Какая разница: аутентификация Windows, аутентификация с помощью Passport и аутентификация формы

В случае, если сервер располагается на базе Cassini, Вам необходимо нажать клавишу с логотипом Windows (флажок Microsoft) + R и ввести следующую команду в диалоговое окно: "services.msc " (без кавычек), после чего появится окно служб Windows. В нем Вы сможете найти строчку Веб-сервер ELMA , кликнуть по ней правой кнопкой мыши и выбрать в контекстном меню пункт Свойства , в котором и располагается искомая вкладка Вход в систему . Укажите учетную запись LocalSystem

Если сервер располагается на базе IIS, необходимо зайти в Диспетчер служб IIS (стандартно на сервере в Пуск - Администрирование ). В нем на вкладке Пулы приложений нажать правой кнопкой мыши на пул ELMA3-Standart и выбрать в контекстном меню пункт Дополнительные параметры . На панели Модель процесса в поле Удостоверение указать учетную запись LocalSystem либо реальную учетную запись с правами администратора, после чего следует перезапустить веб-сервер.

Создание учетных данных в среде SQL Server Management Studio

1. В обозревателе объектов раскройте папку Безопасность .
2. Нажмите правой кнопкой мыши на папку Учетные данные и выберите команду Создать учетные данные .
3. В диалоговом окне Создание учетных данных в поле Учетное имя введите имя для учетных данных.
4. В поле Удостоверение введите имя учетной записи, используемой для исходящих соединений (при выходе из контекста SQL Server). Как правило, это будет учетная запись пользователя Windows, но удостоверение может быть и учетной записью другого типа. Либо нажмите кнопку с многоточием (...), чтобы открыть диалоговое окно Выбор пользователя или группы .
5. В полях Пароль и Подтверждение пароля введите пароль учетной записи, указанной в поле Удостоверение . Если в поле Удостоверение указана учетная запись пользователя Windows, то это будет пароль Windows. Поле Пароль может быть пустым, если пароль не требуется.
6. Установите флажок Использовать поставщика услуг шифрования , чтобы учетные данные проверялись поставщиком расширенного управления ключами.
7. Нажмите кнопку ОК .

Аутентификация в SQL Server

Как известно, в SQL Server можно выбрать один из двух типов аутинтификации: Windows Authentication (Аутентификация Windows) или SQL Server Authentication (Аутентификация SQL Server). Сменить режим аутентификации на сервере с помощью SSMS (SQL Server Management Studio) либо с помощью EM (Entreprise Manager) достаточно легко. Для этого необходимо в свойствах сервера перейти на закладку Security и установить флажок в нужное поле.

После этого обязательно необходимо перезапустить службу MSSQLSERVER.

Если установлена бесплатная редакция MSDE (2000) или Express (2005/2008) без установленных клиентских утилит, то необходимо знать, что настройки аутентификации хранятся в реестре.

С помощью недокументированной процедуры T-SQL xp_instance_regwrite , через утилиты OSQL/SQLCMD , меняем значение (Windows Authentication mode; SQL Server and Windows Authentication mode ) EXEC xp_instance_regwrite N’HKEY_LOCAL_MACHINE’, N’Software\Microsoft\MSSQLServer\MSSQLServer’, N’LoginMode’, REG_DWORD, 1 . Далее после смены типа аутентификации, необходимо перезапустить службу. Остановить её можно также с помощью T-SQL (процедура xp_servicecontrol также недокументированная): EXEC master..xp_servicecontrol ’stop’, ’MSSQLSERVER’ . А вот запустить службу через T-SQL не выйдет, так как она остановлена, но если у вас установлен второй инстанс, тогда через него достаточно выполнить: EXEC master..xp_servicecontrol ’start’, ’MSSQLSERVER’ . Службу лучше перезапускать с помощью команд net stop MSSQLSERVER/net start MSSQLSERVER .

Конечный вариант для смены аутентификации на сервере будет выглядеть так (достаточно вставить этот код в bat-файл и использовать, когда вам это потребуется):

SQLCMD -E -q "EXEC xp_instance_regwrite N’HKEY_LOCAL_MACHINE’, N’Software\Microsoft\MSSQLServer\MSSQLServer’, N’LoginMode’, REG_DWORD, 1" net stop MSSQLSERVER net start MSSQLSERVER

Создание учетных данных FireBird

Только пользователь SYSDBA может отображать, удалять, изменять и создавать любое количество учетных записей для различных категорий пользователей.

Структура учетных записей пользователей:

• UserName - имя пользователя. Максимальная длина 31 символ. Имя не чувствительно к регистру;
• Password - пароль пользователя чувствителен к регистру. Максимальное количество символов 32, однако, только первые восемь имеют значение;
• UID - целое число, задающее идентификатор пользователя;
• GID - целое число, задающее идентификатор группы;
• FirstName - имя. Может занимать до 17 символов;
• MiddleName - второе имя. Можем использовать в качестве отчества. До 17 символов;
• LastName - фамилия. До 17 символов.

Обязательными являются только имя пользователя и пароль.

Внимание! Ни в каком поле учетной записи не используйте буквы кириллицы. Такая запись не будет создана или изменена.

Запустите программу IBExpert. Нажмите левой кнопкой мыши по кнопке Tools в верхнем меню и в выпадающем меню выберите пункт User Manager . Откроется диалоговое окно User Manager. В выпадающем списке Server выберите local .

Нажмите на кнопку Connect справа от выпадающего списка Server . Откроется диалоговое окно Server Login .

В поле Login уже будет задано имя пользователя SYSDBA . Вам нужно в поле Password ввести пароль masterkey (или другой, если вы изменили значение пароля) и нажать на кнопку ОК . Появится список учетных записей, который будет содержать только одного пользователя SYSDBA.

Нажмите на кнопку Add , в открывшемся окне New User введите имя пользователя (имя пользователя вы можете вводить в любом регистре, символы все равно будут появляться в верхнем регистре) и дважды введите пароль в поля Password и Confirm Password . Нажмите на кнопку ОК . В список будет добавлена новая учетная запись пользователя.

Для изменения существующей записи (изменять можно любое поле, кроме имени пользователя) необходимо нажать на кнопку Edit или дважды нажать левой кнопкой мыши по нужной строке и в появившемся окне изменить желаемые поля.

Для удаления существующей записи щелкните по кнопке Delete и в диалоговом окне подтвердите удаление.

Чтобы изменить имя пользователя, вам нужно удалить старую запись и ввести новую, с другим именем и теми же или другими характеристиками.

Если вы одновременно работаете в IBExpert и используете утилиту gsec или другую программу для добавления или изменения учетных записей, то для того, чтобы увидеть в списке IBExpert новое состояние списка, нужно нажать на кнопку Refresh .

Задайте эту аутентификацию при использовании контроллера домена Windows для аутентификации пользователей, у которых есть учетные записи на сервере каталогов. Пользователи не могут быть аутентифицированы, если у них нет учетных записей на сервере каталогов. При аутентификации Windows можно указать границы доступа для каждой группы, зарегистрированной на сервере каталогов. Адресная книга, сохраненная непосредственно на сервере, может быть зарегистрирована на аппарате, позволяя пользователям выполнять аутентификацию без использования аппарата для регистрации индивидуальных настроек в адресной книге. Получение информации о пользователе может предотвратить использование недействительных учетных данных, поскольку системой аутентификации определяется адрес отправителя в поле (От:) при отправке отсканированных данных или полученных факсимильных сообщений по электронной почте.

При первом доступе к аппарату можно использовать функции, разрешенные для вашей группы. Если регистрация в группе не выполнена, можно использовать функции, указанные в пункте "*Группа по умолчанию". Для ограничения доступа пользователей к определенным функциям необходимо выполнить предварительные настройки в адресной книге.

Для автоматической регистрации данных о пользователях, например, номера факса и адреса электронной почты, при выполнении аутентификации Windows рекомендуется шифровать связь между устройством и контроллером доменов с помощью SSL. Для этого необходимо создать сертификат сервера для контроллера домена. Для получения подробных сведений о создании сертификата сервера см. Создание сертификата серверов .

Аутентификация Windows может быть выполнена одним из двух методов: аутентификация NTLM или Kerberos. Ниже приводятся технические требования для обоих методов:

Эксплуатационные требования для аутентификации NTLM

Для определения аутентификации NTLM должны выполняться следующие требования:

Этот аппарат должен поддерживать аутентификацию NTLMv1 и NTLMv2.

Эта функция должна поддерживаться нижеперечисленными операционными системами. Чтобы получить данные пользователя при работе с активным каталогом, используйте LDAP. При использовании LDAP рекомендуется зашифровать соединение между аппаратом и LDAP сервером с помощью SSL. Шифрование SSL возможно только в том случае, если сервер LDAP поддерживает TLSv1 или SSLv3.

• Windows Server 2003/2003 R2

  Windows Server 2008/2008 R2

  Windows Server 2012

Эксплуатационные требования для аутентификации Kerberos

Для определения аутентификации Kerberos должны быть выполнены следующие требования:

Настройте контроллер домена в нужном домене.

Операционная система должна поддерживать KDC (Key Distribution Center). Чтобы получить данные пользователя при работе с активным каталогом, используйте LDAP. При использовании LDAP рекомендуется зашифровать соединение между аппаратом и LDAP сервером с помощью SSL. Шифрование SSL возможно только в том случае, если сервер LDAP поддерживает TLSv1 или SSLv3. Ниже перечислены совместимые операционные системы.

• Windows Server 2003/2003 R2

  Windows Server 2008/2008 R2

  Windows Server 2012

Чтобы использовать аутентификацию Kerberos при работе с ОС Windows Server 2008, установите Service Pack 2 (SP 2) и выше.

Если включена аутентификация Kerberos, данные, передаваемые между аппаратом и сервером KDC, шифруются. Для получения сведений об установке шифрования передаваемых данных см. Настройка шифрования для аутентификации Kerberos .

Во время аутентификации Windows данные, зарегистрированные на сервере каталога, такие как адрес электронной почты пользователя, автоматически регистрируются в аппарате. Если данные пользователя на сервере изменяются, то при выполнении аутентификации данные, зарегистрированные в аппарате, могут быть стерты.

Пользователи, управляемые в других доменах, зависят от аутентификации пользователя, но они не могут получать элементы данных, такие как адреса электронной почты.

Если одновременно устанавливается аутентификация Kerberos и шифрование SSL, то получение электронной почты становится невозможным.

Если создана новая учетная запись пользователя в контроллере домена, а для конфигурации пароля выбран вариант "Пользователь должен сменить пароль при следующем входе в систему", в первую очередь войдите в систему компьютера и смените пароль.

Если при выборе на аппарате идентификации Kerberos аутентифицирующий сервер поддерживает только NTLM, метод аутентификации автоматически переключается на NTLM.

Если используется аутентификация Windows, в имени учетной записи различаются заглавные и строчные буквы. Неправильно введенное имя для входа будет добавлено в адресную книгу. В этом случае удалите добавленного пользователя.

Если на сервере Windows включена учетная запись "Guest" (Гость), то могут быть аутентифицированы даже пользователи, не зарегистрированные в контроллере домена. При включении этой учетной записи пользователи регистрируются в адресной книге и могут использовать функции, доступные в группе "*Группа по умолчанию".

Для получения сведений о символах, которые можно использовать при указании имени пользователя и пароля, см. Символы, которые можно использовать при вводе имени пользователя и пароля .

При последующем доступе к аппарату вы можете пользоваться всеми функциями, доступными для вашей группы и для вас как для отдельного пользователя.

Пользователи, зарегистрированные в нескольких группах, могут использовать все функции, доступные этим группам.

При выполнении аутентификации Windows нет необходимости создавать сертификат сервера, если не требуется автоматическая регистрация данных пользователей, таких как номера факса и адреса электронной почты, с помощью SSL.

Если во время аутентификации не удалось получить сведения о факсе, см.

Большинство web-сайтов работают в режиме анонимного доступа. Они содержат информацию, которую могут просматривать все желающие, и поэтому не проводят аутентификацию пользователей. Web-приложения ASP.NET предоставляют анонимный доступ к серверным ресурсам посредством назначения учетной записи анонимному пользователю. По умолчанию учетная запись для анонимного доступа имеет имя в виде IUSER _ имя компьютера.

ASP.NET исполняет web-приложения под учетной записью ASPNET. Это означает, что при выполнении задачи, не предусмотренной привилегиями пользователя (например, запись файла на диск), приложение получает отказ в доступе.
Идентификация пользователей применяется в тех случаях, когда нужно предоставить доступ к разделам web -приложения только для определенных пользователей. Это может быть Internet -магазины, форумы, закрытые разделы в корпоративных Intranet -сайтах и так далее.
Безопасность в приложениях ASP.NET основана на трех операциях:

• Аутентификация – процесс идентификации пользователя для предоставления доступа к какому-то ресурсу приложения (разделу сайта, странице, базе данных, …). Аутентификация основана на проверке сведений о пользователе (например, имени и пароля);
• Авторизация – процесс предоставления доступа пользователю на основе данных аутентификации;
• Олицитворение (impersonalisation) – предоставление серверному процессу ASP.NET прав доступа клиента.

Существует три способа аутентификации пользователей в приложениях ASP.NET:

• аутентификация Windows - применяется для идентификации и авторизации пользователей в зависимости от привилегий учетной записи пользователя. Работает аналогично обычным механизмам сетевой безопасности Windows и выполняется контроллером домена;
• аутентификация Forms - пользователь вводит логин и пароль в Web -форме, после чего авторизация происходит по списку пользователей, хранящемуся, например, в базе данных. Применяется на большинстве Internet-сайтов при регистрации в Inernet -магазинах, форумах, пр;
• аутентификация Passport - все пользователи имеют единое имя и пароль, используемые для сайтов, использующих данный тип авторизации. Пользователи регистрируются в службе Microsoft Passport.

Важно отметить, что аутентификация ASP.NET применяются только для web -форм (.aspx -файлы), контролов (.ascx -файды) и прочих ресурсов ASP.NET. HTML-файлы не входят в этот список. Для авторизации доступа к HTML -файлам нужно их зарегистрировать вручную!
Тип аутентификации указывается в конфигурационном файле Web.config:

По умолчанию применяется тип аутентификации Windows. Значение None имеет смысл устанавливать если используется собственная схема аутентификации или анонимный доступ (для повышения производительности).
Аутентификация Windows. Существует 4 типа аутентификации Windows: обычная (basic), краткая (digest), встроенная (integated) и на основе клиентских сертификатов SSL. Обычную и краткую аутентификацию применяют для идентификации имени пользователя и пароля, указываемом в диалоговом окне. Они хорошо работают в Internet , так как данные передаются по HTTP. Базовая аутентификация передает пароль и имя пользователя в кодировке Base 64, которую легко раскодировать. Для повышения безопасности можно использовать базовую аутентификацию совместно с SSL. Базовую аутентификация поддерживают большинство браузеров.
Краткая аутентификация является более безопасной, так как пароль шифруется по алгоритму MD 5. Она поддерживается браузерами Internet Explorer 5.0 и выше, либо на клиентской машине должен быть установлен. NET Framework. Кроме этого, учетные записи пользователей должны храниться в Active Directory.
Встроенная аутентификация применяется для идентификации учетных записей Windows и не может применяться в Internet , так как клиент и сервер должны пройти проверку контроллером домена. При этом пароли по сети не передаются, что увеличивает безопасность приложения. Этот тип аутентификации блокируется файрволами и работает только с Internet Explorer. Встроенная аутентификации немного медленнее, чем базовая или краткая.
Применение сертификатов SSL так же обычно применяется в Intranet , т.к. требует раздачи цифровых сертификатов. При этом типе аутентификации пользователям не нужно регистрироваться. Сертификаты можно сопоставить учетным записям пользователей в домене или Active Directory.

Для указания способа аутентификации нужно выполнить следующие действия:
1. Запустить диспетчер IIS
2. Щелкнуть правой кнопкой мыши по приложению и выбрать в контекстном меню Свойства.
3. В появившимся диалоге перейти на вкладку Безопасность каталога и нажать кнопку Изменить в разделе Анонимный доступ и проверка подлинности .

4. В диалоге Методы проверки подлинности указать тип аутентификации.

5. Указать права доступа к папке или отдельным файлам в папке Web -приложения. Обязательно нужно разрешить доступ для пользователя ASPNET.

В данном случае разрешен доступ для пользователя DENIS и запрещен доступ для всех остальных. Вместо имени пользователя может быть и название роли, к которой принадлежат пользователи – администраторы, менеджеры, …:

Если мы хотим защитить он неаутентифицированных пользователей папку полностью (например, папку, содержащую формы для администрирования сайта), то нужно разместить в ней файл Web.config с таким содержанием (cимвол «?» означает анонимных неавторизированных пользователей):

Если же мы хотим защитить только один файл (например, для подтверждения заказа в Internet -магазине), то в Web.config из корневой папки нужно добавить такие строки:

Приложение извлекает данные пользователей с помощью свойства Identity класса User. Это свойство возвращает объект, содержащий имя пользователя и роль.

bool authenticated = User.Identity.IsAuthenticated ;
string name = User.Identity.Name;
bool admin = User.IsInRole("Admins");

Forms-аутентификация

При использовании Forms-аутентификации запрос параметров регистрации (например, логина и пароля) происходит в web-форме. Регистрационная страница указывается в файле Web.config. При первом обращении к защищаемым страницам ASP.NET перенаправляет пользователя на страницу для ввода пароля. При успешной регистрации аутентификационные данные сохраняются в виде cookie и при повторном обращении к защищенным страницам регистрация не требуется.
Для того, чтобы использовать Forms-аутентификацию в файле Web.config в корневой папке приложения нужно указать страницу для ввода пароля:

При попытке просмотра защищенной страницы ASP.NET проверяет, есть ли аутентификационных cookie в запросе. Если cookie нет, то запрос перенаправляется на страницу для регистрации, если есть - ASP.NET дешифрует cookie и извлекает из него регистрационную информацию.

На форме находятся поля для ввода логина и пароля и флажок для сохраняемой регистрации. При нажатии кнопки «Войти» происходит поиск пользователя с таким логином и паролем. Если такой пользователь найден, вызывается функция FormsAuthentication.RedirectFromLoginPage (), в которой указывается идентификатор пользователя и флаг для сохраняемой регистрации. Если же нет – выводится сообщение об ошибке.

protected void btnLogin_Click(object sender, System.EventArgs e)
{
if (!IsValid) // проверяем правильность введенных данных
return;

OleDbConnection connection = GetDbConnection();

Try
{
connection.Open();

OleDbCommand command = new OleDbCommand(string.Format("SELECT id FROM Customers WHERE login="{0}" AND password="{1}"", login, password), connection);

OleDbDataReader reader = command.ExecuteReader();
if (!reader.Read()) // пароль или логин неверны
{
lblError.Text = "Неверный пароль – попробуйте еще раз";
return ;
}

String id = return reader.GetInt32(0).ToString();

FormsAuthentication.RedirectFromLoginPage(id, chkbRememberLogin.Checked);
}
catch (OleDbException ex)
{
lblError.Text = "Ошибка базы данных";
}
finally
{
connection.Close();
}
}

Аутентификации на основе ролей

Для аутентификации на основе ролей применяется атрибут roles тега allow. Например, если мы хотим запретить доступ всем, кроме пользователей из группы Admin , мы должны вставить такие строки в файл Web.config.

Затем при каждом запросе нужно связывать учетные записи пользователей и роли. Обычно это делается в обработчике события AuthenticateRequest в файле Global.asax.

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
HttpApplication appl = (HttpApplication)sender;

If (appl.Request.IsAuthenticated && appl.User.Identity is FormsIdentity)
{
FormsIdentity identity = (FormsIdentity)appl.User.Identity;

DataTable tblUsers = (DataTable)Application["UsersTable"];
appl.Context.User = new GenericPrincipal(identity,
new string {(string)(tblUsers.Rows.Find(identity.Name)["Role"]) });
}
}

В коде проверяется тип аутентификации пользователя и то, что он уже зарегистрирован. Имя пользователя извлекается из cookie свойством Name. Таблица с именами пользователей и их ролями для повышения быстродействия была сохранена в объекте Application. Из этой таблицы и находим роль пользователя, которую сохраняем в объекте GenericPrincipal.

Параметры аутентификации

Если второй параметр функции RedirectFromLoginPage () равен false , то время жизни сеансового cookie , генерируемого ASP.NET , равно по умолчанию 30 минутам. Для изменения этого интервала служит параметр timeout тега forms в файле Web.config. Установим время действия аутентификации в 3 часа.

Когда сеансовый cookie возвращается в следующих после регистрации запросах, он автоматически обновляется, если время жизни истекло больше чем на половину. Время же жизни сохраняемых cookie равно 50 годам.
Можно указать имя аутентификационных cookie , поместив его в атрибут name (имя по умолчанию - ASPXAUTH):

По умолчанию аутентификацонные cookie шифруются и проверяются. Уровень защиты можно указать через атрибут protection , значение по умолчанию которого All. Значение Validation предписывает только проверку cookie , а значение Encript – только шифрование. Полностью отключить защиту можно указав значение None. Отключать защиту имеет смысл если данные передаются по протоколу HTTPS.

Сброс forms-аутентификации

Сброс регистрации можно увидеть на многих сайтах. Для сброса аутентификации применяется метод FormsAuthentication.SignOut (). Он устанавливает дату окончания действия cookie на прошедшее время и cookie автоматически уничтожается.

Аутентификация Passport

При аутентификации Passport пользователи могут входить на разные web -сайты пользуясь единым удостоверением службы Microsoft Passport. Это освобождает пользователя от регистрации на каждом сайте, а сами сайты получают сведения о пользователе из профиля, хранимого Microsoft.

Для использования Passport аутентификации в web -приложении нужно установить Passport SDK. Passport SDK предоставляется бесплатно для тестирования, но для коммерческого использования на сайте необходимо приобретать лицензию.
При обращении к приложению с Passport аутентификацией проверяется наличие cookie с данные Passport. Если такого файла нет, пользователь перенаправляется на страницу для регистрации Passport.
Для включения данного режима аутентификации в файле Web. config нужно указать следующее:

Для обязательной регистрации всех посетителей сайта в разделе autorization нужно запретить доступ неавторизированным пользователем:

Получить доступ к сведениям о пользователе можно с помощью события PassportAuthentication _ OnAuthenticate в файле Global.asax:

protected void PassportAuthentication_OnAuthenticate(Object sender, PassportAuthenticationEventArgs e)
{
System.Web.Security.PassportIdentity id = e.Identity;
if(id.IsAuthenticated)
{
Session["PassportID"] = e.Identity.Name;
Session["Name"] = e.Identity["FirstName"] + e.Identity["LastName":];
Session["Email"] = e.Identity["PrefferedEmail"];
}
}

Кондратьев Денис

Конфигурация Windows для автоматического входа (без ввода пароля) достаточна проста, но не безопасна. Используйте приведённую ниже инструкцию только в том случае, если ваш ПК действительно персональный, либо наоборот служит «проходным двором» всем домочадцам, все знают этот пароль и ежедневный ввод оного вводит их в тоску. Не отключайте ввод пароля, если это офисный компьютер, планшет, который может быть утерян, или компьютер, содержащий конфиденциальные данные.

И так, если вы единственный пользователь вашего ПК, то авторизация без пароля не только сэкономит время при старте системы, но и позволит использовать сложный пароль для вашего аккаунта, если вы используете рекомендованный Microsoft тип авторизации с использованием Microsoft Account (Windows ID). На данный аккаунт, как правило, куплена подписка Office 365 и прочий софт из Windows Store, почта Outlook.com содержит переписку, в OneDrive хранятся документы и всё это доступно по паролю, используемому при входе в учётную запись ПК. Лично я не в состоянии держать в голове сложный пароль типа “fSJKk05#_j8=!3fHT” и при этом каждое утро вбивать его при включении ПК. Таким образом обязательный ввод пароля при старте ПК практически провоцирует пользователя на использование примитивных паролей, которые легко подобрать.

Если вы уверены в том, что действительно хотите использовать авторизацию без пароля, то следуйте приведённой ниже инструкции, и Windows больше не будет спрашивать пароль при загрузке.

Нажмите кнопку «Пуск» или кнопку «Windows» на клавиатуре для входа в Modern UI (Metro в Windows 8) и наберите «Run» («Выполнить» для русскоязычного интерфейса), запустите утилиту и в командную строку забейте «netplwiz» (без кавычек), после чего нажмите «ОК». Или откройте командную строку через «Пуск» и в неё забейте «netplwiz». В любом случае откроется окно «Учётные записи пользователей». Технически программа называется «Advanced User Accounts Control Panel », но она не является частью Контрольной Панели и в ней вы её не найдёте.
Во вкладке «Пользователи» выберите вашу учётную запись, выше снимите галку с чекбокса «пользователи должны ввести логин и пароль для использования этого компьютера». И нажмите «Применить». Откроется ещё одно окно и в нём следует указать свои логин и пароль, чтоб применить изменения.

Важно: Если для авторизации вы используете Microsoft Account (Windows ID), то в качестве «имени пользователя» следует указать адрес вашей электронной почты, так как именно он является логином, а не ваше имя, указанное в этой строке по умолчанию.

После этого закройте все окна и перезагрузите компьютер. Учётная запись должна загрузиться без ввода пароля.

Если вместо этого у вас пытается загрузиться какая-то левая учётная запись типа «другой пользователь», а при предыдущих манипуляциях с аккаунтом в окне «Учётные записи пользователей» было два пользователя с одинаковым логином (один с правами администратора, второй – обычный пользователь), как у меня (см. скриншот), то убедитесь, что обоим им разрешён вход без пароля. Примените изменения к обеим учётным записям. Как правило, по умолчанию загружается учётная запись с правами обычного пользователя. Соответственно, её и следует выделить перед тем, как снимать галку с чекбокса.

Если всё сделано правильно, то при последующих загрузках ПК, экран с учётной записью отобразиться, но вход будет выполнен автоматически.

В операционной системе Windows 7 реализовано новое поколение технологий безопасности для рабочего стола и одна из них аутентификация и авторизация. Часть технологий направлена на укрепление общей инфраструктуры Windows, а остальные на оказание помощи в управлении системой и пользовательскими данными.

Прежде чем устанавливать в Windows 7 эффективные меры безопасности, например, для совместного пользования файлами и папками, важно понимать используемые во время настройки безопасности типы учетных записей пользователей, и как сетевой протокол аутентифицирует и авторизует вход пользователей в систему.

Аутентификация - это процесс, используемый для подтверждения личности пользователя, при обращении его к компьютерной системе или дополнительным системным ресурсам. В частных и государственных компьютерных сетях (включая Интернет) наиболее часто для аутентификации предполагается проверка учетных данных пользователя; то есть, имя пользователя и пароль. Однако для типов критических транзакций, например обработка платежей, проверки подлинности имени пользователя и пароля не достаточно, так как пароли могут быть украдены или взломаны. По этой причине, основная часть интернет-бизнеса, а также многие другие сделки теперь используют цифровые сертификаты, которые выдаются и проверяются центром сертификации.

Аутентификация логически предшествует авторизации. Авторизация позволяет системе определить, может ли заверенный пользователь получить доступ и возможность обновить защищенные системные ресурсы. Авторизация позволяет установить директивный доступ к папкам и файлам, часы доступа, размер разрешенного места для хранения, и так далее.

• Изменения системных ресурсов первоначально разрешены системным администратором.
• При попытке пользователя получить доступ или обновить системный ресурс разрешение на действие оценивается системой или приложением.

Последний вариант позволяет пользователю получить доступ без аутентификации и авторизации. Он используется в случае, когда требуется предоставить доступ для анонимных не проходящих аутентификацию пользователей. Такой доступ, как правило, весьма ограничен.

Процесс авторизации и аутентификации.

Для получения доступа к файлам в сети пользователи для проверки их личности должны проходить аутентификацию. Это делается во время процесса входа в сеть. Операционная система Windows 7 для входа в сеть имеет следующие методы аутентификации:

• Протокол Kerberos версии 5: Основной метод аутентификации клиентов и серверов под управлением операционных систем Microsoft Windows. Он используется для проверки подлинности учетных записей пользователей и учетных записей компьютеров.
• Windows NT LAN Manager (NTLM): используется для обратной совместимости с операционными системами более старыми, чем Windows 2000 и некоторых приложений. Он менее гибок, эффективен и безопасен, чем протокол Kerberos версии 5.
• Сопоставление сертификатов: обычно используется для проверки подлинности при входе в сочетании со смарт-картой. Сертификат, записанный на смарт-карте, связан с учетной записью пользователя. Для чтения смарт-карт и аутентификации пользователя используется считыватель смарт-карт.

Новые функции аутентификации в Windows 7.

Целый ряд улучшений, связанных с процессами входа и проверки подлинности пользователя был добавлен еще в Windows Vista ®. Эти усовершенствования увеличили базовый набор функции проверки подлинности, чтобы помогло обеспечить лучшую безопасность и управляемость. В Windows 7 Microsoft продолжает начатые в Windows Vista усовершенствования, предоставляя следующие новые функции аутентификации:

• Смарт-карты
• Биометрия
• Интеграция личности в Интернете.

Смарт-карты.

Использование смарт-карт самый распространенный метод аутентификации. Для поощрения применения организациями и пользователями смарт-карт, Windows 7 предлагает новые возможности, облегчающие их использование и развертывание. Эти новые возможности позволяют использовать смарт-карты для выполнения разнообразных задач, включая:

• Смарт-карты Plug and Play
• Личные удостоверения проверки (PIV), стандарт национального института стандартов и технологий США (NIST)
• Поддержка для входа смарт-карты Kerberos.
• Шифрование дисков BitLocker
• Документы и электронная почта
• Использование с бизнес-приложениями.

Биометрия.

Биометрия - все более популярная технология, обеспечивающая удобный доступ к системам, услугам и ресурсам. Биометрия для однозначного определения человека использует измерение его неизменных физических характеристик. Одна из наиболее часто используемых биометрических характеристик - отпечатки пальцев.

До сих пор в Windows не было стандартной поддержки биометрических устройств. Чтобы решить эту проблему, Windows 7 вводит Windows Biometric Framework (WBF). WBF предоставляет новый набор компонентов, поддерживающий снятие отпечатка пальца с помощью биометрические устройства. Эти компоненты увеличивают безопасность пользователей.

Windows Biometric Framework упрощает пользователям и администраторам настройку и управление биометрическими устройствами на локальном компьютере или в домене.

Интеграция личности в Интернете.

Управление аккаунтом - стратегия обеспечения безопасности. Для разрешения или запрета проверки подлинности определенных компьютеров или всех компьютеров, которыми вы управляете онлайн, используется Групповая политика.

Интеграцией онлайн идентификации можно управлять политикой группы. Политика, настроенная как: “Сетевая безопасность: Позволить этому компьютеру при запросе идентификации PKU2U использовать ID онлайн”, управляет возможностью ID онлайн подтвердить подлинность этого компьютера при помощи протокола PKU2U. Этот параметр политики не влияет на способность учетных записей доменов или локальных учетных записей пользователей входить на этот компьютер.