L'authentification utilisateur NTLM dans Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 102716 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article traite des aspects suivants de l'authentification utilisateur NTLM dans Windows :
  • Stockage des mots de passe dans la base de données de comptes
  • Authentification de l'utilisateur à l'aide du package d'authentification Msv1_0
  • Authentification directe

Plus d'informations

Stockage des mots de passe dans la base de données de comptes

Enregistrements utilisateur sont stockés dans la base de données SAM (Gestionnaire) des comptes de sécurité ou dans la base de données Active Directory. Chaque compte d'utilisateur est associé à deux mots de passe : le mot de passe compatibles LAN Manager et le mot de passe Windows. Chaque mot de passe est crypté et stocké dans la base de données SAM ou dans la base de données Active Directory.

Le mot de passe compatibles LAN Manager est compatible avec le mot de passe qui est utilisée par le Gestionnaire de réseau local. Ce mot de passe est basé sur le jeu de caractères de fabricant d'équipements informatiques (OEM). Ce mot de passe ne respecte pas la casse et peut comporter jusqu'à 14 caractères. La version de la fonction de CONDENSATION de ce mot de passe est également connu sous le nom de la version de la fonction de CONDENSATION LAN Manager ou ESTD. Ce mot de passe est calculée à l'aide du cryptage pour crypter une constante avec le mot de passe en texte clair. Le mot de passe OWF LAN Manager est de 16 octets de longs. Les 7 premiers octets du mot de passe en texte clair sont utilisés pour calculer les 8 premiers octets du mot de passe OWF LAN Manager. Les octets 7 du mot de passe en texte clair sont utilisés pour l'ordinateur les deuxième 8 octets du mot de passe OWF LAN Manager.

Le mot de passe Windows est basé sur le jeu de caractères Unicode. Ce mot de passe respecte la casse et peut comporter jusqu'à 128 caractères. La version de la fonction de CONDENSATION de ce mot de passe est également connu sous le mot de passe OWF de Windows. Ce mot de passe est calculée à l'aide de l'algorithme de cryptage RSA MD-4. Cet algorithme calcule un digest de 16 octets d'une chaîne de longueur variable d'octets de mot de passe de texte clair.

Tout compte d'utilisateur ne possédez pas le mot de passe LAN Manager ou le mot de passe Windows. Toutefois, chaque tentative est faite pour conserver les deux versions du mot de passe. Par exemple, si le compte d'utilisateur est porté à partir d'une base de données UAS de LAN Manager à l'aide de la commande PortUas, ou si le mot de passe est modifié à partir d'un client LAN Manager ou à partir d'un client Windows pour Workgroups, seule la version de LAN Manager du mot de passe existera. Si le mot de passe est défini ou modifié sur un client Windows et le mot de passe n'a pas de LAN Manager représentation, uniquement la version Windows du mot de passe existe. (Le mot de passe ne peut avoir aucune représentation de LAN Manager car le mot de passe est plu de 14 caractères ou les caractères ne peut pas être représentés dans le jeu de caractères OEM.) Limites d'interface utilisateur dans Windows ne permettent pas de mots de passe Windows dépasser 14 caractères. Les implications de cette limitation sont décrits plus loin dans cet article.

Dans Windows 2000 Service Pack 2 et versions ultérieures de Windows, un paramètre est disponible qui vous permet de vous empêcher Windows de stocker un hachage LAN Manager de votre mot de passe. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
299656Comment faire pour empêcher Windows de stocker un hachage LAN manager de votre mot de passe dans Active Directory et dans les bases de données SAM locales
Remarque Microsoft ne prend pas en charge la modification manuellement ou par programmation de la base de données SAM.

Authentification de l'utilisateur à l'aide du package d'authentification Msv1_0

Windows utilise l'API LsaLogonUser pour tous les types d'authentifications utilisateur. L'API LsaLogonUser authentifie les utilisateurs en appelant un package d'authentification. Par défaut, LsaLogonUser appelle le package d'authentification Msv1_0 (MSV). Ce package est inclus avec Windows NT. Les enregistrements MSV authentification package banques utilisateur dans la base de données SAM. Ce package prend en charge l'authentification pass-through des utilisateurs dans d'autres domaines en utilisant le service accès réseau.

En interne, le package d'authentification MSV est divisé en deux parties. La première partie du package d'authentification MSV s'exécute sur l'ordinateur connecté à. La deuxième partie s'exécute sur l'ordinateur qui contient le compte d'utilisateur. Lorsque les deux parties exécutent sur le même ordinateur, la première partie du package d'authentification MSV appelle la deuxième partie sans impliquer le service accès réseau. La première partie du package d'authentification MSV reconnaît que l'authentification pass-through est nécessaire car le nom de domaine qui est passé n'est pas son propre nom de domaine. Lorsque l'authentification directe est requise, MSV transmet la demande pour le service accès réseau. Le service Netlogon puis achemine la demande vers le service accès réseau sur l'ordinateur de destination. À son tour, le service Netlogon transmet la demande à l'autre partie du package d'authentification MSV sur cet ordinateur.

LsaLogonUser prend en charge les ouvertures de session interactives, les ouvertures de session de service et les ouvertures de session réseau. Dans le package d'authentification MSV, tous les formulaires d'ouverture de session passent le nom du compte d'utilisateur, le nom du domaine qui contient le compte d'utilisateur et une fonction de son mot de passe. Les différents types d'ouverture de session représentent le mot de passe différemment lorsqu'elles passent à LsaLogonUser.

Pour les ouvertures de session interactives, les ouvertures de session par lot et les ouvertures de session service, le client d'ouverture de session est sur l'ordinateur qui exécute la première partie du package d'authentification MSV. Dans ce cas, le mot de passe en texte clair est transmis à LsaLogonUser et à la première partie du package d'authentification MSV. Pour les connexions de service et les ouvertures de session par lot, le Gestionnaire de contrôle des services et le Planificateur de tâches fournissent un moyen plus sûr de stocker les informations d'identification du compte.

La première partie du package d'authentification MSV convertit le mot de passe en texte clair pour un mot de passe OWF LAN Manager et un mot de passe OWF de Windows NT. Ensuite, la première partie du package transmet le mot de passe en texte clair pour le service d'accès au réseau ou à la deuxième partie du package. La deuxième partie puis interroge la base de données SAM pour les mots de passe OWF et permet de s'assurer qu'ils sont identiques.

Pour les ouvertures de session réseau, le client se connecte à l'ordinateur a été donné précédemment un défi de 16 octets, ou «nonce.» Si le client est un client LAN Manager, le client calculée une stimulation de 24 octets de réponse en cryptant la stimulation de 16 octets avec le mot de passe de la fonction de CONDENSATION LAN Manager de 16 octets. Le client LAN Manager cela transmet ensuite «Réponse de challenge de LAN Manager» sur le serveur. Si le client est un client Windows, "Windows NT Challenge Response" est calculée en utilisant le même algorithme. Toutefois, le client Windows utilise les données de la fonction de CONDENSATION Windows de 16 octets à la place des données de la fonction de CONDENSATION LAN Manager. Le client Windows transmet ensuite la réponse à la vérification de LAN Manager et l'authentification par stimulation / réponse de Windows NT pour le serveur. Dans les deux cas, le serveur authentifie l'utilisateur en passant toutes les conditions suivantes à l'API LsaLogonUser :
  • Le nom de domaine
  • Le nom d'utilisateur
  • Le défi d'origine
  • La stimulation / réponse LAN Manager
  • L'authentification par stimulation / réponse de Windows NT facultatif
La première partie du package d'authentification MSV transmet ces informations inchangées pour la deuxième partie. La deuxième partie interroge d'abord, les mots de passe OWF à partir de la base de données SAM ou à partir de la base de données Active Directory. Ensuite, la deuxième partie calcule stimulation réponse à l'aide du mot de passe OWF à partir de la base de données et le défi qui a été passé. La deuxième partie compare ensuite la réponse calculée défi passé dans stimulation réponse.

Remarque NTLMv2 permet également le client d'envoyer un défi avec l'utilisation de clés de session permettant de réduire le risque d'attaques courantes.

Comme mentionné précédemment, quelle que soit la version du mot de passe peut être manquante dans la base de données SAM ou dans la base de données Active Directory. En outre, quelle que soit la version du mot de passe peut être manquante à partir de l'appel à LsaLogonUser. Si la version Windows de mot de passe de la base de données SAM et la version Windows du mot de passe à partir de LsaLogonUser sont disponibles, ils sont tous deux sont utilisés. Dans le cas contraire, la version de LAN Manager du mot de passe est utilisée pour la comparaison. Cette règle permet d'appliquer le respect de la casse lorsque les ouvertures de session réseau se produisent à partir de Windows pour Windows. Cette règle permet également à des fins de compatibilité descendante.

Authentification directe

Le service NetLogon implémente l'authentification directe. Il effectue les fonctions suivantes :
  • Sélectionne le domaine pour transmettre la demande d'authentification.
  • Sélectionne le serveur au sein du domaine.
  • Transmet la demande d'authentification via le serveur sélectionné.
Sélectionnez le domaine est simple. Le nom de domaine est passé à LsaLogonUser. Le nom de domaine est traité comme suit :
  • Si le nom de domaine correspond au nom de la base de données SAM, l'authentification est traitée sur cet ordinateur. Sur une station de travail Windows qui est un membre d'un domaine, le nom de la base de données SAM base de données est considéré comme étant le nom de l'ordinateur. Sur un contrôleur de domaine Active Directory, le nom de la base de données de compte est le nom du domaine. Sur un ordinateur qui n'est pas un membre d'un domaine, toutes les ouvertures de session traitent les demandes localement.
  • Si le nom de domaine spécifié est approuvé par ce domaine, la demande d'authentification est transmise à du domaine approuvé. Sur les contrôleurs de domaine Active Directory, la liste des domaines approuvés est facilement disponible. Sur un membre d'un domaine Windows, la demande est toujours transmise à du domaine principal de la station de travail, en laissant le domaine principal déterminer si le domaine spécifié est approuvé.
  • Si le nom de domaine spécifié n'est pas approuvé par le domaine, la demande d'authentification est traitée sur l'ordinateur est connecté à comme si le nom de domaine spécifié était ce nom de domaine. NetLogon ne fait pas la différence entre un domaine inexistant, un domaine non approuvé et un nom de domaine incorrectement tapé.
NetLogon sélectionne un serveur dans le domaine par un processus appelé découverte. Une station de travail Windows découvre le nom d'un des contrôleurs de domaine Windows Active Directory dans son domaine principal. Un contrôleur de domaine Active Directory découvre le nom d'un contrôleur de domaine Active Directory dans chaque domaine approuvé. Le composant qui effectue la découverte est le localisateur de contrôleurs de domaine qui s'exécute dans le service accès réseau. Le localisateur de contrôleurs de domaine utilise la résolution de noms NETBIOS ou DNS pour localiser les serveurs nécessaires, selon le type de domaine et d'approbation est configurée.

Propriétés

Numéro d'article: 102716 - Dernière mise à jour: mercredi 1 novembre 2006 - Version: 2.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
Mots-clés : 
kbmt kbinfo kbhowto KB102716 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 102716
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com