LA autenticaci�n de usuario NTLM en Windows

Id. de art�culo: 102716 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

Resumen

En este art�culo trata los siguientes aspectos de autenticaci�n de usuario NTLM en Windows:

Almacenamiento de contrase�as en la base de datos de cuentas
Autenticaci�n de usuario mediante el paquete de autenticaci�n MSV1_0
Autenticaci�n de paso a trav�s

Volver al principio | Enviar comentarios

Los registros de usuario se almacenan en la base de datos de administrador (SAM) de las cuentas de seguridad o en la base de datos Active Directory. Cada cuenta de usuario est� asociada con dos contrase�as: la contrase�a de compatibles con LAN Manager y la contrase�a de Windows. Cada contrase�a est� cifrada y almacenado en la base de datos SAM o en la base de datos Active Directory.

La contrase�a de compatibles con LAN Manager es compatible con la contrase�a que se utiliza por el Administrador de LAN. Esta contrase�a se basa en el conjunto de caracteres de fabricante de equipos originales (OEM). Esta contrase�a no distingue may�sculas de min�sculas y puede tener hasta 14 caracteres. La versi�n OWF de esta contrase�a es tambi�n conocida como la versi�n OWF de LAN Manager o ESTD. Esta contrase�a se calcula mediante cifrado de DES para cifrar una constante con la contrase�a de texto sin cifrar. La contrase�a de LAN Manager OWF es 16 bytes. Los 7 primeros bytes de la contrase�a como texto sin cifrar se utilizan para calcular los 8 primeros bytes de la contrase�a de LAN Manager OWF. Los bytes segundo 7 de la contrase�a como texto sin cifrar se utilizan para los segundo 8 bytes de la contrase�a de LAN Manager OWF del equipo.

La contrase�a de Windows se basa en el juego de caracteres Unicode. Esta contrase�a distingue entre may�sculas y min�sculas y puede tener hasta 128 caracteres. La versi�n OWF de esta contrase�a es tambi�n conocida como la contrase�a de Windows OWF. Esta contrase�a se calcula utilizando el algoritmo de cifrado RSA MD-4. Este algoritmo calcula un resumen de 16 bytes de una cadena de longitud variable de bytes de contrase�a de texto sin cifrar.

La contrase�a de LAN Manager, o la contrase�a de Windows carece de cualquier cuenta de usuario. Sin embargo, cada intento se realiza para mantener ambas versiones de la contrase�a. Por ejemplo, si la cuenta de usuario se transfieren de una base de datos UAS de LAN Manager utilizando PortUas, o si se cambia la contrase�a desde un cliente de LAN Manager o desde un cliente de Windows para trabajo en grupo, s�lo la versi�n de LAN Manager de la contrase�a se mantendr�n. Si se establece la contrase�a o se modifica en un cliente de Windows y la contrase�a no tiene ninguna representaci�n de LAN Manager, existir�n solamente la versi�n de Windows de la contrase�a. (La contrase�a no puede tener ninguna representaci�n de LAN Manager porque la contrase�a es m�s de 14 caracteres o porque los caracteres no pueden representarse en el juego de caracteres OEM). L�mites de la interfaz de usuario en Windows no permiten las contrase�as de Windows superar los 14 caracteres. Las implicaciones de esta limitaci�n se tratan m�s adelante en este art�culo.

En Windows 2000 Service Pack 2 y en versiones posteriores de Windows, hay disponible una configuraci�n que permite impedir que Windows almacene un hash de LAN Manager de la contrase�a. Para obtener m�s informaci�n, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

299656

(http://support.microsoft.com/kb/299656/ )

C�mo impedir que Windows almacene un hash de administrador de LAN de la contrase�a en Active Directory y bases de datos SAM locales

Nota Microsoft no admite manualmente o mediante programaci�n modificando la base de datos SAM.

Autenticaci�n de usuario mediante el paquete de autenticaci�n MSV1_0

Windows utiliza la API LsaLogonUser para todos los tipos de autenticaciones de usuario. La API LsaLogonUser autentica usuarios mediante una llamada a un paquete de autenticaci�n. De manera predeterminada, LsaLogonUser llama al paquete de autenticaci�n MSV1_0 (MSV). Este paquete se incluye con Windows NT. Los MSV autenticaci�n paquete almacena registros de usuario en la base de datos SAM. Este paquete admite autenticaci�n de paso a trav�s de los usuarios de otros dominios mediante el servicio Netlogon.

Internamente, el paquete de autenticaci�n MSV se divide en dos partes. La primera parte del paquete de autenticaci�n MSV se ejecuta en el equipo conectado a. La segunda parte se ejecuta en el equipo que contiene la cuenta de usuario. Cuando ambas partes se ejecutan en el mismo equipo, la primera parte del paquete de autenticaci�n MSV llama a la segunda parte sin involucrar dicho servicio. La primera parte del paquete de autenticaci�n MSV reconoce que paso a trav�s de la autenticaci�n es necesaria porque el nombre de dominio que se pas� no es su propio nombre de dominio. Cuando se requiere autenticaci�n transferida, MSV pasa la solicitud a dicho servicio. El servicio Netlogon, a continuaci�n, enruta la solicitud al servicio Netlogon en el equipo de destino. A su vez, dicho servicio pasa la solicitud a la otra parte del paquete de autenticaci�n MSV en ese equipo.

LsaLogonUser admite inicios de sesi�n interactivos, inicios de sesi�n de servicio y los inicios de sesi�n de red. En el paquete de autenticaci�n MSV, todos los formularios de inicio de sesi�n pase el nombre de la cuenta de usuario, el nombre del dominio que contiene la cuenta de usuario y alguna funci�n de contrase�a del usuario. Los distintos tipos de inicio de sesi�n representan la contrase�a diferente cuando pasa a LsaLogonUser.

Para los inicios de sesi�n interactivo, los inicios de sesi�n por lotes y inicios de sesi�n de servicio, el cliente de inicio de sesi�n est� en el equipo que ejecuta la primera parte del paquete de autenticaci�n MSV. En este caso, se pasa la contrase�a sin cifrar a LsaLogonUser y a la primera parte de paquete de autenticaci�n MSV. Para inicios de sesi�n de servicio y los inicios de sesi�n por lotes, el Administrador de control de servicios y el programador de tareas proporcionan una forma m�s segura de almacenar credenciales de la cuenta.

La primera parte del paquete de autenticaci�n MSV convierte la contrase�a sin cifrar tanto a una contrase�a de LAN Manager OWF y una contrase�a de Windows NT OWF. A continuaci�n, la primera parte del paquete pasa la contrase�a sin cifrar para el servicio NetLogon o para la segunda parte del paquete. La segunda parte, a continuaci�n, consulta la base de datos de SAM para las contrase�as OWF y garantiza que son id�nticos.

Para los inicios de sesi�n de red, el cliente que se conecta al equipo anteriormente se ha dado un desaf�o de 16 bytes o un "valor nonce." Si el cliente es un cliente de LAN Manager, el cliente calcula un desaf�o de 24 bytes de respuesta cifrando el desaf�o de 16 bytes con la contrase�a de LAN Manager OWF de 16 bytes. El cliente de LAN Manager, a continuaci�n, pasa esto "Respuesta de desaf�o de LAN Manager" en el servidor. Si el cliente es un cliente de Windows, "Respuesta de desaf�o de Windows" se calcula utilizando el mismo algoritmo. Sin embargo, el cliente de Windows utiliza los datos de OWF de Windows de 16 bytes en lugar de los datos OWF de LAN Manager. El cliente de Windows, a continuaci�n, pasa la respuesta de desaf�o de LAN Manager y la respuesta de desaf�o de Windows NT en el servidor. En cualquier caso, el servidor autentica el usuario pasando todo lo siguiente a la API LsaLogonUser:

El nombre de dominio
El nombre de usuario
El desaf�o original
La respuesta de desaf�o de LAN Manager
La respuesta de desaf�o opcional de Windows NT

La primera parte del paquete de autenticaci�n MSV pasa esta informaci�n sin cambiar la segunda parte. En primer lugar, la segunda parte consulta las contrase�as OWF desde la base de datos SAM o desde la base de datos Active Directory. A continuaci�n, en la segunda parte se calcula la respuesta de desaf�o mediante la contrase�a OWF de la base de datos y el desaf�o que se pas�. La segunda parte, a continuaci�n, compara la respuesta de desaf�o calculada a pasado desaf�o-respuesta.

Nota NTLMv2 tambi�n permite que el cliente env�a un desaf�o junto con el uso de claves de sesi�n que ayudan a reducir el riesgo de ataques comunes.

Como se mencion� anteriormente, cualquier versi�n de la contrase�a puede no desde la base de datos SAM o desde la base de datos Active Directory. Adem�s, cualquier versi�n de la contrase�a puede que falte de la llamada a LsaLogonUser. Si la versi�n de Windows de la contrase�a de la base de datos SAM y la versi�n de Windows de la contrase�a de LsaLogonUser est�n disponibles, se utilizan. En caso contrario, se utiliza la versi�n de LAN Manager de la contrase�a para comparaci�n. Esta regla ayuda a exigir la distinci�n entre may�sculas y min�sculas cuando se producen los inicios de sesi�n de red de Windows a Windows. Esta regla tambi�n permite compatibilidad con versiones anteriores.

Autenticaci�n de paso a trav�s

El servicio NetLogon implementa la autenticaci�n de paso. Realiza las siguientes funciones:

Selecciona el dominio para pasar la solicitud de autenticaci�n.
Selecciona el servidor dentro del dominio.
Pasa la solicitud de autenticaci�n a trav�s al servidor seleccionado.

Selecciona el dominio es sencillo. El nombre de dominio se pasa al LsaLogonUser. El nombre de dominio se procesa como sigue:

Si el nombre de dominio coincide con el nombre de la base de datos SAM, la autenticaci�n se procesa en ese equipo. En una estaci�n de trabajo Windows que es un miembro de un dominio, el nombre de la base de datos SAM base de datos se considera como el nombre del equipo. En un controlador de dominio de Active Directory, el nombre de la base de datos de cuenta es el nombre del dominio. En un equipo que no es un miembro de un dominio, todos los inicios de sesi�n procesar solicitudes localmente.
Si este dominio conf�a en el nombre de dominio especificado, la solicitud de autenticaci�n se pasa al dominio de confianza. En controladores de dominio de Active Directory, la lista de dominios de confianza est� f�cilmente disponible. En un miembro de un dominio de Windows, siempre se pasa la solicitud a trav�s de al dominio principal de la estaci�n de trabajo, permitiendo que el dominio principal determinar si el dominio especificado es de confianza.
Si el nombre de dominio especificado no es de confianza por el dominio, se procesa la solicitud de autenticaci�n en el equipo est� conectado a, como si el nombre de dominio especificado fuera de ese nombre de dominio. NetLogon no distingue entre un dominio inexistente, un dominio que no son de confianza y un nombre de dominio escrito incorrectamente.

NetLogon selecciona un servidor en el dominio mediante un proceso denominado descubrimiento. Una estaci�n de trabajo de Windows descubre el nombre de uno de los controladores de dominio Active Directory de Windows de su dominio principal. Un controlador de dominio de Active Directory descubre el nombre de un controlador de dominio de Active Directory en cada dominio de confianza. El componente que realiza el descubrimiento es el ubicador de DC se ejecuta en el servicio Netlogon. El ubicador de DC utiliza resoluci�n de nombres NETBIOS o DNS para localizar los servidores necesarios, dependiendo del tipo de dominio y de confianza que est� configurado.

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 102716 - �ltima revisi�n: mi�rcoles, 01 de noviembre de 2006 - Versi�n: 2.2

La informaci�n de este art�culo se refiere a:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows XP Professional

kbmt kbinfo kbhowto KB102716 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 102716

(http://support.microsoft.com/kb/102716/en-us/ )

Volver al principio | Enviar comentarios