L'autenticazione utente di NTLM in Windows

Traduzione articoli Traduzione articoli
Identificativo articolo: 102716 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo vengono illustrati i seguenti aspetti dell'autenticazione dell'utente NTLM in Windows:
  • Archiviazione di password nel database degli account
  • Autenticazione utente utilizzando il pacchetto di autenticazione Msv1_0
  • Autenticazione pass-through

Informazioni

Archiviazione di password nel database degli account

Record utente vengono archiviati nel database di gestione (SAM) di account di protezione o nel database di Active Directory. Ciascun account utente Ŕ associato a due password: la password di compatibili con LAN Manager e la password di Windows. Ogni password Ŕ crittografata e memorizzate nel database SAM o nel database di Active Directory.

La password compatibili con LAN Manager Ŕ compatibile con la password che Ŕ utilizzata da LAN Manager. Questa password si basa su set di caratteri dell'hardware originale (OEM). Tale password non viene fatta distinzione tra maiuscole e minuscole e pu˛ contenere un massimo di 14 caratteri. La versione OWF di questa password Ŕ noto anche come la versione di OWF di LAN Manager o ESTD. Questa password viene calcolata utilizzando la crittografia DES per crittografare una costante con password non crittografata. La password di LAN Manager OWF Ŕ 16 byte. I primi 7 byte della password come testo non crittografato vengono utilizzati per calcolare gli 8 byte primo della password OWF di LAN Manager. I secondo byte di 7 di password non crittografata vengono utilizzati per il secondo 8 byte della password di LAN Manager OWF di computer.

La password di Windows si basa su set di caratteri Unicode. Tale password viene fatta distinzione tra maiuscole e minuscole e pu˛ contenere un massimo di 128 caratteri. La versione OWF di questa password Ŕ anche noto come la password OWF di Windows. Questa password viene calcolata utilizzando l'algoritmo di crittografia RSA MD-4. Questo algoritmo consente di calcolare un digest di 16 byte di una stringa a lunghezza variabile di byte di password di testo non crittografato.

Qualsiasi account utente potrebbe non disporre nÚ la password di LAN Manager o la password di Windows. Tuttavia, per mantenere entrambe le versioni della password viene effettuato ogni tentativo. Ad esempio, se l'account utente viene trasferito da un database UAS di LAN Manager utilizzando PortUas, o se la password viene modificata da un client di LAN Manager o da un client Windows per Workgroup, verrÓ esistere solo la versione di LAN Manager della password. Se Ŕ impostata o cambiata in un client di Windows la password e la password non Ŕ di alcuna rappresentazione di LAN Manager, sarÓ disponibile solo la versione Windows della password. (La password non pu˛ contenere alcuna rappresentazione di LAN Manager perchÚ la password Ŕ pi¨ lunga di 14 caratteri o perchÚ i caratteri non possono essere rappresentati nel set di caratteri OEM.) I limiti di interfaccia utente in Windows non consentono di superare i 14 caratteri password di Windows. Le implicazioni di questa limitazione sono illustrate pi¨ avanti in questo articolo.

In Windows 2000 Service Pack 2 e nelle versioni successive di Windows, un'impostazione Ŕ disponibile che consente di impedire a Windows di archiviare un hash di LAN Manager della password. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
299656Come impedire a Windows di archiviare un hash LAN manager della password in Active Directory e nei database SAM
Nota Non Ŕ supportata manualmente o a livello di codice modifica il database SAM.

Autenticazione utente utilizzando il pacchetto di autenticazione Msv1_0

Windows utilizza l'API LsaLogonUser per tutti i tipi di autenticazioni utente. L'API LsaLogonUser autentica gli utenti chiamando un pacchetto di autenticazione. Per impostazione predefinita, LsaLogonUser chiama il pacchetto di autenticazione MSV1_0 (MSV). Questo pacchetto Ŕ incluso in Windows NT. Il record della utente pacchetto archivi delle autenticazione MSV nel database SAM. Questo pacchetto supporta l'autenticazione pass-through di utenti in altri domini utilizzando il servizio Accesso rete.

Internamente, il pacchetto di autenticazione MSV Ŕ suddivisa in due parti. La prima parte del pacchetto di autenticazione MSV esecuzione nel computer connesso a. La seconda esecuzione nel computer contenente l'account utente. Quando entrambe le parti esegue sullo stesso computer, la prima parte del pacchetto di autenticazione MSV chiama la seconda parte senza coinvolgere il servizio Accesso rete. La prima parte del pacchetto di autenticazione MSV riconosce che l'autenticazione pass-through Ŕ il valore richiesto perchÚ il nome di dominio che viene passato non Ŕ il proprio nome di dominio. Quando l'autenticazione pass-through Ŕ necessaria, MSV passa la richiesta al servizio Accesso rete. Quindi, il servizio Accesso rete indirizza la richiesta al servizio Accesso rete sul computer di destinazione. A sua volta, il servizio Accesso rete passa la richiesta l'altra parte del pacchetto di autenticazione MSV su tale computer.

LsaLogonUser supporta gli accessi interattivi, gli accessi di servizio e gli accessi di rete. Nel pacchetto di autenticazione MSV, tutti i moduli di accesso passare il nome dell'account utente, il nome del dominio che contiene l'account utente e una funzione della password dell'utente. I diversi tipi di accesso rappresentano la password in modo diverso quando si passa a LsaLogonUser.

Per gli accessi interattivi, gli accessi batch e gli accessi di servizio, il client di accesso Ŕ sul computer che esegue la prima parte del pacchetto di autenticazione MSV. In questo caso, la password di testo non crittografato viene passata per LsaLogonUser e per la prima parte del pacchetto di autenticazione MSV. Per gli accessi di servizio e gli accessi di batch, il gestore di controllo del servizio e l'utilitÓ di pianificazione consentono di memorizzare le credenziali dell'account in modo pi¨ sicuro.

La prima parte del pacchetto di autenticazione MSV Converte la password non crittografata per una password di LAN Manager OWF e una password OWF di Windows NT. Quindi, la prima parte del pacchetto passa la password non crittografata per il servizio Accesso rete o per la seconda parte del pacchetto. La seconda parte quindi interroga il database SAM per le password OWF e verificare che siano identici.

Per gli accessi alla rete, il client si connette al computer in precedenza Ŕ stato assegnato un challenge di 16 byte, o "nonce". Se il client Ŕ un client di LAN Manager, il client calcolato una risposta challenge 24 byte crittografando il challenge di 16 bit con la password di LAN Manager OWF a 16 byte. Il client di LAN Manager passa quindi questo "LAN Manager di risposta challenge" al server. Se il client Ŕ un client Windows, viene calcolato un valore "Windows NT Challenge Response" utilizzando lo stesso algoritmo. Tuttavia, il client di Windows utilizza i dati di OWF di Windows a 16 byte anzichÚ i dati OWF di LAN Manager. Il client Windows passa quindi sia il Windows NT Challenge Response al server che la risposta challenge di LAN Manager. In entrambi i casi, il server autentica l'utente passando l'API LsaLogonUser tutte le seguenti:
  • Il nome di dominio
  • Il nome utente
  • La richiesta originale
  • La risposta challenge di LAN Manager
  • Windows NT Challenge Response facoltativo
La prima parte del pacchetto di autenticazione MSV passa queste informazioni non modificate alla seconda parte. La seconda query in primo luogo, le password OWF dal database SAM o da database di Active Directory. La seconda parte calcola quindi la risposta challenge utilizzando la password OWF dal database e la sfida che Ŕ stata passata. La seconda parte quindi Confronta la risposta challenge calcolata passato challenge response.

Nota Il client invia un challenge insieme con l'utilizzo di chiavi di sessione che consentono di ridurre il rischio di attacchi comuni consente inoltre di NTLMv2.

Come accennato in precedenza, una versione della password potrebbe essere mancante dal database SAM o da database di Active Directory. Inoltre, entrambe le versioni della password potrebbero essere manca la chiamata a LsaLogonUser. Sono disponibili sia la versione Windows di password dal database SAM e la versione di Windows della password da LsaLogonUser, entrambi vengono utilizzati. In caso contrario, la versione di LAN Manager della password viene utilizzata per il confronto. Questa regola consente di applicare la distinzione tra maiuscole e minuscole quando gli accessi di rete si verificano da Windows a Windows. Questa regola consente inoltre per garantire la compatibilitÓ con le versioni precedenti.

Autenticazione pass-through

Il servizio di accesso rete implementa l'autenticazione pass-through. Svolge le funzioni seguenti:
  • Consente di selezionare il dominio per passare la richiesta di autenticazione.
  • Seleziona il server all'interno del dominio.
  • Passa la richiesta di autenticazione tramite il server selezionato.
Selezionare il dominio Ŕ semplice. LsaLogonUser viene passato il nome di dominio. Il nome di dominio viene elaborato come segue:
  • Se il nome di dominio corrisponde al nome del database SAM, l'autenticazione viene elaborato sul computer. In una workstation Windows che Ŕ membro di un dominio, il nome del database SAM database viene considerato come il nome del computer. In un controller di dominio Active Directory, il nome del database degli account Ŕ il nome del dominio. In un computer che non Ŕ un membro di un dominio, tutti gli accessi elaborare richieste localmente.
  • Se il nome di dominio specificato Ŕ considerato attendibile da questo dominio, la richiesta di autenticazione viene passata tramite il dominio trusted. Nei controller di dominio di Active Directory, l'elenco dei domini trusted Ŕ facilmente disponibile. Su un membro di un dominio di Windows, la richiesta viene sempre passata tramite al dominio della workstation, consentendo di determinare se il dominio specificato non Ŕ attendibile primario di dominio primario.
  • Se il nome di dominio specificato non Ŕ considerato attendibile dal dominio, la richiesta di autenticazione viene elaborata nel computer di essere connessi come se il nome di dominio specificato nome di dominio. NetLogon non viene fatta distinzione tra un dominio inesistente, un dominio non attendibile e un nome di dominio tipizzato in modo non corretto.
NetLogon seleziona un server del dominio tramite un processo denominato individuazione. Una workstation Windows rileva il nome di uno dei controller di dominio Active Directory di Windows nel dominio principale. Un controller di dominio di Active Directory rileva il nome di un controller di dominio di Active Directory in ogni dominio trusted. Il componente che esegue il rilevamento Ŕ di tipo DC Locator che viene eseguito nel servizio Accesso rete. Il localizzatore di controller di dominio utilizza la risoluzione dei nomi NETBIOS o DNS per individuare i server necessari, a seconda del tipo di dominio e attendibilitÓ configurato.

ProprietÓ

Identificativo articolo: 102716 - Ultima modifica: mercoledý 1 novembre 2006 - Revisione: 2.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
Chiavi:á
kbmt kbinfo kbhowto KB102716 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 102716
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com