Credential Guard в Защитнике Windows: требования. Требования windows server 2018
Требования к оборудованию и программному обеспечению для SharePoint Server 2016
- 3/7/2018
- Время чтения: 20 мин
-
Соавторы
В этой статье
Сводка. Узнайте минимальные требования к оборудованию и программному обеспечению для установки и запуска SharePoint Server 2016.Summary: Find out the minimum hardware and software requirements you need to install and run SharePoint Server 2016.
Важно!
При обращении в службу поддержки пользователей Майкрософт по поводу производственной системы, которая не соответствует заявленным минимальным требованиям к оборудованию, указанным в этом документе, помощь не будет предоставлена до тех пор, пока система не будет обновлена с учетом минимальных требований.If you contact Microsoft Customer Support Services about a production system that does not meet the minimum hardware specifications described in this document, support will be limited until the system is upgraded to the minimum requirements.
Требования к оборудованию: расположение физических серверовHardware requirements: Location of physical servers
Центры обработки данных некоторых предприятий находятся в непосредственной близости друг от друга и связаны высокоскоростными оптоволоконными каналами. В такой среде можно настроить два центра обработки данных в качестве одной фермы. Такая топология фермы называется растянутой фермой. Растянутые фермы для SharePoint Server 2016 поддерживаются.Some enterprises have datacenters that are in close proximity to one another and connected by high-bandwidth fiber optic links. In this environment, you can configure the two datacenters as a single farm. This distributed farm topology is called a stretched farm. Stretched farms for SharePoint Server 2016 are supported.
Чтобы архитектура растянутой фермы работала в качестве решения, обеспечивающего высокую доступность, необходимо выполнить следующие предварительные требования:For a stretched farm architecture to work as a supported high-availability solution, the following prerequisites must be met:
В течение десяти минут 99,9 % времени внутри фермы наблюдается постоянная задержка, которая составляет <1 мс в одном направлении. (Задержкой внутри фермы называется задержка между интерфейсными веб-серверами и серверами баз данных.)There is a highly consistent intra-farm latency of <1 ms one way, 99.9% of the time over a period of ten minutes. (Intra-farm latency is commonly defined as the latency between the front-end web servers and the database servers.)
Скорость передачи данных должна быть не ниже 1 Гбит/с.The bandwidth speed must be at least 1 gigabit per second.
Для обеспечения отказоустойчивости в растянутой ферме используйте рекомендации при настройке избыточных приложений-служб и баз данных.To provide fault tolerance in a stretched farm, use the standard best practice guidance to configure redundant service applications and databases.
Примечание.Note:
Средам SharePoint с серверами, расположенными в одном центре данных, также требуется задержка внутри фермы продолжительностью <1 мс (в одном направлении), действующая 99,9 % времени в течение 10 минут. В этом случае пропускная способность должна составлять не менее 1 Гбит/с.The intra-farm latency of <1 ms one way, 99,9% of the time over a period of ten minutes is also required for SharePoint environments with servers that are located in the same datacenter. The bandwidth speed should also be in this case at least 1 gigabit per second.
Требования к оборудованию: установки SharePoint serverHardware requirements: SharePoint server installations
В следующей таблице перечислены минимальные требования к оборудованию для установки и запуска SharePoint Server 2016 в установке фермы с несколькими серверами.The following table lists minimum hardware requirements for installing and running SharePoint Server 2016 in a multiple server farm installation.
Для базовой установки и диагностики (ведение журнала, отладка, создание дампов памяти и т. д.) требуется наличие достаточного пространства на жестком диске. При использовании в рабочей среде требуется дополнительное свободное пространство для повседневных операций. Свободное пространство в рабочей среде всегда должно превышать объем оперативной памяти как минимум в два раза.For all installation scenarios, you must have sufficient hard disk space for the base installation and sufficient space for diagnostics such as logging, debugging, creating memory dumps, and so on. For production use, you must also have additional free disk space for day-to-day operations. In addition, maintain two times as much free space as you have RAM for production environments.
Сведения о требованиях к оборудованию и программному обеспечению для Microsoft SQL Server 2014 см. в статье Требования к оборудованию и программному обеспечению для установки SQL Server 2014.For information about hardware and software requirements for Microsoft SQL Server 2014, see Hardware and Software Requirements for Installing SQL Server 2014.
| Роль одного сервера, использующего SQL ServerSingle server role that uses SQL Server | Разработка или установка ознакомительной версии SharePoint Server 2016 с минимальным рекомендуемым набором служб для сред разработки. Используйте роль односерверной фермы, с помощью которой вы сможете выбрать, какие приложения-службы необходимо подготовить. Дополнительные сведения о роли односерверной фермы см. в статье Обзор ролей сервера MinRole в SharePoint Server 2016Development or evaluation installation of SharePoint Server 2016 with the minimum recommended services for development environments. Use the Single-Server farm role that will let you choose which service applications to provision. For additional information on Single-Server farm role, see Overview of MinRole Server Roles in SharePoint Server 2016 | 16 ГБ16 GB | 64-разрядный четырехъядерный64-bit, 4 cores | 80 ГБ для системного диска80 GB for system drive 100 ГБ для второго диска100 GB for second drive |
| Роль одного сервера, использующего SQL ServerSingle server role that uses SQL Server | Установка версии SharePoint Server 2016 для пилотного или приемочного тестирования, в которой запущены все доступные службы для сред разработки.Pilot or user acceptance test installation of SharePoint Server 2016 running all available services for development environments. | 24 ГБ24 GB | 64-разрядный четырехъядерный64-bit, 4 cores | 80 ГБ для системного диска80 GB for system drive 100 ГБ для второго и дополнительных дисков100 GB for second drive and additional drives |
| SharePoint Server в ферме с несколькими серверамиSharePoint server in a multiple server farm | Установка SharePoint Server 2016 для разработки или оценки с минимальным набором служб.Development or evaluation installation of SharePoint Server 2016 with a minimum number of services. | 12 ГБ12 GB | 64-разрядный четырехъядерный64-bit, 4 cores | 80 ГБ для системного диска80 GB for system drive 80 ГБ для второго диска80 GB for second drive |
| SharePoint Server в ферме с несколькими серверамиSharePoint server in a multiple server farm | Развертывание SharePoint Server 2016 для пилотного или приемочного тестирования или работы, в котором выполняются все доступные службы.Pilot, user acceptance test, or production deployment of SharePoint Server 2016 running all available services. | 16 ГБ16 GB | 64-разрядный четырехъядерный64-bit, 4 cores | 80 ГБ для системного диска80 GB for system drive 80 ГБ для второго и дополнительных дисков80 GB for second drive and additional drives |
Требования к развертыванию: топология фермыDeployment requirements: Farm Topology
Сведения о планировании развертывания сервера см. в статье Планирование развертывания сервера MinRole в SharePoint Server 2016.For information about how to plan for a server deployment, see Planning for a MinRole server deployment in SharePoint Server 2016.
Требования к программному обеспечению для SharePoint Server 2016Software requirements for SharePoint Server 2016
Требования, указанные в следующем разделе, относятся к следующим типам установки:The requirements in the following section apply to the following installations:
Ферма серверов с одним серверомServer farm with a single server in the farm
Ферма серверов с несколькими серверамиServer farm with multiple servers in the farm
Примечание
SharePoint Server 2016 поддерживает диски, отформатированные с помощью файловой системы ReFS (Resilient File System). Дополнительные сведения о ReFs см. в статьях Обзор Resilient File System и Resilient File System.SharePoint Server 2016 supports drives that are formatted with the Resilient File System (ReFS). For additional information about ReFs, see Resilient File System Overview and Resilient File System
Средство подготовки продуктов Microsoft SharePoint упрощает установку необходимого программного обеспечения для SharePoint Server 2016. Необходимо подключение к Интернету, поскольку некоторые компоненты устанавливаются из Интернета.The Microsoft SharePoint Products Preparation Tool can assist you in the installation of the software prerequisites for SharePoint Server 2016. Ensure that you have an Internet connection because some prerequisites are installed from the Internet.
Минимальные требования к программному обеспечению для SharePoint Server 2016Minimum software requirements for SharePoint Server 2016
В этом разделе представлены минимальные требования к программному обеспечению для каждого сервера фермы.This section provides minimum software requirements for each server in the farm.
Минимальные требования к серверу базы данных в фермеMinimum requirements for a database server in a farm
Одно из следующих:One of the following:
64-разрядный выпуск Microsoft SQL Server 2014 с пакетом обновления 1 (SP1)The 64-bit edition of Microsoft SQL Server 2014 Service Pack 1 (SP1)
Microsoft SQL Server 2016 RTMMicrosoft SQL Server 2016 RTM
Microsoft SQL Server 2017 RTM для WindowsMicrosoft SQL Server 2017 RTM for Windows
Примечание
Продукты SQL Server и все будущие общедоступные обновления поддерживаются на протяжении жизненного цикла продукта SQL Server.SQL Server products and all future public updates are supported through the SQL Server product lifecycle.
Примечание
Экспресс-выпуск SQL Server не поддерживается.SQL Server Express is not supported. SQL Azure (служба SaaS) также не поддерживается для баз данных SharePoint.SQL Azure (the SaaS service) is also not supported for any SharePoint databases
Одна из следующих операционных систем сервера:One of the following server operating systems:
Windows Server 2012 R2 Standard или DatacenterWindows Server 2012 R2 Standard or Datacenter
Windows Server 2016 Standard или DatacenterWindows Server 2016 Standard or Datacenter
Windows Server 2019 Standard или DatacenterWindows Server 2019 Standard or Datacenter
Минимальные требования к серверам SharePoint в фермеMinimum requirements for SharePoint servers in a farm
Одна из следующих операционных систем сервера:One of the following server operating systems:
Windows Server 2012 R2 Standard или DatacenterWindows Server 2012 R2 Standard or Datacenter
Windows Server 2016 Standard или DatacenterWindows Server 2016 Standard or Datacenter
Windows Server 2019 Standard или DatacenterWindows Server 2019 Standard or Datacenter
Примечание
Установка клиента Office 2016 и SharePoint Server 2016 на том же компьютере не поддерживается.We don't support installing the Office 2016 client and SharePoint Server 2016 on the same computer.
Примечание
SharePoint Server 2016 поддерживает только вариант установки "Сервер с возможности рабочего стола" Windows Server 2016 и Windows Server 2019.SharePoint Server 2016 only supports the "Server with Desktop Experience" installation option of Windows Server 2016. For additional information about Windows Server offerings, see Windows Server Semi-annual Channel Overview Дополнительные сведения о предложениях Windows Server см. в Обзоре канала Semi-Annual Channel для Windows ServerOffice Online Server only supports the "Server with Desktop Experience" installation option of Windows Server 2016. For additional information about Windows Server offerings, see Windows Server Semi-annual Channel Overview
Примечание
SharePoint Server 2016 поддерживает Windows Server 2019, начиная с Обновления для системы безопасности для Microsoft SharePoint Enterprise Server 2016 (KB4011244), также известной как Общедоступное обновление для SharePoint Server 2016 за ноябрь 2017 года.SharePoint Server 2016 supports Windows Server 2019 starting with the Security Update for Microsoft SharePoint Enterprise Server 2016 (KB4011244), also known as the November 2017 Public Update for SharePoint Server 2016. Это обновление (или более новое общедоступное обновление для SharePoint Server 2016) необходимо установить прежде, чем создать новой фермы SharePoint или присоединить сервер к существующей ферме SharePoint с помощью Windows Server 2019.This update (or a newer Public Update for SharePoint Server 2016) must be installed before you can create a new SharePoint farm or join a server to an existing SharePoint farm using Windows Server 2019.
Средство подготовки продуктов Microsoft SharePoint устанавливает следующие необходимые компоненты на серверах SharePoint в ферме:The Microsoft SharePoint Products Preparation Tool installs the following prerequisites on SharePoint servers in a farm:
Роль веб-сервера (IIS)Web Server (IIS) role
Роль сервера приложенийApplication Server role
Microsoft .NET Framework версии 4.6Microsoft .NET Framework version 4.6
Собственный клиент Microsoft SQL Server 2012 с пакетом обновления 1Microsoft SQL Server 2012 Service Pack 1 Native Client
Microsoft WCF Data Services 5.6Microsoft WCF Data Services 5.6
Microsoft Identity ExtensionsMicrosoft Identity Extensions
Клиент Майкрософт для защиты и контроля информации (MSIPC)Microsoft Information Protection and Control Client (MSIPC)
Среда выполнения Microsoft Sync Framework 1.0 с пакетом обновления 1 (SP1) (x64)Microsoft Sync Framework Runtime v1.0 SP1 (x64)
Windows Server AppFabric 1.1Windows Server AppFabric 1.1
Накопительный пакет обновления 7 для Microsoft AppFabric 1.1 для Windows Server (KB 3092423)Cumulative Update Package 7 for Microsoft AppFabric 1.1 for Windows Server (KB 3092423)
Microsoft ODBC Driver 11 for SQL ServerMicrosoft ODBC Driver 11 for SQL Server
Распространяемый пакет Visual C++ для Visual Studio 2012Visual C++ Redistributable Package for Visual Studio 2012
Распространяемый пакет Visual C++ для Visual Studio 2015Visual C++ Redistributable Package for Visual Studio 2015
Минимальные требования для клиентских компьютеровMinimum requirements for client computers
Дополнительное программное обеспечение, поддерживаемое в SharePoint Server 2016Optional software supported in SharePoint Server 2016
Указанное в этом разделе дополнительное программное обеспечение поддерживается, но не требуется для установки или использования SharePoint Server 2016. Оно может требоваться для работы таких функций, как бизнес-аналитика.The optional software in this section is supported but is not required to install or use SharePoint Server 2016. This software might be required by capabilities such as business intelligence.
| Ферма с одним сервером, интерфейсные веб-серверы и серверы приложений в фермеSingle server farm, front-end web servers, and application servers in a farm | Поставщик данных .NET Framework для SQL Server (в рамках Microsoft .NET Framework).NET Framework Data Provider for SQL Server (part of Microsoft .NET Framework) Поставщик данных .NET Framework для OLE DB (в рамках Microsoft .NET Framework).NET Framework Data Provider for OLE DB (part of Microsoft .NET Framework) Workflow ManagerWorkflow Manager Вы можете установить Диспетчер бизнес-правил на специально выделенный компьютер.You can install Workflow Manager on a dedicated computer. Надстройка службы Microsoft SQL Server 2008 R2 Reporting Services для технологий Microsoft SharePointMicrosoft SQL Server 2008 R2 Reporting Services Add-in for Microsoft SharePoint Technologies Эта надстройка используется службами Службы Access для SharePoint Server 2016.This add-in is used by Access Services for SharePoint Server 2016. Платформа приложений уровня данных Microsoft SQL Server 2012 (DAC), 64-разрядная версияMicrosoft SQL Server 2012 Data-Tier Application (DAC) Framework 64-bit edition Microsoft SQL Server 2012 Transact-SQL ScriptDom, 64-разрядная версияMicrosoft SQL Server 2012 Transact-SQL ScriptDom 64-bit edition Microsoft System CLR Types для Microsoft SQL Server 2012, 64-разрядная версияMicrosoft System CLR Types for Microsoft SQL Server 2012 64-bit edition Microsoft SQL Server 2012 с пакетом обновления 1 (SP1) LocalDB, 64-разрядная версияMicrosoft SQL Server 2012 with SP1 LocalDB 64-bit edition Microsoft Data Services для .NET Framework 4 и Silverlight 4 (ранее — службы данных ADO.NET)Microsoft Data Services for the .NET Framework 4 and Silverlight 4 (formerly ADO.NET Data Services) Управляемый API веб-служб Exchange, версия 1.2Exchange Web Services Managed API, version 1.2 Удаленное хранилище больших двоичных объектов Microsoft SQL Server 2008 R2 (включено в пакет дополнительных компонентов SQL Server 2008 R2)Microsoft SQL Server 2008 R2 Remote Blob Store which is part of the Microsoft SQL Server 2008 R2 Feature Pack SQL Server 2008 R2Службы Analysis Services ADOMD.NETSQL Server 2008 R2 Analysis Services ADOMD.NET |
Ссылки на рекомендуемое программное обеспечениеLinks to applicable software
Чтобы установить Windows Server 2012 R2, SQL Server 2014 с пакетом обновления 1 (SP1) или SharePoint Server 2016, перейдите на веб-сайты, указанные в этом разделе. Большинство необходимых программ можно установить с начальной страницы SharePoint Server 2016. Необходимое программное обеспечение также доступно на веб-сайтах, указанных в этом разделе. Вы можете включить роль веб-сервера (IIS) и сервера приложений в диспетчере серверов.To install Windows Server 2012 R2, SQL Server 2014 Service Pack 1 (SP1) , or SharePoint Server 2016, you can go to the websites that are listed in this section. You can install most software prerequisites through the SharePoint Server 2016 Start page. The software prerequisites are also available from websites that are listed in this section. You can enable the Web Server (IIS) role and the Application Server role in Server Manager.
Если установка необходимых компонентов напрямую из Интернета невозможна, их можно скачать и установить из сетевой папки. Дополнительные сведения см. в статье Установка необходимых компонентов для SharePoint Server из сетевой папки.In scenarios where installing prerequisites directly from the Internet is not possible, you can download the prerequisites and then install them from a network share. For more information, see Install prerequisites for SharePoint Server from a network share.
Операции программы установки обязательных компонентов и параметры командной строкиPrerequisite installer operations and command-line options
Программа установки необходимых компонентов SharePoint Server 2016 (prerequisiteinstaller.exe) устанавливает программное обеспечение (если оно еще не установлено на целевом сервере) в следующем порядке:The SharePoint Server 2016 prerequisite installer (prerequisiteinstaller.exe) installs the following software, if it has not already been installed on the target server, in the following order:
Роль сервера приложений, роль веб-сервера (IIS)Application Server Role, Web Server (IIS) Role
Собственный клиент Microsoft SQL Server 2012 с пакетом обновления 1Microsoft SQL Server 2012 SP1 Native Client
Microsoft ODBC Driver 11 для SQL ServerMicrosoft ODBC Driver 11 for SQL Server
Среда выполнения Microsoft Sync Framework 1.0 с пакетом обновления 1 (SP1) (x64)Microsoft Sync Framework Runtime v1.0 SP1 (x64)
Windows Server AppFabric 1.1Windows Server AppFabric 1.1
Microsoft Identity ExtensionsMicrosoft Identity Extensions
Клиент Майкрософт для защиты и контроля информации 2.1Microsoft Information Protection and Control Client 2.1
Microsoft WCF Data Services 5.6Microsoft WCF Data Services 5.6
Microsoft .NET Framework 4.6Microsoft .NET Framework 4.6
Накопительный пакет обновления 7 для Microsoft AppFabric 1.1 для Windows Server (KB 3092423)Cumulative Update Package 7 for Microsoft AppFabric 1.1 for Windows Server (KB 3092423)
Распространяемый пакет Visual C++ для Visual Studio 2012Visual C++ Redistributable Package for Visual Studio 2012
Распространяемый пакет Visual C++ для Visual Studio 2015Visual C++ Redistributable Package for Visual Studio 2015
Вы можете запустить prerequisiteinstaller.exe из командной строки, используя следующие параметры. При запуске prerequisiteinstaller.exe в командной строке в процессе установки может потребоваться перезагрузить сервер (один или несколько раз). Чтобы продолжить установку необходимых компонентов после перезагрузки, запустите программу prerequisiteinstaller.exe, используя параметр /continue.You can run prerequisiteinstaller.exe at a command prompt with the following options. When you run prerequisiteinstaller.exe at a command prompt, you might be asked to restart the server one or more times during the installation process. After restarting, you should continue the prerequisite installation by running prerequisiteinstaller.exe with the /continue option.
/? Выводит параметры командной строки./? This displays command-line options.
/continue Сообщает программе установки о необходимости продолжить процесс после перезагрузки./continue This is used to tell the installer that it is continuing from being restarted.
/unattended Обозначает работу без участия пользователя./unattended This indicates no user interaction.
Программа установки выполняет установку из файла, указанного в параметрах командной строки, перечисленных в следующем списке. В этом списке < file> обозначает файл, из которого выполняется установка. Если параметр < file> не задан, программа установки выполняет загрузку и установку файла из Интернета. Если параметр неприменим для текущей операционной системы, он игнорируется.The installer installs from the file that you specify in the command-line options described in the following list. In this list, < file> signifies the file from which you want to install. If you do not specify the < file> option, the installer downloads the file from the Internet and installs it. If the option does not apply to the current operating system, it is ignored.
/SQLNCli:< file> Установка встроенного клиента Microsoft SQL Server 2012 с пакетом обновления 1 (SP1) из < file>./SQLNCli:< file> Install Microsoft SQL Server 2012 SP1 Native Client from < file>.
/IDFX11:< file> Установка Microsoft Identity Extensions из < file>./IDFX11:< file> Install Microsoft Identity Extensions from < file>.
/Sync:< file> Установка среды выполнения Microsoft Sync Framework 1.0 (x64) с пакетом обновления 1 (SP1) из < file>./Sync:< file> Install Microsoft Sync Framework Runtime SP1 v1.0 (x64) from < file>.
/AppFabric:< file> Установка Windows Server AppFabric из < file> (необходимо установить AppFabric, используя параметры /i CacheClient,CachingService,CacheAdmin /gac)./AppFabric:< file> Install Windows Server AppFabric from < file> (AppFabric must be installed with the options /i CacheClient,CachingService,CacheAdmin /gac).
/KB3092423:< file> Установка накопительного пакета обновления 7 для Microsoft AppFabric 1.1 для Windows Server (KB3092423) из < file>./KB3092423:< file> Install Cumulative Update Package 7 for Microsoft AppFabric 1.1 for Windows Server (KB3092423) from < file>.
/MSIPCClient:< file> Установка клиента Майкрософт для защиты и контроля информации из < file>./MSIPCClient:< file> Install Microsoft Information Protection and Control Client from < file>.
/WCFDataServices56:< file> Установка Microsoft WCF Data Services 5.6 из < file>./WCFDataServices56:< file> Install Microsoft WCF Data Services 5.6 from < file>.
/ODBC:< file> Установка Microsoft ODBC Driver 11 for SQL Server из < file>./ODBC:< file> Install Microsoft ODBC Driver 11 for SQL Server from < file>.
/DotNetFx:< fileУстановка Microsoft .NET Framework 4.6 из < file>.__> __/DotNetFx:< file> Install Microsoft .NET Framework 4.6 from < file>.
/MSVCRT11:< file> Установка распространяемого пакета Visual C++ для Visual Studio 2012 из < file>./MSVCRT11:< file> Install Visual C++ Redistributable Package for Visual Studio 2012 from < file>.
/MSVCRT14:< file> Установка распространяемого пакета Visual C++ для Visual Studio 2015 из < file>./MSVCRT14:< file> Install Visual C++ Redistributable Package for Visual Studio 2015 from < file>.
Параметры установкиInstallation options
Некоторые обязательные компоненты устанавливаются программой установки с использованием специальных параметров. Эти компоненты перечислены ниже вместе с параметрами, используемыми программой установки.Certain prerequisites are installed by the prerequisite installer with specific options. Those prerequisites with specific installation options are listed below with the options that are used by the prerequisite installer.
Windows AppFabricWindows AppFabric
/i CacheClient,CachingService,CacheAdmin /gac/i CacheClient,CachingService,CacheAdmin /gac
Microsoft WCF Data ServicesMicrosoft WCF Data Services
/quiet/quiet
Программа установки создает файлы журнала в папке %TEMP%\prerequisiteinstaller.<date>.<time>.log. В этих файлах журнала можно просмотреть подробные сведения обо всех изменениях, которые программа установки применяет на конечном компьютере.The prerequisite installer creates log files at %TEMP%\prerequisiteinstaller.<date>.<time>.log. You can check these log files for specific details about all changes the installer makes to the target computer.
docs.microsoft.com
Требования к AD FS 2016
- 03/06/2018
- Время чтения: 21 мин
В этой статье
Область применения: Windows Server 2016Applies To: Windows Server 2016
Ниже приведены требования для развертывания Служб федерации Active Directory:The following are the requirements for deploying AD FS:
Требования к сертификатамCertificate requirements
SSL-сертификатыSSL Certificates
Каждый сервер Служб федерации Active Directory и прокси веб-приложения имеет SSL-сертификата для службы HTTPS-запросы в службу федерации.Each AD FS and Web Application Proxy server has an SSL certificate to service HTTPS requests to the federation service. Прокси веб-приложения могут иметь дополнительные сертификаты SSL для обслуживания запросов к опубликованным приложениям.The Web Application Proxy can have additional SSL certificates to service requests to published applications.
Рекомендация: использовать один и тот же сертификат SSL для всех серверов федерации AD FS и веб-приложения прокси-серверов.Recommendation: Use the same SSL certificate for all AD FS federation servers and Web Application proxies.
Существуют следующие требования:Requirements:
SSL-сертификаты на серверах федерации должен соответствовать следующим требованиямSSL certificates on federation servers must meet the following requirements
- Сертификат является доверенным публично (для развертывания в производственной среде)Certificate is publicly trusted (for production deployments)
- Сертификат содержит значение сервера проверки подлинности улучшенного ключа (EKU)Certificate contains the Server Authentication Enhanced Key Usage (EKU) value
- Сертификат содержит имя службы федерации, например «fs.contoso.com» в субъекта или альтернативному имени субъекта (SAN)Certificate contains the federation service name, such as "fs.contoso.com" in the Subject or Subject Alternative Name (SAN)
- Для проверки подлинности сертификата пользователя на порте 443 сертификат содержит «certauth. \ < имя службы федерации >», например «certauth.fs.contoso.com» в сети SANFor user certificate authentication on port 443, certificate contains "certauth.<federation service name>", such as "certauth.fs.contoso.com" in the SAN
- Для регистрации устройств или для современных проверки подлинности на локальных ресурсов с помощью Windows, предшествующей Windows 10 клиентов SAN должен содержать «enterpriseregistration. \ < имя участника-пользователя suffix\ >» для каждого суффикса имени участника-пользователя, используемых в вашей организации.For device registration or for modern authentication to on premises resources using pre-Windows 10 clients, the SAN must contain "enterpriseregistration.<upn suffix>" for each UPN suffix in use in your organization.
SSL-сертификаты для прокси веб-приложения должны соответствовать следующим требованиямSSL certificates on the Web Application Proxy must meet the following requirements
- Если прокси-сервер используется для прокси-сервера AD FS запросы, использующие встроенную проверку подлинности Windows, SSL-сертификата прокси-сервера должен совпадать с (использовать тот же ключ) SSL-сертификат сервера федерацииIf the proxy is used to proxy AD FS requests that use Windows Integrated Authentication, the proxy SSL certificate must be the same (use the same key) as the federation server SSL certificate
- Если службы федерации Active Directory свойство, которое является «ExtendedProtectionTokenCheck» включен (по умолчанию в AD FS), SSL-сертификата прокси-сервера должны быть одинаковыми (использовать тот же ключ) SSL-сертификата сервера федерацииIf the AD FS property "ExtendedProtectionTokenCheck" is enabled (the default setting in AD FS), the proxy SSL certificate must be the same (use the same key) as the federation server SSL certificate
- В противном случае — для SSL-сертификата прокси-сервера предъявляются те же как для SSL-сертификат сервера федерацииOtherwise, the requirements for the proxy SSL certificate are the same as those for the federation server SSL certificate
Сертификат взаимодействия службService Communication Certificate
Этот сертификат не является обязательным для большинства сценариев AD FS, включая Azure AD и Office 365.This certificate is not required for most AD FS scenarios including Azure AD and Office 365. По умолчанию AD FS настраивает SSL-сертификат, после начальной настройки, как сертификат взаимодействия служб.By default, AD FS configures the SSL certificate provided upon initial configuration as the service communication certificate.
Рекомендации:Recommendation:
- Используйте тот же сертификат, как для использования протокола SSL.Use the same certificate as you use for SSL.
Сертификат для подписи маркераToken Signing Certificate
Этот сертификат является маркеры используемых подписи выдаваемых проверяющим сторонам, поэтому приложений проверяющей стороны должен распознавать сертификат и его соответствующее ключ как известных и доверенных.This certificate is used sign issued tokens to relying parties, so relying party applications must recognize the certificate and it's associated key as known and trusted. Если токен подписи сертификата изменения, такие как истечения срока действия и настройте новый сертификат, всем проверяющим сторонам необходимо обновить.When the token signing certificate changes, such as when it expires and you configure a new certificate, all relying parties must be updated.
Рекомендация: с помощью Служб федерации Active Directory сгенерированная по умолчанию, внутренне, самозаверяющие сертификаты для подписи маркера.Recommendation: Use the AD FS default, internally generated, self-signed token signing certificates.
Существуют следующие требования:Requirements:
- Если в вашей организации требует использования сертификатов из PKI предприятия для подписи маркера, это можно сделать с помощью параметра SigningCertificateThumbprint Install-AdfsFarm командлета.If your organization requires that certificates from the enterprise PKI be used for token signing, this can be done using the SigningCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
- Следует ли использовать сертификаты внутренне сгенерированная по умолчанию или извне зарегистрированные сертификаты, когда сертификат для подписи маркера изменяется необходимо убедиться, что всем проверяющим сторонам, обновляются с учетом новых сведений сертификата.Whether you use the default internally generated certificates or externally enrolled certificates, when the token signing certificate is changed you must ensure all relying parties are updated with the new certificate information. В противном случае не удастся входов проверяющей стороне, не обновляется.Otherwise, logons to any relying parties not updated will fail.
Маркер сертификат шифрования и расшифровкиToken Encrypting/Decrypting Certificate
Этот сертификат используется поставщиками утверждений, которые шифрования маркеров, выдаваемых в AD FS.This certificate is used by claims providers who encrypt tokens issued to AD FS.
Рекомендация: с помощью Служб федерации Active Directory сгенерированная по умолчанию, внутренне, самозаверяющий маркер, сертификатов расшифровки.Recommendation: Use the AD FS default, internally generated, self-signed token decrypting certificates.
Существуют следующие требования:Requirements:
- Если в вашей организации требует использования сертификатов из PKI предприятия для подписи маркера, это можно сделать с помощью параметра DecryptingCertificateThumbprint Install-AdfsFarm командлета.If your organization requires that certificates from the enterprise PKI be used for token signing, this can be done using the DecryptingCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
- Следует ли использовать сертификаты внутренне сгенерированная по умолчанию или извне зарегистрированные сертификаты, когда сертификат для расшифровки маркера изменяется необходимо убедиться, что все поставщики утверждений обновляются с учетом новых сведений сертификата.Whether you use the default internally generated certificates or externally enrolled certificates, when the token decrypting certificate is changed you must ensure all claims providers are updated with the new certificate information. В противном случае — вход в систему с использованием любые поставщики, которые не обновляется утверждений возникнет ошибка.Otherwise, logons using any claims providers not updated will fail.
Внимание!
Сертификаты, используемые для подписывания token\ и token-decrypting\ или шифрование крайне важную роль для стабильности службы федерации.Certificates that are used for token-signing and token-decrypting/encrypting are critical to the stability of the Federation Service. Клиенты, управление собственные сертификаты подписи token\ & token-decrypting\ или шифрование убедитесь, что эти сертификаты резервного копирования и доступны в независимо друг от друга во время события восстановления.Customers managing their own token-signing & token-decrypting/encrypting certificates should ensure that these certificates are backed up and are available independently during a recovery event.
Сертификаты пользователейUser Certificates
- При использовании x509, проверка подлинности сертификата пользователя с помощью AD FS, все сертификаты пользователей необходимо по цепочке корневого центра сертификации, который является доверенным сервером Служб федерации Active Directory и прокси веб-приложения.When using x509 user certificate authentication with AD FS, all user certificates must chain up to a root certification authority that is trusted by the AD FS and Web Application Proxy servers.
Требования к оборудованиюHardware requirements
AD FS и веб-приложения прокси требования к оборудованию (физическая или виртуальная) заблокированный на ЦП, поэтому размер необходимо настроить фермы для производительности обработки.AD FS and Web Application Proxy hardware requirements (physical or virtual) are gated on CPU, so you should size your farm for processing capacity.
Требования к памяти и дисков для служб AD FS довольно статических, см. таблицу ниже:The memory and disk requirements for AD FS are fairly static, see the table below:
| ОЗУRAM | 2 ГБ2 GB | 4 ГБ4 GB |
| На дискеDisk space | 32 ГБ32 GB | 100 ГБ100 GB |
Требования к оборудованию сервера SQLSQL Server Hardware Requirements
Если вы используете SQL Server для базы данных конфигурации AD FS, размер SQL Server в соответствии с Базовые рекомендации SQL Server.If you are using SQL Server for your AD FS configuration database, size the SQL Server according to the most basic SQL Server recommendations. Размер базы данных Служб федерации Active Directory не требует существенных усилий и AD FS не размещайте значительные нагрузку на экземпляр базы данных.The AD FS database size is very small, and AD FS does not put a significant processing load on the database instance. Службы федерации Active Directory Однако подключиться к базе данных несколько раз во время проверки подлинности для подключения к сети должны быть надежными.AD FS does, however, connect to the database multiple times during an authentication, so the network connection should be robust. К сожалению SQL Azure не поддерживается для базы данных конфигурации AD FS.Unfortunately, SQL Azure is not supported for the AD FS configuration database.
Требования к прокси-сервераProxy requirements
Для доступа через экстрасеть, необходимо развернуть службы роли прокси веб-приложения \ — частью роли сервера удаленного доступа.For extranet access, you must deploy the Web Application Proxy role service - part of the Remote Access server role.
Прокси-серверы сторонних производителей должен поддерживать протокола MS-ADFSPIP для поддерживаются в качестве прокси-сервер AD FS.Third party proxies must support the MS-ADFSPIP protocol to be supported as an AD FS proxy. Список сторонних поставщиков см : вопросы и ответы.For a list of 3rd party vendors see the FAQ.
AD FS 2016 требуется серверы прокси веб-приложения в Windows Server 2016.AD FS 2016 requires Web Application Proxy servers on Windows Server 2016. Невозможно настроить прокси-сервер нижнего уровня для фермы AD FS 2016 выполнение на уровне фермы 2016 поведение.A downlevel proxy cannot be configured for an AD FS 2016 farm running at the 2016 farm behavior level.
Сервер федерации и службы роли прокси веб-приложения не удается установить на том же компьютере.A federation server and the Web Application Proxy role service cannot be installed on the same computer.
Требования служб AD DSAD DS requirements
Требования к контроллеру доменаDomain controller requirements
AD FS требуются контроллеры домена под управлением Windows Server 2008 или более поздней версии.AD FS requires Domain controllers running Windows Server 2008 or later.
Для Microsoft Passport для работы требуется по крайней мере один контроллер домена Windows Server 2016.At least one Windows Server 2016 domain controller is required for Microsoft Passport for Work.
Примечание
Окончена поддержка средах с контроллерами домена Windows Server 2003.All support for environments with Windows Server 2003 domain controllers has ended. Посетите на этой странице Дополнительные сведения о жизненного цикла поддержки Майкрософт.Visit this page for additional information on the Microsoft Support Lifecycle.
Требования к functional\ уровня доменаDomain functional-level requirements
Все домены учетной записи пользователя и домен, к которому присоединены серверов AD FS должен работать в режиме работы домена Windows Server 2003 или более поздней версии.All user account domains and the domain to which the AD FS servers are joined must be operating at the domain functional level of Windows Server 2003 or higher.
Режим работы домена Windows Server 2008 уровне или более поздней версии необходим для проверки подлинности сертификата клиента Если сертификат явно сопоставлен учетной записи пользователя в Доменных службах Active Directory.A Windows Server 2008 domain functional level or higher is required for client certificate authentication if the certificate is explicitly mapped to a user's account in AD DS.
Требования к схемеSchema requirements
Новые установки AD FS 2016 требуется схема Active Directory 2016 (Минимальная версия 85).New installations of AD FS 2016 require the Active Directory 2016 schema (minimum version 85).
Повышение уровня поведение фермы AD FS (FBL) на уровень 2016 требуется схема Active Directory 2016 (Минимальная версия 85).Raising the AD FS farm behavior level (FBL) to the 2016 level requires the Active Directory 2016 schema (minimum version 85).
Требования к учетной записи службыService account requirements
Можно использовать любой стандартный домен учетной записи как учетная запись службы для служб AD FS.Any standard domain account can be used as a service account for AD FS. Группа управляемых учетных записей также поддерживаются.Group Managed Service accounts are also supported. Разрешения, необходимые во время выполнения будут автоматически добавлены при настройке Служб федерации Active Directory.The permissions required at runtime will be added automatically when you configure AD FS.
Групповые управляемые учетные записи служб требуется по крайней мере один контроллер домена под управлением Windows Server 2012 или более поздней версии.Group Managed service accounts require at least one domain controller running Windows Server 2012 or higher. Эта учетная запись должен находиться в группе по умолчанию "CN = контейнера управляемые учетные записи служб.The GMSA must live under the default 'CN=Managed Service Accounts' container.
Для проверки подлинности Kerberos, имя участника-службы "HOST/<adfs\_service\_name>" должен быть зарегистрирован на учетную запись службы AD FS.For Kerberos authentication, the service principal name ‘HOST/<adfs\_service\_name>’ must be registered on the AD FS service account. По умолчанию AD FS настроит это при создании новой ферме AD FS.By default, AD FS will configure this when creating a new AD FS farm. Если это не сработает, таких как в случае конфликта или недостаточные разрешения, появится предупреждение, и следует добавить вручную.If this fails, such as in the case of a collision or insufficient permissions, you'll see a warning and you should add it manually.
Требования к доменуDomain Requirements
Все серверы Служб федерации Active Directory должен быть присоединен к домену AD DS.All AD FS servers must be a joined to an AD DS domain.
Все серверы Служб федерации Active Directory в ферме должны быть развернуты в том же домене.All AD FS servers within a farm must be deployed in the same domain.
Требования к нескольких лесовMulti Forest Requirements
Домен, к которому присоединены серверов AD FS должны доверять каждый домен или лес, содержащий пользователей, проверку подлинности в службе AD FS.The domain to which the AD FS servers are joined must trust every domain or forest that contains users authenticating to the AD FS service.
Лес, что учетная запись службы AD FS входит в группу, должны доверять всем лесам входа пользователя.The forest, that the AD FS service account is a member of, must trust all user login forests.
Учетная запись службы AD FS, должна иметь разрешения на чтение атрибутов пользователей в каждом домене, содержащий пользователи проверку подлинности в службе AD FS.The AD FS service account must have permissions to read user attributes in every domain that contains users authenticating to the AD FS service.
Требования к базе данных конфигурацииConfiguration database requirements
В этом разделе описываются требования и ограничения для фермы Служб федерации Active Directory, использующих соответственно внутренней базы данных Windows (WID) или SQL Server для базы данных:This section describes the requirements and restrictions for AD FS farms that use respectively the Windows Internal Database (WID) or SQL Server as the database:
ВНУТРЕННЕЙ БАЗЫ ДАННЫХ WINDOWSWID
Профиль разрешения артефактов SAML 2.0 не поддерживается на ферме внутренней базы данных Windows.The artifact resolution profile of SAML 2.0 is not supported in a WID farm.
Обнаружение воспроизведения токенов не поддерживается на ферме внутренней базы данных Windows.Token replay detection is not supported a WID farm. (Эта функция только используется только в сценариях, где выступает в качестве поставщика федерации AD FS и использует токены безопасности от поставщиков утверждений внешних).(This functionality is only used only in scenarios where AD FS is acting as the federation provider and consuming security tokens from external claims providers.)
В следующей таблице приведены сводку числа серверов Служб федерации Active Directory поддерживается в WID vs фермы SQL Server.The following table provides a summary of how many AD FS servers are supported in a WID vs a SQL Server farm.
| Серверы 1-30 AD FS1 - 30 AD FS servers | Поддерживается внутренней базы данных WindowsWID Supported | Не поддерживается с использованием WID - требуется SQL ServerNot supported using WID - SQL Server required |
| Серверы более чем 30 AD FSMore than 30 AD FS servers | Не поддерживается с использованием WID - требуется SQL ServerNot supported using WID - SQL Server required | Не поддерживается с использованием WID - требуется SQL ServerNot supported using WID - SQL Server required |
SQL ServerSQL Server
AD FS в Windows Server 2016 поддерживаются SQL Server 2008 и более поздних версиях.For AD FS in Windows Server 2016, SQL Server 2008 and higher versions are supported.
Разрешение артефактов SAML и обнаружения воспроизведения токена поддерживаются в ферме SQL Server.Both SAML artifact resolution and token replay detection are supported in a SQL Server farm.
Требования к браузерамBrowser requirements
При проверке подлинности AD FS через браузер или управления браузера, браузер, должны соответствовать следующим требованиям:When AD FS authentication is performed via a browser or browser control, your browser must comply to the following requirements:
Необходимо включить JavaScriptJavaScript must be enabled
Для единого входа необходимо настроить клиентский браузер для поддержки файлов cookieFor single sign on, the client browser must be configured to allow cookies
(SNI) Указание имени сервера должен поддерживатьсяServer Name Indication (SNI) must be supported
Для сертификатов и устройств сертификата проверки подлинности пользователя браузер должен поддерживать SSL-проверки подлинности сертификата клиентаFor user certificate & device certificate authentication, the browser must support SSL client certificate authentication
Для эффективной входа с помощью встроенной проверки подлинности Windows необходимо настроить имя службы федерации (например, https://fs.contoso.com) в зону местной интрасети или зоны надежных узлов.For seamless sign on using Windows Integrated Authentication, the federation service name (such as https://fs.contoso.com) must be configured in local intranet zone or trusted sites zone.
Требования к сетиNetwork requirements
Требования к брандмауэруFirewall Requirements
Брандмауэр, расположенный между прокси веб-приложения и фермы серверов федерации и брандмауэра между клиентами и прокси веб-приложения необходимо иметь TCP-порт 443 включена входящего трафика.Both the firewall located between the Web Application Proxy and the federation server farm and the firewall between the clients and the Web Application Proxy must have TCP port 443 enabled inbound.
Кроме того, если пользователь клиентских сертификатов проверки подлинности \ (clientTLS проверки подлинности с помощью X509 certificates\ пользователя) является обязательным и не включен в конечной точке certauth через порт 443, AD FS 2016 требует, чтобы включить TCP-порт 49443 входящих на брандмауэре между клиентами и прокси веб-приложения.In addition, if client user certificate authentication (clientTLS authentication using X509 user certificates) is required and the certauth endpoint on port 443 is not enabled, AD FS 2016 requires that TCP port 49443 be enabled inbound on the firewall between the clients and the Web Application Proxy. Это не требуется на брандмауэре между прокси веб-приложения и servers\ федерации).This is not required on the firewall between the Web Application Proxy and the federation servers).
Дополнительные сведения о порт гибридного см. требования к гибридное удостоверение порты и протоколы.For additional information on hybrid port requirements see Hybrid Identity Ports and Protocols.
Дополнительные сведения см. рекомендации по обеспечению безопасности служб федерации Active DirectoryFor additional information see Best practices for securing Active Directory Federation Services
Требования к DNSDNS Requirements
Для доступа к интрасети все клиенты, доступ к службе AD FS в (intranet) внутренней корпоративной сети должен иметь возможность разрешать имя службы AD FS для подсистемы балансировки нагрузки для серверов Служб федерации Active Directory или сервера AD FS.For intranet access, all clients accessing AD FS service within the internal corporate network (intranet) must be able to resolve the AD FS service name to the load balancer for the AD FS servers or the AD FS server.
Для доступа через экстрасеть все клиенты, доступ к службе AD FS из за пределами корпоративной сети (extranet/internet) должен быть способен разрешить имя службы AD FS для подсистемы балансировки нагрузки для серверов прокси веб-приложения или веб-приложения прокси-сервера.For extranet access, all clients accessing AD FS service from outside the corporate network (extranet/internet) must be able to resolve the AD FS service name to the load balancer for the Web Application Proxy servers or the Web Application Proxy server.
Каждый сервер прокси веб-приложения в сети Периметра должен быть способен разрешить имя службы AD FS для подсистемы балансировки нагрузки для серверов Служб федерации Active Directory или сервера AD FS.Each Web Application Proxy server in the DMZ must be able to resolve AD FS service name to the load balancer for the AD FS servers or the AD FS server. Это можно сделать с помощью Альтернативный DNS-сервер в сети Периметра сети или изменив разрешение на локальный сервер, используя файл HOSTS.This can be achieved using an alternate DNS server in the DMZ network or by changing local server resolution using the HOSTS file.
Для встроенной проверки подлинности Windows необходимо использовать (not CNAME) записи DNS типа для имени службы федерации.For Windows Integrated authentication, you must use a DNS A record (not CNAME) for the federation service name.
Для проверки подлинности сертификата пользователя на порте 443 «certauth. \ < имя службы федерации >» необходимо настроить в DNS для разрешения для сервера федерации или прокси веб-приложения.For user certificate authentication on port 443, "certauth.<federation service name>" must be configured in DNS to resolve to the federation server or web application proxy.
Для регистрации устройств или для современных проверки подлинности на локальных ресурсов с помощью Windows, предшествующей Windows 10 клиентов «enterpriseregistration. \ < имя участника-пользователя suffix\ >», для каждого суффикса имени участника-пользователя, используемых в вашей организации, необходимо настроить для разрешения для сервера федерации или прокси веб-приложения.For device registration or for modern authentication to on premises resources using pre-Windows 10 clients, "enterpriseregistration.<upn suffix>", for each UPN suffix in use in your organization, must be configured to resolve to the federation server or web application proxy.
Требования к подсистеме балансировки нагрузкиLoad Balancer requirements
- Подсистема балансировки нагрузки не должен завершить SSL.The load balancer MUST NOT terminate SSL. AD FS поддерживает несколько вариантов использования с помощью проверки подлинности сертификата, который нарушит при прекращении SSL.AD FS supports multiple use cases with certificate authentication which will break when terminating SSL. Завершение SSL в подсистеме балансировки нагрузки не поддерживается для любого варианта использования.Terminating SSL at the load balancer is not supported for any use case.
- Рекомендуется использовать подсистему балансировки нагрузки, которая поддерживает сетевого Адаптера.It is recommended to use a load balancer that supports SNI. В событии нет, с помощью привязки резервной 0.0.0.0 на AD FS или веб-приложения прокси-сервер должен предоставить решения.In the event it does not, using the 0.0.0.0 fallback binding on your AD FS / Web Application Proxy server should provide a workaround.
- Рекомендуется использовать конечные точки проверки работоспособности HTTP (не HTTPS) для выполнения проверки работоспособности подсистемы балансировки нагрузки для маршрутизации трафика.It is recommended to use the HTTP (not HTTPS) health probe endpoints to perform load balancer health checks for routing traffic. Это позволит избежать все проблемы, связанные с сетевого Адаптера.This avoids any issues relating to SNI. Ответ на эти конечные точки проверки является HTTP 200 OK и обслуживается локально с зависимость от внутренних служб.The response to these probe endpoints is an HTTP 200 OK and is served locally with no dependence on back-end services. Проверка HTTP может осуществляться по протоколу HTTP, с помощью пути «/ adfs/проверки»The HTTP probe can be accessed over HTTP using the path ‘/adfs/probe’
- http://<имя прокси веб-приложения>/adfs/проверкиhttp://<Web Application Proxy name>/adfs/probe
- http://<имя сервера служб федерации Active Directory>/adfs/проверкиhttp://<ADFS server name>/adfs/probe
- http://<Web приложения прокси-сервера, IP-адрес>/adfs/проверкиhttp://<Web Application Proxy IP address>/adfs/probe
- http://<ADFS IP-адрес>/adfs/проверкиhttp://<ADFS IP address>/adfs/probe
- НЕ рекомендуется использовать DNS циклического перебора, как способ балансировки нагрузки.It is NOT recommended to use DNS round robin as a way to load balance. Использование этого типа балансировки нагрузки не поддерживает автоматическое способ удаления узла из подсистемы балансировки нагрузки с помощью проверки работоспособности.Using this type of load balancing does not provide an automated way to remove a node from the load balancer using health probes.
- Рекомендуется не использовать сопоставление IP на основе сеансов или закрепленных сеансов для трафик проверки подлинности в AD FS в подсистеме балансировки нагрузки.It is NOT recommended to use IP based session affinity or sticky sessions for authentication traffic to AD FS within the load balancer. Это может вызвать перегруженный определенных узлов при использовании протокола проверки подлинности для почтовыми клиентами для подключения к службам почты Office 365 (Exchange Online).This can cause an overload of certain nodes when using legacy authentication protocol for mail clients to connect to Office 365 mail services (Exchange Online).
Требования к разрешениямPermissions requirements
Администратор, который выполняет установки и начальной настройки Служб федерации Active Directory требуются разрешения локального администратора на сервере AD FS.The administrator that performs the installation and the initial configuration of AD FS must have local administrator permissions on the AD FS server. Если локальный администратор не имеет разрешений на создание объектов в Active Directory, он должен иметь администратора домена создать необходимые объекты AD, а затем настроить с помощью параметра AdminConfiguration фермы AD FS.If the local administrator does not have permissions to create objects in Active Directory, they must first have a domain admin create the required AD objects, then configure the AD FS farm using the AdminConfiguration parameter.
docs.microsoft.com
Требования для Credential Guard в Защитнике Windows (Windows 10)
- 01/12/2018
- Время чтения: 9 мин
-
Соавторы
В этой статье
Область применения
- Windows 10
- WindowsServer2016
Предпочитаете видео? См. видео Развертывание Credential Guard в Защитнике Windows в серии видео "Глубокое погружение в Credential Guard в Защитнике Windows".
Для защиты учетных данных Защитника Windows для защиты компьютеров, обозначающих должны удовлетворять определенным базового требованиям оборудования, встроенного по и программного обеспечения, которые мы будет называть требования к оборудованию и программному обеспечению. Кроме того, Credential Guard в Защитнике Windows блокирует определенные средства проверки подлинности, поэтому приложения, которым требуются заблокированные средства, прекратят работу. Они будут упоминаться как Требования к приложениям. Кроме этого, компьютеры могут соответствовать дополнительным требованиям к оборудованию и встроенному ПО и получать дополнительную защиту. Эти компьютеры будут более защищены от определенных угроз. Подробные сведения о базовой защите, а также средствах защиты для повышения уровня безопасности, связанные с параметрами оборудования и встроенного ПО, доступные в 2015-2017 годах см. в таблицах в разделе Вопросы безопасности.
Требования к оборудованию и программному обеспечению
Чтобы обеспечить базовую защиту от попыток на уровне ОС считать учетные данные домена диспетчера учетных данных, а также учетные данные, извлеченные из NTLM и Kerberos, в Credential Guard в Защитнике Windows используются приведенные ниже функции.
- Поддержка системы безопасности на основе виртуализации (обязательно)
- Безопасная загрузка (обязательно)
- TPM 1.2 или 2.0, либо точечные или микропрограммы (предпочитаемое - обеспечивает привязку для оборудования)
- Блокировка UEFI (предпочитаемая— защита от злоумышленника с помощью простого изменения раздела реестра)
Требования к безопасности на основе виртуализации.
- 64-разрядный ЦП
- Расширения виртуализации в ЦП, а также расширенные таблицы страниц
- Гипервизор Windows
Развертывание Credential Guard в Защитнике Windows на виртуальных машинах
Credential Guard может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Развертывание Credential Guard на виртуальной машине обеспечивает защиту секретных сведений от атак внутри виртуальной машины. Credential Guard не обеспечивает дополнительный уровень защиты от атак привилегированной системы, исходящих с узла.
Требования для запуска Credential Guard в Защитнике Windows на виртуальных машинах Hyper-V
- Для узла Hyper-V требуется модуль IOMMU и по крайней мере операционная система Windows Server 2016 или Windows 10 версии 1607.
- Виртуальная машина Hyper-V должна быть 2 поколения с включенным виртуальным модулем TPM и Windows Server 2016 или Windows 10.
Сведения о других платформах узлов см. в разделе Включение функций безопасности на основе виртуализации Hyper-V и Windows Server2016 на других платформах
Сведения о требованиях к оборудованию и программному обеспечению для удаленного Credential Guard в Защитнике Windows см. в разделе Требования к оборудованию и программному обеспечению для удаленного Credential Guard в Защитнике Windows
Требования к приложениям
При включении Credential Guard в Защитнике Windows блокируются определенные средства проверки подлинности, поэтому приложения, которым требуются заблокированные средства, прекратят работу. Приложения необходимо проверить перед развертыванием, чтобы обеспечить совместимость с ограниченными функциями.
Предупреждение
Включение Credential Guard в Защитнике Windows на контроллерах домена не поддерживается. На контроллере домена размещаются службы проверки подлинности, которые интегрируются с процессами, изолируемыми при включении Credential Guard в Защитнике Windows, что приводит к сбоям.
Примечание
Credential Guard в Защитнике Windows не обеспечивает защиту для базы данных Active Directory или диспетчера учетных записей безопасности (SAM). Учетные данные, защищенные с помощью Kerberos и NTLM при включенном Credential Guard в Защитнике Windows, также находятся в базе данных Active Directory (на контроллерах домена) и SAM (для локальных учетных записей).
Предложения прекратят работу, если потребуется приведенное ниже:
- Поддержка шифрования Kerberos DES
- Неограниченное делегирование Kerberos
- Извлечение Kerberos TGT
- NTLMv1
Приложения будут запрашивать учетные данные и подвергать их риску, если для них требуется приведенное ниже.
- Дайджест-проверка подлинности
- Делегирование учетных данных
- MS-CHAPv2
Приложения могут приводить к проблемам с производительностью, когда пытаются подключить изолированный процесс Credential Guard в Защитнике Windows.
Службы и протоколы, зависящие от Kerberos, например общие файловые ресурсы, удаленный рабочий стол и BranchCache, продолжают работать и не попадают под действие Credential Guard в Защитнике Windows.
См. в этом видео: Учетные данные, защищенные с помощью Credential Guard в Защитнике Windows
Соображения безопасности
Все компьютеры, соответствующие базовой защите для оборудования, встроенного ПО и программного обеспечения, могут использовать Credential Guard в Защитнике Windows. Компьютеры, соответствующие дополнительным требованиям, могут обеспечить дополнительную защиту, чтобы уменьшить уязвимость. В следующих таблицах описываются базовые меры защиты, а также меры защиты для обеспечения повышенной безопасности, которые связаны с параметрами оборудования и встроенного ПО, доступными в 2015–2017 гг.
Базовые меры защиты
| Оборудование: 64-разрядный ЦП | Чтобы гипервизор Windows обеспечивал работу функций VBS, необходим 64-разрядный компьютер. | |
| Оборудование: расширения виртуализации в ЦП,а также Extended Page Tables | Требования: для работы VBS требуются следующие функциональные возможности оборудования/Одно из следующих расширений виртуализации:• VT-x (Intel) или• AMD-VА также:• Технология Extended Page Tables, также называемая Second Level Address Translation (SLAT). | VBS обеспечивает изоляцию ядра безопасности от обычной операционной системы. Благодаря этой изоляции в обычной операционной системе нельзя воспользоваться уязвимостями и атаками "нулевого дня". |
| Оборудование: Доверенный платформенный модуль (TPM) | Требование: TPM 1.2 или TPM 2.0, выделенный модуль или встроенное ПО.Рекомендации по TPM | TPM защищает ключи шифрования VBS, которые хранятся во встроенном ПО. Это позволяет предотвращать атаки при физическом доступе пользователя к компьютеру и системе BIOS. |
| Встроенное ПО: версия встроенного ПО UEFI 2.3.1.c и выше с безопасной загрузкой UEFI | Требования: см. следующее требование программы совместимости оборудования с Windows: System.Fundamentals.Firmware.UEFISecureBoot | Безопасная загрузка UEFI обеспечивает запуск на устройстве только авторизованного кода. Она может предотвратить установку буткитов и руткитов и их сохранение между перезагрузками. |
| Встроенное ПО: безопасный процесс обновления встроенного ПО | Требования: встроенное ПО UEFI должно поддерживать безопасное обновление встроенного ПО, которое указано в требованиях Программы совместимости оборудования Windows: System.Fundamentals.Firmware.UEFISecureBoot. | Встроенное ПО UEFI, как и любое ПО, имеет уязвимости безопасности, которые при их обнаружении должны устраняться посредством обновления встроенного ПО, Исправление позволяет предотвратить установку руткитов. |
| Программное обеспечение: прошедшая проверку операционная система Windows | Требование: Windows 10 Корпоративная, Windows 10 для образовательных учреждений, Windows Server 2016 или Windows 10 IoT Enterprise Внимание!Windows Server 2016 в роли контроллера домена не поддерживает Credential Guard. В этой конфигурации поддерживается только Device Guard в Защитнике Windows. | Поддержка VBS и функций управления, которые упрощают настройку Credential Guard в Защитнике Windows. |
Важно!
В следующих таблицах приводятся дополнительные требования для повышенной безопасности. Мы настоятельно рекомендуем выполнить дополнительные требования для повышенной безопасности в целях значительного повышения уровня безопасности, обеспечиваемого Credential Guard в Защитнике Windows.
2015: дополнительные требования к безопасности, начиная с Windows 10 версии 1507 и Windows Server 2016 Technical Preview 4
| Оборудование: IOMMU (модуль управления памятью ввода-вывода) | Требование: VT-D или AMD Vi IOMMU Преимущества безопасности: модуль IOMMU повышает устойчивость системы к атакам на память. Дополнительные сведения см. в разделе Таблицы описания ACPI. |
| Встроенное ПО: защита конфигурации загрузки и управление ею | Требования• Необходимо наличие пароля BIOS или более строгой проверки подлинности.• В конфигурации BIOS необходимо настроить проверку подлинности BIOS.• Необходима поддержка защищенного параметра BIOS для настройки списка разрешенных устройств загрузки (например, "Загружаться только со встроенного жесткого диска") и порядка устройств загрузки, переопределяющих изменения BOOTORDER, выполненные операционной системой.• В конфигурации BIOS необходимо обеспечить безопасность параметров BIOS, связанных с безопасностью и вариантами загрузки (список разрешенных устройств загрузки, порядок загрузки) во избежание запуска операционных систем, а также изменения параметров BIOS. |
| Встроенное ПО: Secure MOR, реализация версии 2 | Требование: Secure MOR, реализация версии 2 |
2016 Дополнительные требования к безопасности начиная с Windows 10 версии 1607 и Windows Server 2016
Важно!
В следующих таблицах приводятся дополнительные требования для повышенной безопасности. Системы, которые соответствуют этим дополнительным требованиям, могут предоставлять дополнительные средства защиты.
| Встроенное ПО: безопасная загрузка на основе доверенной платформы, встроенной в оборудование | ТребованияНеобходимо обеспечение целостности загрузки (безопасная загрузка платформы). См. требования Программы совместимости оборудования Windows в разделе System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby• Необходимо внедрить интерфейс HSTI. См. спецификацию проверки безопасности оборудования. | Целостность загрузки (безопасная загрузка платформы) с момента включения обеспечивает меры защиты от физического доступа злоумышленников, а также надежную защиту от вредоносного ПО.• HSTI обеспечивает дополнительную безопасность при правильном обеспечении безопасности микросхемы и платформы. |
| Встроенное ПО: обновление встроенного ПО через Центр обновления Windows | Требования: встроенное ПО должно поддерживать обновление на месте через Центр обновления Windows и инкапсулированное обновление UEFI. | Обеспечивает быстрое, надежное и безопасное обновление встроенного ПО. |
| Встроенное ПО: защита конфигурации загрузки и управление ею | Требования• Требуемые возможности BIOS: возможность поставщика оборудования добавлять сертификаты независимых поставщиков программного обеспечения, поставщиков оборудования и корпоративные сертификаты в базу данных безопасной загрузки во время производства.• Требуемые конфигурации: Центр сертификации Microsoft UEFI CA должен быть удален из базы данных безопасной загрузки. Поддержка сторонних модулей UEFI разрешена, но необходимо использовать сертификаты, предоставленные независимыми поставщиками программного обеспечения, или сертификат поставщика оборудования для определенного программного обеспечения UEFI. | • Предприятия могут разрешить запуск собственных драйверов и приложений EFI.• Удаление центра сертификации Microsoft UEFI CA из базы данных безопасной загрузки обеспечивает полный контроль предприятий над программным обеспечением, которое запускается до загрузки операционной системы. |
2017 Дополнительные требования к безопасности начиная с Windows 10 версии 1703
В следующей таблице перечислены требования к Windows 10 версии 1703, которые являются дополнительными ко всем перечисленным выше требованиям.
| Встроенное ПО: реализация защиты NX с помощью VBS для служб среды выполнения UEFI | Требования• VBS обеспечит защиту от запуска исполняемого кода (NX) в коде службы среды выполнения UEFI и областях данных в памяти. Код служб среды выполнения UEFI должен поддерживать защиту страниц только для чтения. Кроме того, данные службы среды выполнения UEFI не должны быть исполняемыми.• Служба среды выполнения UEFI должна отвечать приведенным ниже требованиям. - Требуется реализовать таблицу UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE. В этой таблице должны описываться все данные в памяти службы среды выполнения UEFI (код и данные). - Разделы PE необходимо выровнять по страницам в памяти (не требуется для энергонезависимого хранилища). - В таблице атрибутов памяти код и данные должны быть правильно помечены как RO/NX для настройки в операционной системе. - Все объекты должны включать атрибуты EFI_MEMORY_RO, EFI_MEMORY_XP или оба сразу. - Не должно остаться объектов без указанных выше атрибутов, то есть доступных для записи и исполнения. Память должна быть либо доступна для чтения и исполнения, либо доступна для записи и недоступна для исполнения. Примечания.• Это касается только памяти службы среды выполнения UEFI, а не памяти службы загрузки UEFI. • Эта защита применяется VBS в таблицах страниц ОС. Также имейте в виду вот что. • Не используйте разделы, которые доступны как для записи, так и для исполнения.• Не пытайтесь напрямую изменить исполняемую системную память.• Не используйте динамический код. | • Уязвимости в среде выполнения UEFI (при наличии) будут блокироваться для предотвращения взлома VBS (аналогично таким функциям, как UpdateCapsule и SetVariable).• Сокращение поверхности атаки на VBS со стороны системного встроенного ПО. |
| Встроенное ПО: поддержка защиты SMM во встроенном ПО | Требования: спецификация таблиц Windows SMM Security Mitigations Table (WSMT) содержит сведения о таблице ACPI, которая была создана для использования с операционными системами Windows, поддерживающими функции безопасности на основе виртуализации Windows (VBS). | • Защита от возможных уязвимостей в службах среды выполнения UEFI (при наличии). Уязвимости будут заблокированы для предотвращения взлома VBS (аналогично таким функциям, как UpdateCapsule и SetVariable).• Сокращение поверхности атаки на VBS со стороны системного встроенного ПО.• Блокировка дополнительных атак безопасности применительно к SMM. |
docs.microsoft.com
