NTLM ověřování uživatelů v systému Windows

Překlady článku Překlady článku
ID článku: 102716 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek pojednává o následujících aspektů NTLM ověřování uživatelů v systému Windows:
  • Ukládání hesel v databázi účtů
  • Ověřování uživatelů pomocí ověřovací balíček MSV1_0
  • Předávací ověření

Další informace

Ukládání hesel v databázi účtů

Záznamy uživatele jsou uloženy v databázi zabezpečení účtů správce (SAM) nebo v databázi služby Active Directory. Každý uživatelský účet je přidružen k dvě hesla: kompatibilní se systémem LAN Manager a heslo systému Windows. Každé heslo je šifrováno a uložených v databázi SAM nebo v databázi služby Active Directory.

Heslo kompatibilní se systémem LAN Manager není kompatibilní s heslo používané programem LAN Manager. Toto heslo je založena na původní vybavení Znaková sada pro výrobce OEM. Toto heslo není velká a malá písmena a může obsahovat až 14 znaků. OWF verze tohoto hesla se také nazývá OWF LAN Manager nebo ESTD verze. Toto heslo Výpočet je konstanta s textové heslo šifrovat pomocí šifrování DES. Heslo systému LAN Manager OWF je 16 bajtů dlouhé. Prvních 7 bajtů textové heslo, které se používají k výpočtu prvních 8 bajtů hesla OWF LAN Manager. Druhý 7 bajtů textové heslo slouží k počítači druhý 8 bajtů Hesla OWF LAN Manager.

Heslo pro systém Windows je založena na znakové sadě Unicode. Toto heslo je případ citlivé a může mít až 128 znaků. Verzi tohoto hesla OWF se také nazývá hesla OWF systému Windows. Toto heslo se vypočítává pomocí RSA MD-4 šifrovací algoritmus. Tento algoritmus se vypočítá výtah 16bajtový řetězec proměnné délky textové heslo bajtů.

Každý uživatelský účet nemáte heslo správce LAN nebo Heslo systému Windows. Však každý pokusu zachovat obě verze heslo. Například pokud je uživatelský účet přenést ze sítě LAN UAS správce databáze pomocí PortUas, nebo při změně hesla je z Klient LAN Manager nebo ze systému Windows for Workgroups program, LAN Manager verze heslo bude existovat. Je-li nastavit nebo změnit heslo Klient systému Windows a heslo nemá žádné vyjádření LAN Manager, pouze systém Windows hesla nebudou existovat. (Heslo může mít žádné vyjádření LAN Manager protože heslo je delší než 14 znaků nebo znaků nelze zastoupené ve znakové sadě OEM.) Uživatelské rozhraní omezení v systému Windows neumožňuje systému Windows hesla delší než 14 znaků. Na důsledky tohoto omezení jsou popsány dále v tomto článku.

V systému Windows 2000 Service Pack 2 a novějších verzích systému Windows, je k dispozici nastavení, která umožňuje zabránit systému Windows v ukládání hodnot hash systému LAN Manager heslo. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
299656Jak zabránit systému Windows v ukládání hodnoty hash LAN manager hesla v adresáři služby Active Directory a místní databáze SAM
Poznámka: Společnost Microsoft nepodporuje ručně nebo programově změnit databázi SAM.

Ověřování uživatelů pomocí ověřovací balíček MSV1_0

Systém Windows používá rozhraní API LsaLogonUser pro všechny druhy ověřování uživatelů. Rozhraní API LsaLogonUser ověřuje uživatele voláním ověřovací balíček. Ve výchozím nastavení volání ověřovací balíček MSV1_0 (MSV) LsaLogonUser. Tento balíček je součástí systému Windows NT. Uživatelské záznamy MSV ověřování balíčku ukládá v databázi SAM. Tento balíček podporuje předávací ověření uživatelů v jiných doménách pomocí služby Netlogon.

Ověřovací balíček MSV je vnitřně rozdělen do dvou částí. První část MSV ověřovací balíček spuštěn v počítači, který je připojen k. Druhá část je spuštěn v počítači, který obsahuje uživatelský účet. Při spuštění obou částí na stejné počítač, první část MSV ověřovací balíček volání Druhá část bez účasti přihlašovací službu Netlogon. První část MSV ověřovací balíček rozpozná, že předávací je vyžadováno ověření, protože název domény je předán není vlastní název domény. Jestliže předávací ověření je vyžadováno, MSV předá požadavek na přihlašovací služba Netlogon. Služba Netlogon poté směruje požadavek na službu Netlogon v cílovém počítači. Naopak služba Netlogon předá požadavek Další část ověřovací balíček MSV v daném počítači.

Podporuje funkci LsaLogonUser interaktivní přihlášení, přihlášení služby a sítě přihlášení. V ověřovací balíček MSV předat všechny formy přihlašovací jméno uživatelský účet název domény, která obsahuje uživatelský účet a některé funkce heslo uživatele. Různé druhy přihlášení představují jejich předávání LsaLogonUser heslo odlišně.

Pro interaktivní přihlášení dávkové přihlášení a přihlášení služby přihlášení klienta je v počítači, který je spuštěn v první části MSV ověřovací balíček. V tomto případě prostým textovým heslem předána LsaLogonUser a první část MSV ověřovací balíček. Pro přihlášení služby a dávkové přihlášení správce řízení služeb a Plánovač úloh umožňují bezpečnější ukládání pověření účtu.

První část ověřovací balíček MSV převede prostým textovým heslem pro hesla OWF LAN Manager i hesla OWF systému Windows NT. První část balíčku potom předá prostým textovým heslem, služba NetLogon nebo druhé části balíčku. Druhá část pak dotazuje databázi SAM hesla OWF a zajišťuje, že jsou identické.

Pro přihlášení k síti klienta, který se připojí k počítači dříve vydáno 16 bajtů challenge, nebo "nonce." Pokud klient je klient LAN Manager, vypočítanou klientovi odpověď 24 byte challenge zašifrováním challenge 16 bajtů pomocí hesla OWF LAN Manager 16 bajtů. Klient LAN Manager potom předá tento "LAN Manager Challenge" serveru odpověď. Pokud je klient klienta se systémem Windows, "Windows NT Challenge odpověď" se vypočítává pomocí stejného algoritmu. Však klient systému Windows používá 16bajtový Windows OWF data místo dat OWF LAN Manager. Klient systému Windows pak předá odpovědi na výzvu systému LAN Manager a Windows NT Challenge Response k serveru. V obou případech server ověřuje uživatele předáním LsaLogonUser API všechny následující:
  • Název domény
  • Uživatelské jméno
  • Původní challenge
  • Odpovědi na výzvu systému LAN Manager
  • Volitelné Windows NT Challenge Response
První část MSV ověřovací balíček předá tyto informace, nezměněné druhé části. Druhá část nejprve dotazuje hesla OWF z databáze SAM nebo z databáze služby Active Directory. Druhá část pak vypočítá odpovědi na výzvu s použitím hesla OWF z databáze a na výzvu, která byla předána. Druhá část pak porovná odpověď vypočítaný challenge výzva předána v odpověď.

Poznámka: NTLMv2 také umožňuje klientovi odeslat spolu s použitím klíče relace, které pomáhají snížit riziko útoků na společné výzvy.

Jak bylo uvedeno výše, může být buď verzi hesla chybějící z databáze SAM nebo z databáze služby Active Directory. Také může být buď verzi heslo chybí volání LsaLogonUser. Pokud je heslo z databáze SAM verze systému Windows a heslo z LsaLogonUser verzi systému Windows jsou k dispozici, oba jsou používány. Jinak LAN Manager verze hesla slouží k porovnání. Toto pravidlo umožňuje vynucení rozlišování při přihlášení k síti ze systému Windows do systému Windows. Toto pravidlo umožňuje také z důvodu zpětné kompatibility.

Předávací ověření

Služba NetLogon implementuje předávací ověření. Provádí následující funkce:
  • Vybere doménu předat ověřování požadovat.
  • Vybere server v rámci domény.
  • Předá požadavek na ověření prostřednictvím vybraného serveru.
Výběr domény je jednoduché. Název domény je předán do LsaLogonUser. Název domény jsou zpracovávány takto:
  • Pokud název domény shodný s názvem databáze SAM ověřování je zpracován v daném počítači. Na pracovní stanici Windows, který je členem domény, název SAM databáze považován za název počítače. Název databáze účtů v řadiči domény služby Active Directory, je název domény. V počítači, který není členem domény, všechny přihlášení místně zpracování požadavků.
  • Pokud zadaný název domény je tato doména důvěřuje, požadavek na ověření projde k důvěryhodné doméně. V řadičích domény služby Active Directory je snadno k dispozici v seznamu důvěryhodných domén. U člena domény systému Windows žádost vždy projde do primární domény pracovní stanice, které umožní zjistit, zda je zadané doméně důvěryhodné primární domény.
  • V případě, že zadaný název domény není důvěryhodná doména, v počítači, jako kdyby byl zadán název domény tento název domény připojení k zpracování požadavku na ověření. NetLogon nerozlišuje mezi doména neexistuje, nedůvěryhodné doméně a nesprávně zadanou doménu.
NetLogon vybere prostřednictvím procesu nazývaného zjišťování serveru v doméně. Pracovní stanice systému Windows zjistí název řadiče domény služby Active Directory systému Windows v jeho primární doméně. Řadič domény služby Active Directory vyhledá název řadiči domény služby Active Directory ve všech důvěryhodných doménách. Komponenta, která nemá zjištění je spuštěna přihlašovací služba Netlogon lokátoru řadičů domény. Lokátor používá k vyhledání potřebné servery, v závislosti na typu doména a vztah důvěryhodnosti, který je nakonfigurován překlad názvů NETBIOS nebo DNS.

Vlastnosti

ID článku: 102716 - Poslední aktualizace: 23. dubna 2011 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
Klíčová slova: 
kbinfo kbhowto kbmt KB102716 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:102716

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com