандартный поставщик учетных данных или как поставщик предварительного доступа.

Каждая версия Windows содержит одного поставщика учетных данных по умолчанию и одного поставщика предварительного доступа (PLAP) по умолчанию, также известного как поставщик SSO. Поставщик единого входа позволяет пользователям подключаться к сети перед входом в локальный компьютер. Когда этот поставщик реализован, он не перечисляет плитки в пользовательском интерфейсе входа в систему.

Поставщик единого входа предназначен для использования в следующих сценариях:

Сетевая аутентификация и вход в компьютер обрабатываются разными поставщиками учетных данных. Варианты этого сценария включают:
- У пользователя есть возможность подключиться к сети, например, подключиться к виртуальной частной сети (VPN), перед тем как войти в систему на компьютере, но это соединение не требуется.
- Сетевая аутентификация требуется для получения информации, используемой во время интерактивной аутентификации на локальном компьютере.
- За несколькими сетевыми аутентификациями следует один из других сценариев.Например, пользователь проходит аутентификацию у поставщика услуг Интернета (ISP), аутентифицируется в VPN, а затем использует учетные данные своей учетной записи для локального входа в систему.
- Кэшированные учетные данные отключены, и для аутентификации пользователя перед локальным входом в систему требуется подключение к службам удаленного доступа через VPN.
- У пользователя домена не настроена локальная учетная запись на компьютере, присоединенном к домену, и он должен установить подключение к службам удаленного доступа через VPN-соединение до завершения интерактивного входа в систему.
Сетевая аутентификация и вход в компьютер обрабатываются одним и тем же поставщиком учетных данных. В этом сценарии пользователю необходимо подключиться к сети перед входом в систему.

Список плиток входа в систему

Поставщик учетных данных перечисляет плитки входа в систему в следующих случаях:

Для операционных систем, указанных в . Применяется к списку в начале этого раздела.
Поставщик учетных данных перечисляет плитки для входа на рабочую станцию. Поставщик учетных данных обычно сериализует учетные данные для аутентификации в локальный орган безопасности. Этот процесс отображает плитки, специфичные для каждого пользователя и специфичные для целевых систем каждого пользователя.
Архитектура входа в систему и аутентификации позволяет пользователю использовать плитки, перечисленные поставщиком учетных данных, для разблокировки рабочей станции. Как правило, текущий вошедший в систему пользователь является плиткой по умолчанию, но если вошли в систему более одного пользователя, отображаются многочисленные плитки.
Поставщик учетных данных перечисляет плитки в ответ на запрос пользователя на изменение его пароля или другой личной информации, такой как ПИН. Обычно плиткой по умолчанию является текущий вошедший в систему пользователь; однако, если в систему вошли более одного пользователя, отображаются многочисленные плитки.
Поставщик учетных данных перечисляет плитки на основе сериализованных учетных данных, которые будут использоваться для проверки подлинности на удаленных компьютерах. Пользовательский интерфейс учетных данных не использует тот же экземпляр поставщика, что и пользовательский интерфейс входа в систему, разблокировка рабочей станции или изменение пароля.Поэтому информация о состоянии не может поддерживаться в поставщике между экземплярами пользовательского интерфейса учетных данных. Эта структура приводит к одной плитке для каждого входа в систему удаленного компьютера, если учетные данные были правильно сериализованы. Этот сценарий также используется в контроле учетных записей пользователей (UAC), который может помочь предотвратить несанкционированные изменения на компьютере, запрашивая у пользователя разрешение или пароль администратора перед разрешением действий, которые потенциально могут повлиять на работу компьютера или которые могут изменить настройки, влияющие на другие пользователи компьютера.

На следующей схеме показан процесс учетных данных для операционных систем, указанных в списке Применимо к в начале этого раздела.

Ввод учетных данных для входа в приложение и службу

Проверка подлинности Windows предназначена для управления учетными данными для приложений или служб, не требующих взаимодействия с пользователем. Приложения в пользовательском режиме ограничены с точки зрения того, к каким системным ресурсам они имеют доступ, в то время как службы могут иметь неограниченный доступ к системной памяти и внешним устройствам.

Системные службы и приложения транспортного уровня получают доступ к поставщику поддержки безопасности (SSP) через интерфейс поставщика поддержки безопасности (SSPI) в Windows, который предоставляет функции для перечисления пакетов безопасности, доступных в системе, выбора пакета и использования этого пакета для получить аутентифицированное соединение.

Когда соединение клиент / сервер аутентифицировано:

Приложение на стороне клиента соединения отправляет учетные данные на сервер с помощью функции SSPI InitializeSecurityContext (General) .
Приложение на стороне сервера соединения отвечает функцией SSPI AcceptSecurityContext (General) .
Функции SSPI InitializeSecurityContext (General), и AcceptSecurityContext (General) повторяются до тех пор, пока все необходимые сообщения аутентификации не будут обменены для успешной или неудачной аутентификации.
После аутентификации соединения LSA на сервере использует информацию от клиента для построения контекста безопасности, который содержит маркер доступа.
После этого сервер может вызвать функцию SSPI ImpersonateSecurityContext , чтобы прикрепить маркер доступа к потоку олицетворения для службы.

Приложения и пользовательский режим

Пользовательский режим в Windows состоит из двух систем, способных передавать запросы ввода-вывода соответствующим драйверам режима ядра: системы среды, которая запускает приложения, написанные для многих различных типов операционных систем, и интегрированной системы, которая управляет системой. конкретные функции от имени системы окружающей среды.

Интегрированная система управляет специфическими функциями операционной системы от имени системы среды и состоит из процесса системы безопасности (LSA), службы рабочей станции и службы сервера. Процесс системы безопасности имеет дело с токенами безопасности, предоставляет или отклоняет разрешения для доступа к учетным записям пользователей на основе разрешений ресурсов, обрабатывает запросы на вход и инициирует аутентификацию входа в систему, а также определяет, какие системные ресурсы операционной системе необходимо проверять.

Приложения могут работать в пользовательском режиме, в котором приложение может работать от имени любого участника, в том числе в контексте безопасности локальной системы (SYSTEM).Приложения также могут работать в режиме ядра, где приложение может работать в контексте безопасности локальной системы (SYSTEM).

SSPI доступен через модуль Secur32.dll, который представляет собой API, используемый для получения интегрированных служб безопасности для аутентификации, целостности сообщений и конфиденциальности сообщений. Он обеспечивает уровень абстракции между протоколами уровня приложений и протоколами безопасности. Поскольку для разных приложений требуются разные способы идентификации или аутентификации пользователей и разные способы шифрования данных при их перемещении по сети, SSPI предоставляет способ доступа к библиотекам динамической компоновки (DLL), которые содержат различные функции аутентификации и криптографии.Эти библиотеки DLL называются поставщиками поддержки безопасности (SSP).

Управляемые учетные записи служб и виртуальные учетные записи были введены в Windows Server 2008 R2 и Windows 7 для обеспечения важных приложений, таких как Microsoft SQL Server и Internet Information Services (IIS), с изоляцией их собственных учетных записей домена, устраняя при этом необходимость в администратор, чтобы вручную администрировать имя участника-службы (SPN) и учетные данные для этих учетных записей. Для получения дополнительных сведений об этих функциях и их роли в проверке подлинности см. Документацию по управляемым учетным записям служб для Windows 7 и Windows Server 2008 R2 и Обзор групповых управляемых учетных записей служб.

Службы и режим ядра

Хотя большинство приложений Windows работают в контексте безопасности пользователя, который их запускает, это не относится к службам. Многие службы Windows, такие как службы сети и службы печати, запускаются контроллером служб, когда пользователь запускает компьютер. Эти службы могут работать как локальная служба или локальная система и могут продолжать работать после выхода из системы последнего пользователя.

Примечание

Службы обычно запускаются в контекстах безопасности, известных как локальная система (СИСТЕМА), сетевая служба или локальная служба.В Windows Server 2008 R2 представлены службы, которые запускаются под управляемой учетной записью службы, которая является участниками домена.

Перед запуском службы контроллер службы входит в систему, используя учетную запись, назначенную для службы, а затем представляет учетные данные службы для аутентификации LSA. Служба Windows реализует программный интерфейс, который диспетчер контроллера службы может использовать для управления службой. Служба Windows может запускаться автоматически при запуске системы или вручную с помощью программы управления службами.Например, когда клиентский компьютер Windows присоединяется к домену, служба обмена сообщениями на компьютере подключается к контроллеру домена и открывает для него защищенный канал. Чтобы получить соединение с проверкой подлинности, служба должна иметь учетные данные, которым доверяет локальный центр безопасности (LSA) удаленного компьютера. При взаимодействии с другими компьютерами в сети LSA использует учетные данные для учетной записи домена локального компьютера, как и все другие службы, работающие в контексте безопасности локальной системы и сетевой службы.Службы на локальном компьютере работают как СИСТЕМА, поэтому учетные данные не нужно предоставлять LSA.

Файл Ksecdd.sys управляет этими учетными данными и шифрует их, а также использует локальный вызов процедуры в LSA. Тип файла - DRV (драйвер), известный как поставщик поддержки безопасности режима ядра (SSP), и в тех версиях, которые указаны в списке Применимо к в начале этого раздела, это FIPS 140-2 уровня 1- совместимый.

Режим ядра имеет полный доступ к аппаратным и системным ресурсам компьютера.В режиме ядра службы и приложения пользовательского режима не могут получить доступ к критическим областям операционной системы, к которым у них не должно быть доступа.

Местный орган безопасности

Local Security Authority (LSA) - это защищенный системный процесс, который аутентифицирует и регистрирует пользователей на локальном компьютере. Кроме того, LSA хранит информацию обо всех аспектах локальной безопасности на компьютере (эти аспекты в совокупности известны как локальная политика безопасности) и предоставляет различные службы для преобразования между именами и идентификаторами безопасности (SID).Процесс системы безопасности, Local Security Authority Server Service (LSASS), отслеживает политики безопасности и учетные записи, которые действуют в компьютерной системе.

LSA проверяет личность пользователя на основании того, какой из следующих двух объектов предоставил учетную запись пользователя:

Местный орган безопасности. LSA может проверить информацию о пользователе, проверив базу данных диспетчера учетных записей безопасности (SAM), расположенную на том же компьютере. Любая рабочая станция или рядовой сервер может хранить локальные учетные записи пользователей и информацию о локальных группах.Однако эти учетные записи можно использовать для доступа только к этой рабочей станции или компьютеру.
Орган безопасности для локального домена или для доверенного домена. LSA связывается с организацией, выпустившей учетную запись, и запрашивает подтверждение того, что учетная запись действительна и что запрос исходит от владельца учетной записи.

Служба подсистемы Local Security Authority (LSASS) хранит учетные данные в памяти от имени пользователей с активными сеансами Windows.Сохраненные учетные данные позволяют пользователям беспрепятственно получать доступ к сетевым ресурсам, таким как общие файловые ресурсы, почтовые ящики Exchange Server и сайты SharePoint, без повторного ввода учетных данных для каждой удаленной службы.

LSASS может хранить учетные данные в нескольких формах, в том числе:

Открытый текст с обратимым шифрованием
Билеты Kerberos (билеты выдачи билетов (TGT), служебные билеты)
NT хеш
Хэш LAN Manager (LM)

Если пользователь входит в Windows с помощью смарт-карты, LSASS не сохраняет пароль в виде открытого текста, но сохраняет соответствующее хеш-значение NT для учетной записи и текстовый ПИН-код для смарт-карты.Если атрибут учетной записи включен для смарт-карты, которая требуется для интерактивного входа в систему, для учетной записи автоматически создается случайное значение хеш-функции NT вместо исходного хеш-значения пароля. Хэш пароля, который автоматически создается при установке атрибута, не изменяется.

Если пользователь входит в систему на компьютере под управлением Windows с паролем, совместимым с хэшами LAN Manager (LM), этот аутентификатор присутствует в памяти.

Хранение учетных данных в виде открытого текста в памяти нельзя отключить, даже если требующие их поставщики учетных данных отключены.

Сохраненные учетные данные напрямую связаны с сеансами входа в систему службы подсистемы локального администратора безопасности (LSASS), которые были запущены после последнего перезапуска и не были закрыты. Например, сеансы LSA с сохраненными учетными данными LSA создаются, когда пользователь выполняет любое из следующих действий:

Вход в локальный сеанс или сеанс протокола удаленного рабочего стола (RDP) на компьютере
Запускает задачу с использованием параметра RunAs option
Запускает активную службу Windows на компьютере
Запускает запланированную задачу или пакетное задание
Запускает задачу на локальном компьютере с помощью инструмента удаленного администрирования

В некоторых случаях секреты LSA, которые представляют собой секретные фрагменты данных, доступные только процессам учетной записи SYSTEM, хранятся на жестком диске.Некоторые из этих секретов представляют собой учетные данные, которые должны сохраняться после перезагрузки, и они хранятся в зашифрованном виде на жестком диске. Учетные данные, хранящиеся как секреты LSA, могут включать:

Пароль учетной записи для учетной записи доменных служб Active Directory (AD DS) компьютера
Пароли учетных записей для служб Windows, настроенных на компьютере
Пароли учетных записей для настроенных запланированных задач
Пароли учетных записей для пулов приложений IIS и веб-сайтов
Пароли для учетных записей Microsoft

Введено в Windows 8.1, клиентская операционная система обеспечивает дополнительную защиту LSA для предотвращения чтения памяти и внедрения кода незащищенными процессами. Эта защита повышает безопасность учетных данных, которые LSA хранит и управляет.

Дополнительные сведения об этих дополнительных средствах защиты см. В разделе Настройка дополнительной защиты LSA.

Кэшированные учетные данные и проверка

Механизмы проверки полагаются на представление учетных данных во время входа в систему. Однако, когда компьютер отключен от контроллера домена, и пользователь представляет учетные данные домена, Windows использует процесс кэширования учетных данных в механизме проверки.

Каждый раз, когда пользователь входит в домен, Windows кэширует предоставленные учетные данные и сохраняет их в кусте безопасности в реестре операционной системы.

С кэшированными учетными данными пользователь может войти в систему члена домена без подключения к контроллеру домена в этом домене.

Хранение и проверка учетных данных

Не всегда желательно использовать один набор учетных данных для доступа к разным ресурсам. Например, администратор может захотеть использовать учетные данные администратора, а не пользователя при доступе к удаленному серверу.Точно так же, если пользователь обращается к внешним ресурсам, таким как банковский счет, он или она может использовать только учетные данные, которые отличаются от учетных данных их домена. В следующих разделах описаны различия в управлении учетными данными между текущими версиями операционных систем Windows и операционных систем Windows Vista и Windows XP.

Процессы учетных данных для удаленного входа

Протокол удаленного рабочего стола (RDP) управляет учетными данными пользователя, который подключается к удаленному компьютеру с помощью клиента удаленного рабочего стола, который был представлен в Windows 8.Учетные данные в виде открытого текста отправляются на целевой хост, где хост пытается выполнить процесс аутентификации и, в случае успеха, подключает пользователя к разрешенным ресурсам. RDP не хранит учетные данные на клиенте, но учетные данные домена пользователя хранятся в LSASS.

Представленный в Windows Server 2012 R2 и Windows 8.1, ограниченный режим администратора обеспечивает дополнительную безопасность для сценариев удаленного входа в систему. В этом режиме удаленного рабочего стола клиентское приложение выполняет запрос-ответ на вход в сеть с односторонней функцией NT (NTOWF) или использует билет службы Kerberos при аутентификации на удаленном узле.После аутентификации администратора у него нет соответствующих учетных данных в LSASS, поскольку они не были переданы удаленному хосту. Вместо этого у администратора есть учетные данные учетной записи компьютера для сеанса. Учетные данные администратора не предоставляются удаленному узлу, поэтому действия выполняются от имени учетной записи компьютера. Ресурсы также ограничены учетной записью компьютера, и администратор не может получить доступ к ресурсам со своей учетной записью.

Автоматический перезапуск процесса учетных данных для входа

Когда пользователь входит в систему Windows 8.1, LSA сохраняет учетные данные пользователя в зашифрованной памяти, доступной только для LSASS.exe. Когда Центр обновления Windows инициирует автоматический перезапуск без присутствия пользователя, эти учетные данные используются для настройки Autologon для пользователя.

При перезапуске пользователь автоматически входит в систему через механизм Autologon, а затем компьютер дополнительно блокируется для защиты сеанса пользователя. Блокировка инициируется через Winlogon, тогда как управление учетными данными выполняется LSA. При автоматическом входе в систему и блокировке сеанса пользователя на консоли приложения экрана блокировки пользователя перезапускаются и становятся доступными.

Дополнительные сведения об ARSO см. В разделе «Автоматический перезапуск Winlogon» (ARSO).

Сохраненные имена пользователей и пароли в Windows Vista и Windows XP

В Windows Server 2008, Windows Server 2003, Windows Vista и Windows XP сохраненные имена пользователей и пароли на панели управления упрощает управление и использование нескольких наборов учетных данных, включая сертификаты X.509, используемые со смарт-картами и Windows Живые учетные данные (теперь называемые учетной записью Microsoft).Учетные данные - часть профиля пользователя - хранятся до тех пор, пока они не понадобятся. Это действие может повысить безопасность для каждого ресурса, гарантируя, что если один пароль будет скомпрометирован, он не поставит под угрозу всю безопасность.

После того, как пользователь входит в систему и пытается получить доступ к дополнительным защищенным паролем ресурсам, таким как общий ресурс на сервере, и если учетных данных пользователя по умолчанию недостаточно для получения доступа, запрашивается Сохраненные имена пользователей и пароли . Если альтернативные учетные данные с правильной информацией для входа были сохранены в Сохраненные имена пользователей и пароли , эти учетные данные используются для получения доступа.В противном случае пользователю предлагается ввести новые учетные данные, которые затем можно сохранить для повторного использования либо позже в сеансе входа в систему, либо во время последующего сеанса.

Действуют следующие ограничения:

Если Сохраненные имена пользователей и пароли содержит недопустимые или неправильные учетные данные для определенного ресурса, доступ к этому ресурсу запрещается, и диалоговое окно Сохраненные имена пользователей и пароли не появляется.
Сохраненные имена пользователей и пароли хранит учетные данные только для NTLM, протокола Kerberos, учетной записи Microsoft (ранее Windows Live ID) и аутентификации Secure Sockets Layer (SSL).Некоторые версии Internet Explorer поддерживают собственный кеш для базовой проверки подлинности.

Эти учетные данные становятся зашифрованной частью локального профиля пользователя в каталоге \ Documents and Settings \ Username \ Application Data \ Microsoft \ Credentials. В результате эти учетные данные могут перемещаться вместе с пользователем, если сетевая политика пользователя поддерживает перемещаемые профили пользователей. Однако, если у пользователя есть копии сохраненных имен пользователей и паролей на двух разных компьютерах и он изменяет учетные данные, связанные с ресурсом на одном из этих компьютеров, изменение не распространяется на сохраненных имен пользователей и паролей на второй компьютер.

Хранилище Windows и диспетчер учетных данных

Диспетчер учетных данных

был представлен в Windows Server 2008 R2 и Windows 7 как функция панели управления для хранения и управления именами пользователей и паролями. Credential Manager позволяет пользователям хранить учетные данные, относящиеся к другим системам и веб-сайтам, в безопасном хранилище Windows. Некоторые версии Internet Explorer используют эту функцию для аутентификации на веб-сайтах.

Управление учетными данными с помощью Credential Manager контролируется пользователем на локальном компьютере.Пользователи могут сохранять и хранить учетные данные из поддерживаемых браузеров и приложений Windows, чтобы им было удобно выполнять вход на эти ресурсы. Учетные данные сохраняются в специальных зашифрованных папках на компьютере под профилем пользователя. Приложения, которые поддерживают эту функцию (с помощью API-интерфейсов Credential Manager), например веб-браузеры и приложения, могут предоставлять правильные учетные данные другим компьютерам и веб-сайтам во время процесса входа в систему.

Когда веб-сайт, приложение или другой компьютер запрашивает аутентификацию через NTLM или протокол Kerberos, появляется диалоговое окно, в котором вы устанавливаете флажок Обновить учетные данные по умолчанию или Сохранить пароль .Это диалоговое окно, позволяющее пользователю сохранять учетные данные локально, создается приложением, которое поддерживает API-интерфейсы Credential Manager. Если пользователь устанавливает флажок Сохранить пароль , Credential Manager отслеживает имя пользователя, пароль и соответствующую информацию для используемой службы аутентификации.

При следующем использовании службы Credential Manager автоматически предоставит учетные данные, которые хранятся в Windows Vault. Если он не принят, пользователю предлагается ввести правильную информацию для доступа.Если доступ предоставляется с новыми учетными данными, Credential Manager заменяет предыдущие учетные данные новыми, а затем сохраняет новые учетные данные в хранилище Windows Vault.

База данных диспетчера учетных записей безопасности

Менеджер учетных записей безопасности (SAM) - это база данных, в которой хранятся локальные учетные записи и группы пользователей. Он присутствует в каждой операционной системе Windows; однако, когда компьютер присоединяется к домену, Active Directory управляет учетными записями домена в доменах Active Directory.

Например, клиентские компьютеры под управлением операционной системы Windows участвуют в сетевом домене, связываясь с контроллером домена, даже если в систему не вошел пользователь-человек.Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. Перед принятием связи с компьютера LSA на контроллере домена проверяет подлинность компьютера, а затем создает контекст безопасности компьютера так же, как это делается для участника безопасности человека. Этот контекст безопасности определяет личность и возможности пользователя или службы на конкретном компьютере или пользователя, службы или компьютера в сети. Например, маркер доступа, содержащийся в контексте безопасности, определяет ресурсы (например, общий файловый ресурс или принтер), к которым можно получить доступ, и действия (такие как чтение, запись или изменение), которые могут быть выполнены этим принципалом - пользователем. , компьютер или сервис на этом ресурсе.

Контекст безопасности пользователя или компьютера может варьироваться от одного компьютера к другому, например, когда пользователь входит на сервер или рабочую станцию, отличную от собственной основной рабочей станции пользователя. Он также может варьироваться от сеанса к сеансу, например, когда администратор изменяет права и разрешения пользователя. Кроме того, контекст безопасности обычно отличается, когда пользователь или компьютер работают автономно, в сети или как часть домена Active Directory.

Локальные домены и доверенные домены

Когда существует доверие между двумя доменами, механизмы аутентификации для каждого домена полагаются на достоверность аутентификаций, исходящих из другого домена.Доверие помогают обеспечить контролируемый доступ к общим ресурсам в домене ресурсов (доверяющем домене) путем проверки того, что входящие запросы аутентификации поступают от доверенного центра (доверенного домена). Таким образом, доверительные отношения действуют как мосты, позволяющие передавать между доменами только проверенные запросы аутентификации.

То, как конкретное доверие передает запросы аутентификации, зависит от того, как оно настроено. Доверительные отношения могут быть односторонними, обеспечивая доступ из доверенного домена к ресурсам в доверяющем домене, или двусторонними, предоставляя доступ из каждого домена к ресурсам в другом домене.Доверительные отношения также являются либо нетранзитивными, и в этом случае доверие существует только между двумя доменами доверенных партнеров, либо транзитивными, и в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет один из партнеров.

Для получения информации о доверительных отношениях домена и леса при проверке подлинности см. Делегированная проверка подлинности и доверительные отношения.

Сертификаты при проверке подлинности Windows

Инфраструктура открытого ключа (PKI) - это комбинация программного обеспечения, технологий шифрования, процессов и услуг, которые позволяют организации защищать свои коммуникации и бизнес-транзакции.Способность PKI защищать связь и бизнес-транзакции основана на обмене цифровыми сертификатами между аутентифицированными пользователями и доверенными ресурсами.

Цифровой сертификат - это электронный документ, который содержит информацию об объекте, которому он принадлежит, об объекте, которым он был выпущен, уникальный серийный номер или другой уникальный идентификатор, даты выпуска и истечения срока действия, а также цифровой отпечаток пальца.

Аутентификация - это процесс определения, можно ли доверять удаленному хосту.Чтобы установить свою надежность, удаленный хост должен предоставить приемлемый сертификат аутентификации.

Удаленные узлы устанавливают свою надежность, получая сертификат от центра сертификации (ЦС). Центр сертификации, в свою очередь, может иметь сертификат вышестоящего органа, что создает цепочку доверия. Чтобы определить, заслуживает ли сертификат доверия, приложение должно определить идентификатор корневого ЦС, а затем определить, заслуживает ли он доверия.

Точно так же удаленный хост или локальный компьютер должен определить, является ли сертификат, представленный пользователем или приложением, подлинным.Сертификат, представленный пользователем через LSA и SSPI, оценивается на аутентичность на локальном компьютере для локального входа в систему, в сети или в домене через хранилища сертификатов в Active Directory.

Для создания сертификата данные аутентификации проходят через алгоритмы хеширования, такие как алгоритм безопасного хеширования 1 (SHA1), для создания дайджеста сообщения. Затем дайджест сообщения подписывается цифровой подписью с использованием закрытого ключа отправителя, чтобы доказать, что дайджест сообщения был создан отправителем.

Примечание

SHA1 используется по умолчанию в Windows 7 и Windows Vista, но был изменен на SHA2 в Windows 8.

Аутентификация смарт-карты

Технология смарт-карт является примером аутентификации на основе сертификатов. Вход в сеть с помощью смарт-карты обеспечивает надежную форму аутентификации, поскольку он использует идентификацию на основе криптографии и подтверждение владения при аутентификации пользователя в домене. Службы сертификатов Active Directory (AD CS) обеспечивают идентификацию на основе криптографии путем выдачи сертификата входа в систему для каждой смарт-карты.

Для получения информации об аутентификации смарт-карты см. Технический справочник по смарт-карте Windows.

Технология виртуальной смарт-карты

была представлена в Windows 8. Она хранит сертификат смарт-карты на ПК, а затем защищает его с помощью микросхемы безопасности Trusted Platform Module (TPM), защищенной от несанкционированного доступа. Таким образом, ПК фактически становится смарт-картой, которая должна получить PIN-код пользователя для аутентификации.

Удаленная и беспроводная аутентификация

Удаленная и беспроводная сетевая аутентификация - еще одна технология, использующая сертификаты для аутентификации.Служба проверки подлинности в Интернете (IAS) и серверы виртуальных частных сетей используют протокол расширенной проверки подлинности на транспортном уровне (EAP-TLS), защищенный протокол расширенной проверки подлинности (PEAP) или безопасность протокола Интернета (IPsec) для выполнения проверки подлинности на основе сертификатов для многих типов. сетевого доступа, включая виртуальную частную сеть (VPN) и беспроводные соединения.

Для получения информации об аутентификации на основе сертификатов в сети см. Аутентификация доступа к сети и сертификаты.

См. Также

Концепции проверки подлинности Windows

.Обзор проверки подлинности Windows

| Документы Microsoft

12.10.2016
5 минут на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2016

В этом разделе навигации для ИТ-специалистов перечислены ресурсы документации по технологиям проверки подлинности Windows и входа в систему, которые включают оценку продукта, руководства по началу работы, процедуры, руководства по проектированию и развертыванию, технические справочники и ссылки на команды.

Описание функции

Аутентификация - это процесс проверки личности объекта, услуги или человека. Когда вы аутентифицируете объект, цель состоит в том, чтобы убедиться, что объект подлинный. Когда вы аутентифицируете службу или человека, цель состоит в том, чтобы проверить подлинность представленных учетных данных.

В сетевом контексте аутентификация - это акт подтверждения идентичности сетевого приложения или ресурса. Как правило, идентичность подтверждается криптографической операцией, в которой используется либо ключ, известный только пользователю, как в случае с криптографией с открытым ключом, либо общий ключ.Серверная сторона обмена аутентификацией сравнивает подписанные данные с известным криптографическим ключом, чтобы подтвердить попытку аутентификации.

Хранение криптографических ключей в безопасном центральном месте делает процесс аутентификации масштабируемым и поддерживаемым. Доменные службы Active Directory - это рекомендованная технология по умолчанию для хранения идентификационной информации (включая криптографические ключи, которые являются учетными данными пользователя). Active Directory требуется для реализации NTLM и Kerberos по умолчанию.

Методы аутентификации варьируются от простого входа в систему, который идентифицирует пользователей на основе чего-то, что знает только пользователь - например, пароля, до более мощных механизмов безопасности, которые используют то, что есть у пользователя, - например, токены, сертификаты открытых ключей и биометрические данные. В бизнес-среде службы или пользователи могут обращаться к нескольким приложениям или ресурсам на многих типах серверов в одном месте или в нескольких местах. По этим причинам проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.

В операционной системе Windows реализован набор протоколов аутентификации по умолчанию, включая Kerberos, NTLM, Transport Layer Security / Secure Sockets Layer (TLS / SSL) и Digest, как часть расширяемой архитектуры. Кроме того, некоторые протоколы объединены в пакеты аутентификации, такие как Negotiate и Credential Security Support Provider. Эти протоколы и пакеты обеспечивают аутентификацию пользователей, компьютеров и служб; процесс аутентификации, в свою очередь, позволяет авторизованным пользователям и службам безопасно получать доступ к ресурсам.

Для получения дополнительных сведений об аутентификации Windows, включая

см. Технический обзор проверки подлинности Windows.

Практическое применение

Проверка подлинности Windows используется для проверки того, что информация поступает из надежного источника, будь то человек или компьютерный объект, например, другой компьютер. Windows предоставляет множество различных методов для достижения этой цели, как описано ниже.

К ...	Элемент	Описание
Аутентификация в домене Active Directory	Kerberos	В операционных системах Microsoft Windows Server реализован протокол проверки подлинности Kerberos версии 5 и расширения для проверки подлинности с открытым ключом.Клиент проверки подлинности Kerberos реализован как поставщик поддержки безопасности (SSP), и к нему можно получить доступ через интерфейс поставщика поддержки безопасности (SSPI). Первоначальная аутентификация пользователя интегрирована с архитектурой единого входа Winlogon. Центр распространения ключей Kerberos (KDC) интегрирован с другими службами безопасности Windows Server, работающими на контроллере домена. KDC использует базу данных службы каталогов Active Directory домена в качестве базы данных учетных записей безопасности. Active Directory требуется для реализации Kerberos по умолчанию. Дополнительные ресурсы см. В разделе Обзор проверки подлинности Kerberos.
Безопасная аутентификация в Интернете	TLS / SSL, реализованный в Schannel Security Support Provider	Протокол Transport Layer Security (TLS) версий 1.0, 1.1 и 1.2, протокол Secure Sockets Layer (SSL), версии 2.0 и 3.0, протокол Datagram Transport Layer Security версии 1.0 и протокол Private Communications Transport (PCT), версия 1.0 , основаны на криптографии с открытым ключом.Эти протоколы предоставляет набор протоколов аутентификации провайдера Secure Channel (Schannel). Все протоколы Schannel используют модель клиента и сервера. Дополнительные ресурсы см. В разделе TLS - SSL (Schannel SSP) Обзор.
Аутентифицироваться в веб-службе или приложении	Встроенная проверка подлинности Windows Дайджест-проверка подлинности	Дополнительные ресурсы см. В разделах «Встроенная проверка подлинности Windows и дайджест-проверка подлинности» и «Расширенная дайджест-проверка подлинности».
Аутентификация в устаревших приложениях	NTLM	NTLM - это протокол аутентификации типа запрос-ответ. В дополнение к аутентификации протокол NTLM дополнительно обеспечивает безопасность сеанса, в частности целостность и конфиденциальность сообщений посредством функций подписи и запечатывания в NTLM. Дополнительные ресурсы см. В разделе «Обзор NTLM».
Использование многофакторной аутентификации	Поддержка смарт-карт Биометрическая поддержка	Смарт-карты - это защищенный от несанкционированного доступа и портативный способ предоставить решения безопасности для таких задач, как аутентификация клиентов, вход в домены, подпись кода и защита электронной почты. Биометрия полагается на измерение неизменных физических характеристик человека, чтобы однозначно идентифицировать его. Отпечатки пальцев являются одной из наиболее часто используемых биометрических характеристик, поскольку миллионы биометрических устройств отпечатков пальцев встроены в персональные компьютеры и периферийные устройства. Дополнительные ресурсы см. В техническом справочнике по смарт-картам.
Обеспечивает локальное управление, хранение и повторное использование учетных данных	Управление учетными данными Местный орган безопасности Пароли	Управление учетными данными в Windows обеспечивает безопасное хранение учетных данных.Учетные данные собираются на Secure Desktop (для локального или доменного доступа), через приложения или через веб-сайты, так что правильные учетные данные представляются каждый раз при доступе к ресурсу.
Распространение современной защиты аутентификации на устаревшие системы	Расширенная защита для аутентификации	Эта функция улучшает защиту и обработку учетных данных при проверке подлинности сетевых подключений с помощью встроенной проверки подлинности Windows (IWA).

Требования к программному обеспечению

Windows Authentication разработана для совместимости с предыдущими версиями операционной системы Windows.Однако улучшения с каждым выпуском не обязательно применимы к предыдущим версиям. Обратитесь к документации о конкретных функциях для получения дополнительной информации.

Информация о диспетчере сервера

Многие функции проверки подлинности можно настроить с помощью групповой политики, которую можно установить с помощью диспетчера сервера. Компонент биометрической инфраструктуры Windows устанавливается с помощью диспетчера сервера. Другие роли сервера, зависящие от методов аутентификации, такие как веб-сервер (IIS) и доменные службы Active Directory, также можно установить с помощью диспетчера сервера.

вопросов и ответов о приложении Microsoft Authenticator - Azure AD

20.10.2020
17 минут на чтение

В этой статье

В этой статье даны ответы на распространенные вопросы о приложении Microsoft Authenticator. Если вы не видите ответа на свой вопрос, перейдите на форум приложения Microsoft Authenticator.

Приложение Microsoft Authenticator заменило приложение Azure Authenticator, и оно рекомендуется при использовании Многофакторной аутентификации Azure AD. Приложение Microsoft Authenticator доступно для Android и iOS.

Часто задаваемые вопросы

Регистрация устройства

Q : Согласна ли регистрация устройства предоставить компании или службе доступ к моему устройству?

A : Регистрация устройства дает вашему устройству доступ к службам вашей организации и не разрешает вашей организации доступ к вашему устройству.

Устаревшая поддержка APNs

Q : Поскольку устаревший двоичный интерфейс для службы Apple Push Notification устарел в ноябре 2020 года, как я могу продолжать использовать Microsoft Authenticator / Phone Factor для входа в систему?

A : Apple объявила о прекращении поддержки push-уведомлений, использующих ее двоичный интерфейс для устройств iOS, таких как те, которые используются Phone Factor. Чтобы и дальше получать push-уведомления, мы рекомендуем пользователям обновить свое приложение Authenticator до последней версии.А пока вы можете обойти это, вручную проверив уведомления в приложении Authenticator.

Функция блокировки приложений

Q : Что такое App Lock и как я могу использовать его для большей безопасности?

A : Блокировка приложений помогает защитить ваши одноразовые коды подтверждения, информацию о приложении и настройки приложений. Если включена блокировка приложений, вам будет предлагаться аутентифицироваться с помощью PIN-кода устройства или биометрических данных каждый раз, когда вы открываете Authenticator. Блокировка приложений также гарантирует, что вы единственный, кто может утверждать уведомления, запрашивая PIN-код или биометрические данные каждый раз, когда вы подтверждаете уведомление о входе.Вы можете включить или отключить блокировку приложений на странице настроек аутентификатора. По умолчанию блокировка приложений включается, когда вы устанавливаете PIN-код или биометрические данные на своем устройстве.

К сожалению, нет гарантии, что блокировка приложений остановит доступ к Authenticator. Это связано с тем, что регистрация устройства может происходить в других местах за пределами Authenticator, например, в настройках учетной записи Android или в приложении корпоративного портала.

Windows Mobile устарела

Q : У меня устройство Windows Mobile, и Microsoft Authenticator в Windows Mobile устарел.Могу ли я продолжить аутентификацию с помощью приложения?

A : Все проверки подлинности с использованием Microsoft Authenticator в Windows Mobile будут отключены после 15 июля 2020 г. Мы настоятельно рекомендуем использовать альтернативный метод проверки подлинности, чтобы избежать блокировки ваших учетных записей.
Альтернативные варианты для корпоративных пользователей включают:

Альтернативные варианты для пользователей личной учетной записи Microsoft включают:

Скриншоты Android

Q : Могу ли я сделать скриншоты кодов одноразового пароля (OTP) на Android Authenticator?

A : Начиная с версии 6.2003.1704 Authenticator Android, по умолчанию все коды OTP скрыты каждый раз, когда делается снимок экрана Authenticator. Если вы хотите видеть свои коды OTP на снимках экрана или разрешить другим приложениям захватывать экран Authenticator, вы можете. Просто включите Screen Capture в Authenticator и перезапустите приложение.

Удалить сохраненные данные

Q : Какие данные Authenticator хранит от моего имени и как я могу их удалить?

A : приложение Authenticator собирает информацию трех типов:

Информация об учетной записи, которую вы предоставляете при добавлении учетной записи.Эти данные можно удалить, удалив вашу учетную запись.
Данные журнала диагностики, которые остаются только в приложении, пока вы не выберете Отправить журналы меню приложения Справка для отправки журналов в Microsoft. Эти журналы могут содержать личные данные, такие как адреса электронной почты, адреса серверов или IP-адреса. Они также могут содержать данные об устройстве, такие как имя устройства и версия операционной системы. Любые собранные личные данные ограничиваются информацией, необходимой для устранения проблем с приложением. Вы можете просмотреть эти файлы журнала в приложении в любое время, чтобы увидеть собираемую информацию.Если вы отправите файлы журнала, инженеры приложения для аутентификации будут использовать их только для устранения проблем, о которых сообщили клиенты.
Данные об использовании, не позволяющие установить личность, такие как «началось добавление потока учетной записи / успешно добавлена учетная запись» или «уведомление одобрено». Эти данные являются неотъемлемой частью наших инженерных решений. Ваше использование помогает нам определить, где мы можем улучшить приложения важными для вас способами. Вы видите уведомление об этом сборе данных, когда используете приложение в первый раз.Затем он информирует вас, что его можно отключить на странице Настройки приложения. Вы можете включить или выключить этот параметр в любое время.

Коды в приложении

Q : Для чего нужны коды в приложении?

A : при открытии Authenticator вы увидите свои добавленные учетные записи в виде плиток. Ваши рабочие или учебные учетные записи и ваши личные учетные записи Microsoft будут иметь шестизначные или восьмизначные числа, видимые в полноэкранном режиме учетной записи (доступ к которому осуществляется нажатием плитки учетной записи).Для других учетных записей вы увидите шестизначное или восьмизначное число на странице Аккаунты приложения.
Вы будете использовать эти коды в качестве одноразового пароля, чтобы подтвердить, что вы являетесь тем, кем себя называете. После того, как вы войдете в систему со своим именем пользователя и паролем, вы введете проверочный код, связанный с этой учетной записью. Например, если вы, Кэти, входите в свою учетную запись Contoso, вы должны нажать плитку учетной записи и затем ввести код подтверждения 895823. Для учетной записи Outlook вы выполните те же действия.
Коснитесь плитки учетной записи Contoso.

После касания плитки учетной записи Contoso код подтверждения отображается в полноэкранном режиме.

Таймер обратного отсчета

Q : Почему число рядом с кодом продолжает обратный отсчет?

A : рядом с активным кодом подтверждения вы можете увидеть 30-секундный таймер обратного отсчета. Этот таймер предназначен для того, чтобы вы никогда не входили в систему, используя один и тот же код дважды. В отличие от пароля, мы не хотим, чтобы вы запоминали этот номер.Идея в том, что ваш код знает только тот, у кого есть доступ к вашему телефону.

Плитка счета серого цвета

Q : Почему плитка моей учетной записи серая?

A : Некоторым организациям требуется Authenticator для работы с единым входом и защиты ресурсов организации. В этой ситуации учетная запись не используется для двухэтапной проверки и отображается серым цветом или неактивна. Счет этого типа часто называют «брокерским».

Регистрация устройства

Q : Что такое регистрация устройства? A : ваша организация может потребовать от вас зарегистрировать устройство для отслеживания доступа к защищенным ресурсам, таким как файлы и приложения.Они также могут включить условный доступ, чтобы снизить риск нежелательного доступа к этим ресурсам. Вы можете отменить регистрацию устройства в Параметры , но вы можете потерять доступ к электронной почте в Outlook, файлам в OneDrive, и вы потеряете возможность использовать вход с телефона.

Коды проверки при подключении

Q : Нужно ли мне быть подключенным к Интернету или моей сети, чтобы получить и использовать коды подтверждения?

A : коды не требуют, чтобы вы были в Интернете или подключены к данным, поэтому вам не нужна телефонная связь для входа.Кроме того, поскольку приложение перестает работать, как только вы его закрываете, оно не разряжает вашу батарею.

Нет уведомлений при закрытии приложения

Q : Почему я получаю уведомления только тогда, когда приложение открыто? Когда приложение закрыто, я не получаю уведомлений.

A : если вы получаете уведомления, но не получаете оповещение, даже при включенном звонке, вам следует проверить настройки приложения. Убедитесь, что приложение включено, чтобы использовать звук или вибрировать для уведомлений.Если вы вообще не получаете уведомления, проверьте следующие условия:

На вашем телефоне режим «Не беспокоить» или «Тихий»? Эти режимы могут запретить приложениям отправлять уведомления.
Можно ли получать уведомления от других приложений? В противном случае это может быть проблема с сетевыми подключениями на вашем телефоне или каналом уведомлений от Android или Apple. Вы можете попытаться разрешить сетевые подключения через настройки телефона. Возможно, вам придется поговорить со своим поставщиком услуг, чтобы помочь с каналом уведомлений Android или Apple.
Можно ли получать уведомления для некоторых учетных записей в приложении, но не для других? Если да, удалите проблемную учетную запись из своего приложения, снова добавьте ее, разрешив уведомления, и посмотрите, решит ли это проблему.

Если вы выполнили все эти шаги, но проблемы по-прежнему возникают, мы рекомендуем отправить файлы журнала для диагностики. Откройте приложение, перейдите в Справка , а затем выберите Отправить журналы . После этого перейдите на форум приложения Microsoft Authenticator и расскажите нам о проблеме, которую вы видите, и действиях, которые вы пытались сделать.

Перейти на push-уведомления

Q : Я использую коды подтверждения в приложении, но как мне переключиться на push-уведомления?

A : вы можете настроить уведомления для своей рабочей или учебной учетной записи (если это разрешено вашим администратором) или для своей личной учетной записи Microsoft. Уведомления не будут работать для сторонних учетных записей, таких как Google или Facebook.
Чтобы переключить личную учетную запись на уведомления, вам необходимо повторно зарегистрировать свое устройство в этой учетной записи.Перейдите к Добавить учетную запись , выберите Личная учетная запись Microsoft , а затем войдите в систему, используя свое имя пользователя и пароль.
Для вашей рабочей или учебной учетной записи ваша организация решает, разрешать ли уведомления одним щелчком мыши.

Уведомления для других аккаунтов

Q : Работают ли уведомления для учетных записей сторонних разработчиков?

A : Нет, уведомления работают только с учетными записями Microsoft и Azure Active Directory. Если на работе или в учебном заведении используются учетные записи Azure AD, они могут отключить эту функцию.

Резервное копирование и восстановление

Q : Я получил новое устройство или восстановил свое устройство из резервной копии. Как мне снова настроить свои учетные записи в Authenticator?

A : Если вы включили Cloud Backup на своем старом устройстве, вы можете использовать старую резервную копию для восстановления учетных данных своей учетной записи на новом устройстве iOS или Android. Дополнительные сведения см. В статье Резервное копирование и восстановление учетных данных с помощью Authenticator.

Утерянное устройство

Q : Я потерял устройство или перешел на новое устройство.Как убедиться, что уведомления не продолжают приходить на мое старое устройство?

A : Добавление Authenticator на новое устройство не приводит к автоматическому удалению приложения со старого устройства. Недостаточно даже удалить приложение со старого устройства. Вы должны как удалить приложение со своего старого устройства, так и сказать Microsoft или вашей организации, чтобы они забыли и отменили регистрацию старого устройства.

Чтобы удалить приложение с устройства, используя личную учетную запись Microsoft. Перейдите в область двухэтапной проверки на странице безопасности учетной записи и отключите проверку для своего старого устройства.
Чтобы удалить приложение с устройства, используя рабочую или учебную учетную запись Microsoft. Перейдите в область двухэтапной проверки на странице «Мои приложения» или на настраиваемом портале вашей организации, чтобы отключить проверку для своего старого устройства.

Удалить аккаунт из приложения

Q : Как удалить учетную запись из приложения?

A : коснитесь плитки учетной записи, которую вы хотите удалить из приложения, чтобы просмотреть ее в полноэкранном режиме. Нажмите Удалить учетную запись , чтобы удалить учетную запись из приложения.
Если у вас есть устройство, зарегистрированное в вашей организации, вам может потребоваться дополнительный шаг для удаления вашей учетной записи. На этих устройствах Authenticator автоматически регистрируется как администратор устройства. Если вы хотите полностью удалить приложение, вам необходимо сначала отменить регистрацию приложения в настройках приложения.

Слишком много разрешений

Q : Почему приложение запрашивает так много разрешений?

A : Вот полный список разрешений, которые могут быть запрошены, и способы их использования приложением.Конкретные разрешения, которые вы видите, будут зависеть от типа вашего телефона.

Используйте биометрическое оборудование. Для некоторых рабочих и учебных учетных записей требуется дополнительный ПИН-код при каждом подтверждении своей личности. Приложение требует вашего согласия на использование биометрических данных или распознавания лиц вместо ввода PIN-кода.
Камера. Используется для сканирования QR-кодов при добавлении рабочей, учебной или сторонней учетной записи.
Контакты и телефон. Приложению требуется это разрешение для поиска рабочих или учебных учетных записей Майкрософт на вашем телефоне и добавления их в приложение за вас.
SMS. Используется, чтобы убедиться, что ваш номер телефона совпадает с записанным, когда вы впервые входите в свою личную учетную запись Microsoft. Мы отправляем текстовое сообщение на телефон, на который вы установили приложение, с кодом подтверждения из 6–8 цифр. Вам не нужно искать и вводить этот код, потому что Authenticator автоматически находит его в текстовом сообщении.
Рисуйте поверх других приложений. Полученное вами уведомление, подтверждающее вашу личность, также отображается в любом другом запущенном приложении.
Получать данные из Интернета. Это разрешение требуется для отправки уведомлений.
Не позволяет телефону переходить в спящий режим. Если вы зарегистрируете свое устройство в своей организации, ваша организация может изменить эту политику на вашем телефоне.
Контроль вибрации. Вы можете выбрать, хотите ли вы, чтобы при получении уведомления для подтверждения вашей личности звучала вибрация.
Используйте оборудование для снятия отпечатков пальцев. Для некоторых рабочих и учебных учетных записей требуется дополнительный ПИН-код при каждом подтверждении своей личности.Чтобы упростить процесс, мы разрешаем вам использовать отпечаток пальца вместо ввода PIN-кода.
Просмотр сетевых подключений. Когда вы добавляете учетную запись Microsoft, приложению требуется подключение к сети / Интернету.
Прочитать содержимое вашего хранилища . Это разрешение используется только в том случае, если вы сообщаете о технической проблеме через настройки приложения. Некоторая информация из вашего хранилища собирается для диагностики проблемы.
Полный доступ к сети. Это разрешение требуется для отправки уведомлений для подтверждения вашей личности.
Запускать при запуске. Если вы перезагрузите телефон, это разрешение гарантирует, что вы продолжите получать уведомления для подтверждения вашей личности.

Принимать заявки без разблокировки

Q : Почему Authenticator позволяет утверждать запрос без разблокировки устройства?

A : Вам не нужно разблокировать устройство, чтобы утверждать запросы на подтверждение, потому что все, что вам нужно доказать, это то, что у вас есть телефон.Двухэтапная проверка требует подтверждения двух вещей - того, что вы знаете, и того, что у вас есть. Вы знаете свой пароль. У вас есть телефон (настроенный с помощью Authenticator и зарегистрированный как доказательство многофакторной аутентификации). Таким образом, наличие телефона и подтверждение запроса соответствуют критериям для второго фактора аутентификации.

Уведомления об активности

Q : Почему я получаю уведомления о действиях в моей учетной записи?

A : Уведомления о действиях отправляются в Authenticator сразу после внесения изменений в ваши личные учетные записи Microsoft, что помогает обеспечить большую безопасность.Ранее мы отправляли эти уведомления только по электронной почте и SMS. Дополнительные сведения об этих уведомлениях об активности см. В разделе Что произойдет, если в вашу учетную запись войдет необычный режим. Чтобы изменить место получения уведомлений, войдите в свою учетную запись на странице «Где мы можем связаться с вами с некритическими предупреждениями».

Одноразовые коды доступа

Q : Мои одноразовые коды доступа не работают. Что я должен делать?

A : Убедитесь, что дата и время на вашем устройстве правильные и синхронизируются автоматически.Если дата и время неправильные или не синхронизированы, код не будет работать.

Windows 10 Mobile

Q : Операционная система Windows 10 Mobile устарела с декабря 2019 года. Будет ли устаревать также Microsoft Authenticator в операционных системах Windows Mobile?

A : Authenticator во всех операционных системах Windows Mobile не будет поддерживаться после 28 февраля 2020 г. Пользователи не будут иметь права на получение каких-либо новых обновлений для приложения после указанной выше даты.После 28 февраля 2020 года службы Microsoft, которые в настоящее время поддерживают аутентификацию с использованием Microsoft Authenticator во всех операционных системах Windows Mobile, прекратят свою поддержку. Для аутентификации в службах Microsoft мы настоятельно рекомендуем всем нашим пользователям перейти на альтернативный механизм аутентификации до этой даты.

Почтовое приложение по умолчанию

Q : При входе в свою рабочую или учебную учетную запись с помощью почтового приложения по умолчанию, которое поставляется с iOS, я получаю запрос от Authenticator о моей проверочной информации.После ввода этой информации и возврата в почтовое приложение я получаю сообщение об ошибке. Что я могу сделать?

A : Скорее всего, это происходит из-за того, что ваш вход и ваше почтовое приложение выполняются в двух разных приложениях, что приводит к прекращению работы и сбою первоначального фонового процесса входа. Чтобы попытаться исправить это, мы рекомендуем вам выбрать значок Safari в нижней правой части экрана при входе в почтовое приложение. При переходе в Safari весь процесс входа в систему происходит в одном приложении, что позволяет успешно войти в приложение.

Apple Watch, часы OS 7

Q : Почему у меня возникают проблемы с Apple Watch на watchOS 7?

A : существует проблема с утверждением уведомлений в watchOS 7, и мы работаем с Apple, чтобы исправить это. Между тем, любые уведомления, для которых требуется приложение Microsoft Authenticator watchOS, должны быть одобрены на вашем телефоне.

Apple Watch не показывает учетные записи

Q : Почему не все мои учетные записи отображаются, когда я открываю Authenticator на своих Apple Watch?

A : Authenticator поддерживает только личные, учебные или рабочие учетные записи Microsoft с push-уведомлениями в приложении-компаньоне Apple Watch.Для других ваших учетных записей, таких как Google или Facebook, вам необходимо открыть приложение Authenticator на своем телефоне, чтобы увидеть свои коды подтверждения.

Уведомления Apple Watch

Q : Почему я не могу одобрить или отклонить уведомления на Apple Watch?

A : Сначала убедитесь, что вы обновили Authenticator до версии 6.0.0 или более поздней на своем iPhone. После этого откройте сопутствующее приложение Microsoft Authenticator на Apple Watch и найдите любые учетные записи с кнопкой Настроить под ними.Завершите процесс настройки, чтобы утвердить уведомления для этих учетных записей.

Ошибка связи Apple Watch

Q : Я получаю ошибку связи между Apple Watch и моим телефоном. Что я могу сделать для устранения неполадок?

A : эта ошибка возникает, когда экран часов переходит в спящий режим до того, как он завершит обмен данными с вашим телефоном.
Если ошибка произошла во время установки:
Попробуйте запустить установку еще раз, убедившись, что часы не спят, пока процесс не будет завершен.В то же время откройте приложение на своем телефоне и отвечайте на все появляющиеся запросы.
Если ваш телефон и часы по-прежнему не обмениваются данными, вы можете попробовать следующие действия:

Принудительно закрыть телефонное приложение Microsoft Authenticator и снова открыть его на iPhone.
Принудительно закройте сопутствующее приложение на Apple Watch.
1. Откройте приложение-компаньон Microsoft Authenticator на своих часах
2. Удерживайте боковую кнопку, пока не появится экран Shutdown .
3. Отпустите боковую кнопку и удерживайте колесико Digital Crown, чтобы принудительно закрыть активное приложение.
Выключите Bluetooth и Wi-Fi на телефоне и на часах, а затем снова включите их.
Перезагрузите iPhone и часы.

Если ошибка возникает при попытке одобрить уведомление:
В следующий раз, когда вы попытаетесь утвердить уведомление на Apple Watch, держите экран в активном состоянии, пока запрос не будет завершен, и вы не услышите звук, который указывает на это Был успешен.

Сопутствующее приложение для Apple Watch не синхронизируется

Q : Почему приложение-компаньон Microsoft Authenticator для Apple Watch не синхронизируется и не отображается на моих часах?

A : Если приложение не отображается на ваших часах, попробуйте выполнить следующие действия:

Убедитесь, что на ваших часах работает watchOS 4.0 или выше.
Снова синхронизируйте часы.

Сбой приложения-компаньона Apple Watch

Q : Произошел сбой моего сопутствующего приложения Apple Watch.Могу ли я отправить вам свои журналы сбоев, чтобы вы могли разобраться?

A : сначала убедитесь, что вы решили поделиться с нами своей аналитикой. Если вы являетесь пользователем TestFlight, вы уже зарегистрированы. В противном случае вы можете перейти в «Настройки »> «Конфиденциальность»> «Аналитика » и выбрать опции « Поделиться iPhone и Watch Analytics » и « Поделиться с разработчиками приложений ».
После регистрации вы можете попытаться воспроизвести сбой, чтобы журналы сбоев автоматически отправлялись нам для расследования.Однако, если вы не можете воспроизвести сбой, вы можете вручную скопировать файлы журнала и отправить их нам.

Откройте приложение Watch на телефоне, перейдите в «Настройки »> «Общие» , а затем нажмите «» Копировать Watch Analytics .
Найдите соответствующий сбой в разделе «Настройки »> «Конфиденциальность»> «Аналитика»> «Аналитические данные », а затем вручную скопируйте весь текст.
Откройте Authenticator на своем телефоне и вставьте скопированный текст в текстовое поле Поделиться с разработчиками приложений на странице Отправить журналы .

Следующие шаги

c # - есть ли способ аутентифицировать аутентифицированного пользователя Windows в Html Agility Pack?

Переполнение стека

Около
Товары
Для команд

Переполнение стека Общественные вопросы и ответы

Пользователь не может пройти аутентификацию или должен аутентифицироваться дважды

24.07.2019
10 минут на чтение

В этой статье

В этой статье рассматривается несколько проблем, которые могут вызвать проблемы, влияющие на аутентификацию пользователя.

Доступ запрещен, тип входа в систему ограничен

В этой ситуации пользователю Windows 10, пытающемуся подключиться к компьютерам с Windows 10 или Windows Server 2016, отказано в доступе со следующим сообщением:

Подключение к удаленному рабочему столу:
Системный администратор ограничил тип входа в систему (сетевой или интерактивный), который вы можете использовать.Для получения помощи обратитесь к системному администратору или в службу технической поддержки.

Эта проблема возникает, когда для подключений RDP требуется проверка подлинности на уровне сети (NLA), а пользователь не является членом группы «Пользователи удаленного рабочего стола» . Это также может произойти, если группа «Пользователи удаленного рабочего стола» не была назначена для «Доступ к этому компьютеру из сети ».

Чтобы решить эту проблему, выполните одно из следующих действий:

Изменить членство пользователя в группе или назначение прав пользователя

Если эта проблема затрагивает одного пользователя, наиболее простым решением этой проблемы является добавление пользователя в группу «Пользователи удаленного рабочего стола» .

Если пользователь уже является членом этой группы (или если у нескольких членов группы есть такая же проблема), проверьте конфигурацию прав пользователя на удаленном компьютере с Windows 10 или Windows Server 2016.

Откройте редактор объектов групповой политики (GPE) и подключитесь к локальной политике удаленного компьютера.
Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя , щелкните правой кнопкой мыши Доступ к этому компьютеру из сети , а затем выберите Свойства .
Проверьте список пользователей и групп для пользователей удаленного рабочего стола (или родительской группы).
Если в списке нет ни пользователей удаленного рабочего стола, ни , ни родительской группы, например Все , вы должны добавить ее в список. Если в вашем развертывании более одного компьютера, используйте объект групповой политики.
Например, членство по умолчанию для Доступ к этому компьютеру из сети включает Для всех . Если ваше развертывание использует объект групповой политики для удаления Все , вам может потребоваться восстановить доступ, обновив объект групповой политики, чтобы добавить Пользователи удаленного рабочего стола .

Доступ запрещен, удаленный вызов базы данных SAM отклонен

Такое поведение наиболее вероятно, если контроллеры домена работают под управлением Windows Server 2016 или более поздней версии, и пользователи пытаются подключиться с помощью настраиваемого приложения для подключения. В частности, приложениям, которые обращаются к информации профиля пользователя в Active Directory, будет отказано в доступе.

Такое поведение является результатом перехода на Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь входит на удаленный рабочий стол, диспетчер удаленного подключения (RCM) связывается с контроллером домена (DC), чтобы запросить конфигурации, относящиеся к удаленному рабочему столу на объекте пользователя в Active Directory. Доменные службы (AD DS).Эта информация отображается на вкладке «Профиль служб удаленных рабочих столов» свойств объекта пользователя в оснастке MMC «Пользователи и компьютеры Active Directory».

Начиная с Windows Server 2016, RCM больше не запрашивает объект пользователя в AD DS. Если вам нужен RCM для запроса AD DS, потому что вы используете атрибуты служб удаленных рабочих столов, вы должны вручную включить запрос.

Важно

Тщательно выполняйте действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы.Прежде чем изменять его, сделайте резервную копию реестра для восстановления в случае возникновения проблем.

Чтобы включить устаревшее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра, а затем перезапустите службу Remote Desktop Services :

HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ <имя Winstation> \
- Имя: fQueryUserConfigFromDC
- Тип: Reg_DWORD
- Значение: 1 (десятичное)

Чтобы включить устаревшее поведение RCM на сервере, отличном от сервера узла сеансов удаленных рабочих столов, настройте эти записи реестра и следующую дополнительную запись реестра (а затем перезапустите службу):

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Терминальный сервер

Дополнительные сведения об этом поведении см. В статье 3200967 КБ Изменения в диспетчере удаленных подключений в Windows Server.

Пользователь не может войти с помощью смарт-карты

В этом разделе рассматриваются три распространенных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью смарт-карты.

Не удается войти со смарт-картой в филиале с контроллером домена только для чтения (RODC)

Эта проблема возникает в развертываниях, которые включают сервер RDSH на сайте филиала, который использует RODC. Сервер RDSH размещен в корневом домене. Пользователи на сайте филиала принадлежат к дочернему домену и используют смарт-карты для аутентификации.Контроллер домена только для чтения настроен для кэширования паролей пользователей (контроллер домена только для чтения входит в группу разрешенной репликации паролей RODC ). Когда пользователи пытаются войти в сеансы на сервере RDSH, они получают такие сообщения, как «Попытка входа в систему недействительна. Это связано либо с неправильным именем пользователя, либо с информацией для аутентификации».

Эта проблема вызвана тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователя. Корневой контроллер домена использует ключ шифрования для шифрования учетных данных, а контроллер домена только для чтения предоставляет клиенту ключ дешифрования.Когда пользователь получает сообщение об ошибке «недействительно», это означает, что два ключа не совпадают.

Чтобы обойти эту проблему, попробуйте одно из следующих действий:

Измените топологию контроллера домена, отключив кэширование паролей на контроллере домена только для чтения, или разверните контроллер домена с возможностью записи на сайте филиала.
Переместите сервер RDSH в тот же дочерний домен, что и пользователи.
Разрешить пользователям входить без смарт-карт.

Имейте в виду, что все эти решения требуют компромиссов в производительности или уровне безопасности.

Пользователь не может войти на компьютер с Windows Server 2008 SP2 с помощью смарт-карты

Эта проблема возникает, когда пользователи входят в компьютер с Windows Server 2008 SP2, который был обновлен с помощью KB4093227 (2018.4B). Когда пользователи пытаются войти с помощью смарт-карты, им отказывают в доступе с такими сообщениями, как «Действительных сертификатов не найдено. Убедитесь, что карта вставлена правильно и плотно прилегает». В то же время компьютер Windows Server записывает событие приложения «Произошла ошибка при получении цифрового сертификата со вставленной смарт-карты.Неверная подпись. "

Чтобы решить эту проблему, обновите компьютер Windows Server с помощью перевыпуска 2018.06 B KB 4093227, Описание обновления безопасности для уязвимости отказа в обслуживании протокола удаленного рабочего стола Windows (RDP) в Windows Server 2008: 10 апреля 2018 г.

Не удается войти в систему с помощью смарт-карты, и служба удаленных рабочих столов зависает

Эта проблема возникает, когда пользователи входят в систему на компьютере Windows или Windows Server, который был обновлен с помощью 4056446 КБ.Сначала пользователь может войти в систему с помощью смарт-карты, но затем получает сообщение об ошибке «SCARD_E_NO_SERVICE». Удаленный компьютер может перестать отвечать.

Чтобы обойти эту проблему, перезагрузите удаленный компьютер.

Чтобы решить эту проблему, обновите удаленный компьютер с помощью соответствующего исправления:

Если удаленный компьютер заблокирован, пользователю необходимо дважды ввести пароль

Эта проблема может возникнуть, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, в котором для подключений RDP не требуется NLA.В этих условиях, если удаленный рабочий стол заблокирован, пользователю необходимо дважды ввести свои учетные данные при подключении.

Чтобы решить эту проблему, обновите компьютер с Windows 10 версии 1709 с помощью KB 4343893, 30 августа 2018 г. - KB4343893 (сборка ОС 16299.637).

Когда пользователи пытаются войти в систему с помощью любой версии Windows из Windows Vista SP2 и более поздних версий или Windows Server 2008 SP2 и более поздних версий, им отказывают в доступе и получают такие сообщения:

  Произошла ошибка аутентификации.Запрошенная функция не поддерживается. ... Это могло быть связано с исправлением оракула шифрования CredSSP. ...

«Исправление оракула шифрования CredSSP» относится к набору обновлений безопасности, выпущенных в марте, апреле и мае 2018 года. CredSSP - провайдер аутентификации, который обрабатывает запросы аутентификации для других приложений. В «3B» и последующих обновлениях от 13 марта 2018 г. был рассмотрен эксплойт, с помощью которого злоумышленник мог передать учетные данные пользователя для выполнения кода в целевой системе.

Первоначальные обновления добавили поддержку нового объекта групповой политики, Encryption Oracle Remediation, который имеет следующие возможные настройки:

Уязвимость: клиентские приложения, использующие CredSSP, могут вернуться к незащищенным версиям, но такое поведение подвергает удаленные рабочие столы атакам. Службы, использующие CredSSP, принимают клиентов, которые не были обновлены.
Смягчено: клиентские приложения, использующие CredSSP, не могут вернуться к небезопасным версиям, но службы, использующие CredSSP, принимают клиентов, которые не были обновлены.
Принудительно обновленные клиенты: клиентские приложения, использующие CredSSP, не могут вернуться к небезопасным версиям, а службы, использующие CredSSP, не будут принимать клиентов без исправлений.
Примечание

Этот параметр не следует развертывать, пока все удаленные узлы не будут поддерживать новейшую версию.

В обновлении от 8 мая 2018 г. значение параметра Encryption Oracle Remediation по умолчанию было изменено с «Уязвимое» на «Мгновенное». После внесения этого изменения клиенты удаленного рабочего стола, у которых есть обновления, не могут подключаться к серверам, на которых их нет (или к обновленным серверам, которые не были перезапущены).Для получения дополнительных сведений об обновлениях CredSSP см. KB 4093492.

Чтобы решить эту проблему, обновите и перезапустите все системы. Полный список обновлений и дополнительную информацию об уязвимостях см. В CVE-2018-0886 | Уязвимость CredSSP, связанная с удаленным выполнением кода.

Чтобы обойти эту проблему до завершения обновления, проверьте 4093492 КБ на предмет разрешенных типов подключений. Если подходящих альтернатив нет, вы можете рассмотреть один из следующих методов:

Для затронутых клиентских компьютеров установите для политики Encryption Oracle Remediation значение Vulnerable .
Измените следующие политики в папке Computer Configuration \ Administrative Templates \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Host \ Security :
- Требовать использования определенного уровня безопасности для удаленных (RDP) подключений : установите значение Включено и выберите RDP .
- Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на уровне сети : установлено значение Отключено .
  Важно
  
  Изменение этих групповых политик снижает безопасность вашего развертывания. Мы рекомендуем вам использовать их только временно, если вообще.

Дополнительные сведения о работе с групповой политикой см. В разделе «Изменение блокирующего объекта групповой политики».

После обновления клиентских компьютеров некоторым пользователям необходимо дважды войти в систему

Когда пользователи входят в удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, они сразу же видят второе приглашение для входа.Эта проблема возникает, если на клиентском компьютере установлены следующие обновления:

Чтобы решить эту проблему, убедитесь, что компьютеры, к которым пользователи хотят подключиться (а также серверы RDSH или RDVI), полностью обновлены до июня 2018 г. Сюда входят следующие обновления:

Windows Server 2016: 4284880 КБ, 12 июня 2018 г. - KB4284880 (сборка ОС 14393.2312)
Windows Server 2012 R2: 4284815 КБ, 12 июня 2018 г. - KB4284815 (ежемесячный накопительный пакет)
Windows Server 2012: 4284855 КБ, 12 июня 2018 г. - KB4284855 (ежемесячный накопительный пакет)
Windows Server 2008 R2: 4284826 КБ, 12 июня 2018 г. - KB4284826 (ежемесячный накопительный пакет)
Windows Server 2008 SP2: KB4056564, Описание обновления безопасности для уязвимости удаленного выполнения кода CredSSP в Windows Server 2008, Windows Embedded POSReady 2009 и Windows Embedded Standard 2009: 13 марта 2018 г.

Пользователям отказано в доступе в развертывании, в котором используется Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу

Эта проблема возникает в развертываниях с высокой доступностью, в которых используются два или более брокеров подключений к удаленному рабочему столу, если используется Remote Credential Guard в Защитнике Windows.Пользователи не могут войти на удаленные рабочие столы.

Эта проблема возникает из-за того, что Remote Credential Guard использует Kerberos для проверки подлинности и ограничивает NTLM. Однако в конфигурации высокой доступности с балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.

Если вам нужно использовать конфигурацию высокой доступности с брокерами подключений к удаленному рабочему столу с балансировкой нагрузки, вы можете обойти эту проблему, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. В разделе Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows.

Настройка методов проверки подлинности (Windows 10) - Безопасность Windows

17.08.2017
4 минуты на чтение

В этой статье

Относится к

Windows 10
Windows Server 2016

В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной зоне изолированного сервера.

Примечание: Если вы выполните шаги процедуры в этом разделе, вы измените общесистемные настройки по умолчанию. Любое правило безопасности подключения может использовать эти параметры, указав По умолчанию на вкладке Аутентификация .

Учетные данные администратора

Для выполнения этих процедур вы должны быть членом группы администраторов домена или получить другие разрешения на изменение объектов групповой политики.

Для настройки методов аутентификации

Откройте консоль управления групповой политикой в брандмауэре Защитника Windows в режиме повышенной безопасности.
В области сведений на главной странице Брандмауэра Защитника Windows в режиме повышенной безопасности щелкните Свойства брандмауэра Защитника Windows .
На вкладке Параметры IPsec щелкните Настроить .
В разделе Authentication Method выберите тип аутентификации, который вы хотите использовать, из следующих:
1. По умолчанию . Выбор этого параметра указывает компьютеру использовать метод проверки подлинности, который в настоящее время определяется локальным администратором в брандмауэре Защитника Windows или групповой политикой по умолчанию.
2. Компьютер и пользователь (с использованием Kerberos V5) . Выбор этого параметра указывает компьютеру использовать и требовать аутентификации как компьютера, так и текущего пользователя, вошедшего в систему, с использованием учетных данных домена.
3. Компьютер (с использованием Kerberos V5) . При выборе этого параметра компьютер использует и требует проверки подлинности компьютера с использованием учетных данных домена. Этот параметр работает с другими компьютерами, которые могут использовать IKE v1, включая более ранние версии Windows.
4. Пользователь (с использованием Kerberos V5) . Выбор этого параметра указывает компьютеру использовать и требовать аутентификацию текущего пользователя, вошедшего в систему, с использованием его учетных данных домена.
5. Сертификат компьютера от этого центра сертификации . Выбор этого параметра и ввод идентификатора центра сертификации (ЦС) указывает компьютеру использовать и требовать аутентификацию с помощью сертификата, выданного выбранным ЦС.Если вы также выберете Принимать только сертификаты работоспособности , тогда для этого правила можно будет использовать только сертификаты, которые включают использование расширенного ключа проверки подлинности системы (EKU), обычно предоставляемое в инфраструктуре защиты доступа к сети (NAP).
6. Продвинутый . Щелкните Настроить , чтобы указать настраиваемую комбинацию методов аутентификации, необходимых для вашего сценария. Вы можете указать как первый метод аутентификации , так и второй метод аутентификации .
  
  Первый метод аутентификации может быть одним из следующих:
  - Компьютер (Kerberos V5) . При выборе этого параметра компьютер использует и требует проверки подлинности компьютера с использованием учетных данных домена. Этот параметр работает с другими компьютерами, которые могут использовать IKE v1, включая более ранние версии Windows.
  - Компьютер (NTLMv2) . При выборе этого параметра компьютер использует и требует проверки подлинности компьютера с использованием учетных данных домена.Эта опция работает только с другими компьютерами, которые могут использовать AuthIP. Проверка подлинности на основе пользователей с использованием Kerberos V5 не поддерживается IKE v1.
  - Сертификат компьютера от этого центра сертификации (ЦС) . Выбор этого параметра и ввод идентификатора ЦС указывает компьютеру использовать и требовать аутентификацию с помощью сертификата, выданного этим ЦС. Если также выбрать Принимать только сертификаты работоспособности , то можно будет использовать только сертификаты, выданные сервером NAP.
  - Общий ключ (не рекомендуется) . При выборе этого метода и вводе предварительного ключа компьютер должен пройти аутентификацию путем обмена предварительными ключами. Если они совпадают, аутентификация проходит успешно. Этот метод не рекомендуется и включен только в целях обратной совместимости и тестирования.
  Если вы выберете Первая проверка подлинности является необязательной , то соединение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не удалась.
  
  Второй метод аутентификации может быть одним из следующих:
  - Пользователь (Kerberos V5) . Выбор этого параметра указывает компьютеру использовать и требовать аутентификацию текущего пользователя, вошедшего в систему, с использованием его учетных данных домена. Этот метод аутентификации работает только с другими компьютерами, которые могут использовать AuthIP. Проверка подлинности на основе пользователей с использованием Kerberos V5 не поддерживается IKE v1.
  - Пользователь (NTLMv2) . При выборе этого параметра компьютер использует и требует проверки подлинности текущего пользователя, вошедшего в систему, с использованием его или ее учетных данных домена, и использует протокол NTLMv2 вместо Kerberos V5.Этот метод аутентификации работает только с другими компьютерами, которые могут использовать AuthIP. Проверка подлинности на основе пользователей с использованием Kerberos V5 не поддерживается IKE v1.
  - Сертификат работоспособности пользователя от этого центра сертификации (ЦС) . Выбор этого параметра и ввод идентификатора ЦС указывает компьютеру использовать и требовать аутентификацию на основе пользователя с помощью сертификата, выданного указанным ЦС. Если вы также выберете Включить сертификат для сопоставления учетной записи , тогда сертификат может быть связан с пользователем в Active Directory с целью предоставления или запрета доступа указанным пользователям или группам пользователей.
  - Сертификат работоспособности компьютера от этого центра сертификации (ЦС) . Выбор этого параметра и ввод идентификатора ЦС указывает компьютеру использовать и требовать аутентификацию с помощью сертификата, выданного указанным ЦС. Если вы также выберете Принимать только сертификаты работоспособности , то для этого правила можно будет использовать только сертификаты, которые включают EKU проверки работоспособности системы, обычно предоставляемые в инфраструктуре NAP.
  Если вы выберете Вторая проверка подлинности является необязательной , то соединение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не удалась.
  
  Важно: Убедитесь, что вы не установили флажки, чтобы сделать как первую, так и вторую аутентификацию необязательными. Это позволяет подключаться в виде открытого текста всякий раз, когда аутентификация не выполняется.
Щелкните ОК в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповой политикой.