Otentikasi NTLM pengguna di Windows

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 102716 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini membahas aspek-aspek berikut NTLM pengguna otentikasi pada Windows:
  • Penyimpanan sandi di account database
  • Otentikasi pengguna dengan menggunakan paket otentikasi MSV1_0
  • Pass-through otentikasi

INFORMASI LEBIH LANJUT

Penyimpanan sandi di account database

Catatan pengguna yang disimpan dalam keamanan account manager (SAM) database atau database Active Directory. Setiap account pengguna terkait dengan dua: LAN Manager-kompatibel password dan Windows password. Sandi setiap dienkripsi dan disimpan dalam SAM database atau dalam database Active Directory.

LAN Manager-kompatibel sandi kompatibel dengan password yang digunakan oleh LAN Manager. Password ini didasarkan pada peralatan asli set karakter produsen (OEM). Password ini tidak peka dan dapat mencapai 14 karakter. OWF Versi password ini adalah juga dikenal sebagai versi LAN Manager OWF atau ESTD. Password ini dihitung dengan menggunakan enkripsi DES untuk mengenkripsi konstan dengan sandi teks yang jelas. LAN Manager OWF password adalah 16 byte lama. 7 Byte pertama dari teks yang jelas sandi yang digunakan untuk menghitung pertama 8 byte LAN Manager OWF sandi. Byte 7 kedua sandi bentuk teks yang digunakan untuk komputer 8 byte kedua dari LAN Manager OWF sandi.

Windows password berdasarkan set karakter Unicode. Password ini adalah kasus sensitif dan dapat hingga 128 karakter. Versi OWF password ini juga dikenal sebagai adalah sandi Windows OWF. Password ini dihitung dengan menggunakan RSA MD-4 algoritma enkripsi. Algoritma ini menghitung mencerna 16-byte dari panjang variabel string teks yang jelas sandi byte.

Setiap account pengguna mungkin kurang baik password LAN Manager atau Windows password. Namun, setiap usaha dilakukan untuk menjaga kedua Versi sandi. Sebagai contoh, jika account pengguna porting dari LAN Manajer UAS database dengan menggunakan PortUas, atau jika password berubah dari LAN Manager klien atau dari Windows for Workgroups klien, hanya versi LAN Manager password akan ada. Jika sandi menetapkan atau mengubah pada dan password klien Windows telah tidak ada LAN Manager representasi, hanya Windows Versi password akan ada. (Password mungkin memiliki perwakilan LAN Manager tidak ada karena passwordnya sudah lebih dari 14 karakter atau karena karakter tidak dapat diwakili di set karakter OEM.) Antarmuka pengguna batas-batas pada Windows tidak membiarkan Windows password melebihi 14 karakter. The implikasi dari pembatasan ini dibahas nanti dalam artikel ini.

Pada Windows 2000 Paket Layanan 2 dan di versi Windows, pengaturan tersedia yang memungkinkan Anda mencegah Windows menyimpan hash LAN Manager sandi. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
299656Bagaimana mencegah Windows menyimpan LAN manager hash sandi dalam Active Directory dan database SAM lokal
Catatan Microsoft tidak mendukung secara manual atau pemrograman mengubah SAM database.

Otentikasi pengguna dengan menggunakan paket otentikasi MSV1_0

Windows menggunakan LsaLogonUser API untuk semua jenis pengguna authentications. LsaLogonUser API mengotentikasi pengguna dengan menelepon paket otentikasi. Secara default, LsaLogonUser panggilan MSV1_0 (MSV) otentikasi paket. Ini paket disertakan dengan Windows NT. MSV otentikasi dengan paket toko pengguna catatan dalam SAM database. Paket ini mendukung pass-through otentikasi pengguna di domain lainnya dengan menggunakan layanan Netlogon.

Secara internal, paket otentikasi MSV dibagi menjadi dua bagian. Bagian pertama dari paket otentikasi MSV berjalan pada komputer yang sedang terhubung ke. Bagian kedua berjalan pada komputer yang berisi account pengguna. Ketika kedua bagian menjalankan yang sama komputer, bagian pertama dari otentikasi MSV paket panggilan bagian kedua tanpa melibatkan Dinas Netlogon. Bagian pertama dari HANSA otentikasi paket mengakui bahwa pass-through otentikasi diperlukan karena nama domain itu berlalu bukanlah nama domain sendiri. Ketika pass-through otentikasi diperlukan, MSV melewati permintaan untuk layanan Netlogon. Layanan Netlogon kemudian rute permintaan untuk layanan Netlogon pada komputer tujuan. Pada gilirannya, Dinas Netlogon berlalu permintaan untuk bagian lain dari paket otentikasi MSV pada komputer.

LsaLogonUser mendukung login interaktif, layanan login, dan jaringan login. Dalam paket otentikasi MSV, semua bentuk masuk lewat nama account pengguna, nama domain yang mengandung account pengguna, dan beberapa fungsi password pengguna. Berbagai jenis logon mewakili sandi berbeda ketika mereka lulus untuk LsaLogonUser.

Untuk login interaktif, batch login, dan layanan login, logon klien adalah pada komputer yang menjalankan bagian pertama dari paket otentikasi MSV. Dalam kasus ini, jelas-teks sandi berlalu untuk LsaLogonUser dan bagian pertama dari paket otentikasi MSV. Untuk layanan login dan batch login, Service Control Manager dan Penjadwal Tugas menyediakan cara yang lebih aman menyimpan kredensial account.

Bagian pertama dari paket otentikasi MSV mengubah sandi jelas-teks untuk LAN Manager OWF password dan password Windows NT OWF. Kemudian, bagian pertama dari paket melewati sandi jelas-teks untuk NetLogon layanan atau untuk bagian kedua dari paket. Bagian kedua kemudian queries SAM database untuk password OWF dan memastikan bahwa mereka identik.

Untuk jaringan login, klien yang menghubungkan ke komputer sebelumnya diberi 16-byte tantangan atau "kesempatan ini." Jika klien adalah klien LAN Manager, klien dihitung respons 24-byte tantangan dengan enkripsi 16-byte tantangan dengan 16-byte LAN Manager OWF password. LAN Manager klien kemudian melewati ini "LAN Manager tantangan menanggapi" server. Jika klien adalah klien Windows, "Windows NT tantangan respon" dihitung dengan menggunakan algoritma yang sama. Namun, Windows klien menggunakan data Windows OWF 16-byte bukan data LAN Manager OWF. Klien Windows kemudian melewati respon tantangan LAN Manager dan Windows NT tantangan respon ke server. Dalam kedua kasus, server mengotentikasi pengguna dengan mengirimkan semua berikut ke LsaLogonUser API:
  • Nama domain
  • Nama pengguna
  • Tantangan asli
  • LAN Manager tantangan respon
  • Windows NT opsional tantangan respon
Bagian pertama dari paket otentikasi MSV melewati informasi ini tidak berubah untuk bagian kedua. Pertama, bagian kedua kueri OWF password dari SAM database atau dari database Active Directory. Kemudian, bagian kedua menghitung respon tantangan dengan menggunakan OWF password dari database dan tantangan yang disahkan di. Bagian kedua kemudian membandingkan menanggapi tantangan dihitung berlalu dalam tantangan respon.

Catatan NTLMv2 juga memungkinkan klien mengirimkan sebuah tantangan bersama-sama dengan penggunaan kunci-kunci yang membantu mengurangi risiko serangan umum.

Seperti disebutkan sebelumnya, baik versi sandi mungkin hilang dari SAM database atau dari database Active Directory. Juga, baik versi sandi mungkin hilang dari panggilan untuk LsaLogonUser. Jika versi Windows password dari SAM database dan versi Windows password dari LsaLogonUser yang tersedia, mereka berdua digunakan. Jika tidak, sandi versi LAN Manager digunakan untuk perbandingan. Aturan ini membantu menegakkan sensitifitas ketika jaringan login terjadi dari Windows ke Windows. Aturan ini juga memungkinkan untuk kompatibilitas.

Pass-through otentikasi

Layanan NetLogon mengimplementasikan pass-through otentikasi. Melakukan fungsi-fungsi berikut:
  • Memilih domain untuk lulus otentikasi permintaan untuk.
  • Memilih server dalam domain.
  • Melewati otentikasi permintaan melalui ke server yang dipilih.
Memilih domain mudah. Nama domain berlalu untuk LsaLogonUser. Nama domain diproses sebagai berikut:
  • Jika nama domain sesuai dengan nama database SAM, otentikasi diproses di komputer. Pada Windows workstation yang merupakan anggota dari domain, nama SAM database dianggap sebagai nama komputer. Pada pengendali domain direktori aktif, nama basis data akun adalah nama domain. Pada komputer yang bukan anggota sebuah domain, semua login proses permintaan secara lokal.
  • Jika nama domain tertentu dipercaya oleh domain ini, permintaan otentikasi melewati ke domain yang terpercaya. Pada pengontrol domain direktori aktif, daftar domain yang terpercaya mudah tersedia. Pada anggota Windows domain, permintaan selalu melewati ke domain utama workstation, membiarkan domain utama yang menentukan apakah domain tertentu terpercaya.
  • Jika nama domain yang ditentukan tidak dipercaya oleh domain, permintaan otentikasi diproses di komputer yang terhubung ke seolah-olah nama domain nama domain. NetLogon tidak membedakan antara tidak ada domain, domain tidak terpercaya, dan nama domain salah mengetik.
NetLogon memilih server di domain oleh proses yang disebut penemuan. Sebuah workstation Windows menemukan nama salah satu pengontrol domain direktori aktif Windows di domain utama. Pengendali domain direktori aktif menemukan nama pengendali domain direktori aktif di setiap domain yang terpercaya. Komponen yang tidak penemuan adalah Locator DC yang berjalan dalam layanan Netlogon. DC Locator menggunakan resolusi nama NETBIOS atau DNS untuk mencari server diperlukan, tergantung pada jenis domain dan kepercayaan yang dikonfigurasi.

Properti

ID Artikel: 102716 - Kajian Terakhir: 14 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
Kata kunci: 
kbinfo kbhowto kbmt KB102716 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:102716

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com