Windows에서 NTLM 사용자 인증

기술 자료 번역 기술 자료 번역
기술 자료: 102716 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Windows 에서 NTLM 사용자 인증 다음과 같은 측면을 설명합니다.
  • 계정 데이터베이스에 암호 저장
  • MSV1_0 인증 패키지를 사용하여 사용자 인증
  • 통과 인증

추가 정보

계정 데이터베이스에 암호 저장

사용자 레코드는 Active Directory 데이터베이스의 보안 계정 관리자 (SAM) 데이터베이스에 저장됩니다. 두 암호를 각 사용자 계정에 연결된: LAN 관리자 호환 암호 및 Windows 암호. 각 암호는 암호화하고 SAM 데이터베이스 또는 Active Directory 데이터베이스에 저장됩니다.

LAN 관리자 호환 암호를 LAN 관리자가 사용하는 암호가 호환됩니다. 이 암호 (OEM) 주문자 문자 집합은 기반으로 합니다. 대/소문자를 구분하지 않는 암호와 14 자까지 될 수 있습니다. 이 암호 OWF 버전의 LAN Manager를 OWF 또는 ESTD 버전 알려져 있습니다. 이 암호는 일반 텍스트 암호 상수로 암호화하는 DES 암호화를 사용하여 계산됩니다. LAN Manager OWF 암호를 긴 16바이트입니다. 일반 텍스트 암호 7 첫 번째 바이트의 LAN Manager OWF 암호의 첫 8 바이트 계산하는 데 사용됩니다. 컴퓨터에 두 번째 8바이트 LAN Manager OWF 암호의 일반 텍스트 암호 두 번째 7 바이트의 사용됩니다.

Windows 암호는 유니코드 문자 집합은 기반으로 합니다. 이 암호는 대/소문자를 구분하며 128 자까지 될 수 있습니다. 이 암호 OWF 버전의 Windows OWF 암호를 알려져 있습니다. 이 암호는 RSA MD 4 암호화 알고리즘을 사용하여 계산됩니다. 이 알고리즘은 16바이트 다이제스트 일반 텍스트 암호 바이트의 가변 길이 문자열을 계산합니다.

모든 사용자 계정이 LAN 관리자 암호 또는 Windows 암호를 부족한 수도 있습니다. 그러나 모든 암호 두 버전을 모두 유지 시도합니다. 예를 들어, 사용자 계정을 PortUas를 사용하여 LAN Manager UAS 데이터베이스에서 이식할 경우 또는 LAN 클라이언트 또는 작업 그룹 클라이언트는 Windows 암호를 변경한 경우에는 암호 LAN Manager 버전만 존재하게 됩니다. 암호를 설정하거나 Windows 클라이언트에서 변경된 암호를 LAN Manager 표현이 있는 경우 암호 Windows 버전만 존재하게 됩니다. (암호 LAN Manager 표현을 암호가 14문자보다 긴 있기 때문에 OEM 문자 집합을 나타낼 수 없는 문자가 있을 수 없습니다.) Windows 에서 사용자 인터페이스 제한 Windows 암호를 14자 초과할 수 없게 수행합니다. 이 제한은 의미는 이 문서의 뒷부분에서 설명합니다.

Windows 2000 서비스 팩 2 및 이후 버전의 Windows 설정을 사용할 수 있는 사용하면 Windows에서 암호의 LAN Manager 해시 저장하지 못하게 수 있습니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:
299656Windows에서 Active Directory 및 로컬 SAM 데이터베이스에서 암호 LAN 관리자 해시를 저장하지 못하게 하는 방법을
참고 SAM 데이터베이스를 수동으로 또는 프로그래밍 방식으로 변경하는 지원되지 않습니다.

MSV1_0 인증 패키지를 사용하여 사용자 인증

Windows는 LsaLogonUser API는 모든 종류의 사용자 인증 사용합니다. LsaLogonUser API 인증 패키지를 호출하여 사용자를 인증합니다. 기본적으로 LsaLogonUser (MSV) MSV1_0 인증 패키지를 호출합니다. 이 패키지를 Windows NT에 포함되어 있습니다. MSV 인증 패키지 저장소에 사용자 레코드를 SAM 데이터베이스에. 이 패키지를 Netlogon 서비스를 사용하여 다른 도메인의 사용자 창구 인증을 지원합니다.

내부적으로 MSV 인증 패키지는 두 부분으로 나뉩니다. 첫 번째 부분은 MSV 인증 패키지 연결되어 있는 컴퓨터에서 실행됩니다. 두 번째 부분은 사용자 계정이 들어 있는 컴퓨터에서 실행됩니다. 동일한 컴퓨터에서 두 부분을 실행할 때 Netlogon 서비스를 포함하는 않고 두 번째 부분은 첫 번째 부분은 MSV 인증 패키지 호출합니다. 전달된 도메인 이름을 자체 도메인 이름이 아니므로 통과 인증이 필요합니다. 첫 번째 부분은 MSV 인증 패키지 인식합니다. 통과 인증이 필요할 때 MSV Netlogon 서비스가 요청을 전달합니다. Netlogon 서비스가 다음 대상 컴퓨터의 Netlogon 서비스가 요청을 라우팅합니다. 결과적으로 Netlogon 서비스가 해당 컴퓨터에서 MSV 인증 패키지가 다른 부분은 요청을 전달합니다.

네트워크 로그온 및 대화형 로그온, 서비스 로그온에 LsaLogonUser가 지원합니다. MSV 인증 패키지를 모든 형태의 로그온 사용자 계정이 포함된 도메인 이름과 사용자 암호 일부 함수는 사용자 계정의 이름을 전달합니다. LsaLogonUser로 전달할 때 서로 다른 종류의 로그온 암호를 다르게 나타냅니다.

대화형 로그온, 일괄 로그온 및 서비스 로그온 첫 번째 부분은 MSV 인증 패키지 실행하는 컴퓨터에 대한 로그온 클라이언트입니다. 이 경우, 일반 텍스트 암호는 LsaLogonUser 및 MSV 인증 패키지 첫 번째 부분은 전달됩니다. 서비스 제어 관리자 및 작업 스케줄러 서비스 로그온 및 일괄 로그온 계정의 자격 증명을 저장하는 더 안전한 방법을 제공합니다.

첫 번째 부분은 MSV 인증 패키지 LAN Manager OWF 암호 및 Windows NT OWF 암호를 모두 일반 텍스트 암호를 변환합니다. 그런 다음 패키지 첫 번째 부분은 NetLogon 서비스 또는 패키지 두 번째 부분은 일반 텍스트 암호를 전달합니다. 다음 두 번째 부분은 OWF 암호는 SAM 데이터베이스를 쿼리하고 동일한 있는지 확인합니다.

네트워크 로그온에 컴퓨터에 연결하는 클라이언트 이전에 16바이트 챌린지를 또는 "nonce" 지정되었습니다. 클라이언트에서 LAN 클라이언트 경우 클라이언트가 16바이트 챌린지를 16바이트 LAN Manager OWF 암호로 암호화하여 24-바이트 챌린지 응답이 계산됩니다. 다음 LAN Manager 클라이언트가 LAN Manager 챌린지 대응 "서버에 전달합니다. 클라이언트에서 Windows 클라이언트 경우 "Windows NT 챌린지 응답" 동일한 알고리즘을 사용하여 계산됩니다. 그러나 Windows 클라이언트 대신 LAN Manager OWF 데이터를 16바이트 Windows OWF 데이터를 사용합니다. Windows 클라이언트는 다음 LAN Manager 챌린지 응답 및 Windows NT 챌린지 응답 서버에 전달합니다. 두 경우 LsaLogonUser API로 모든 다음 전달하여 서버가 사용자를 인증하는:
  • 도메인 이름
  • 사용자 이름
  • 원래 챌린지
  • LAN Manager 챌린지 응답
  • 선택적 Windows NT 챌린지 응답
MSV 인증 패키지 첫 번째 부분은 두 번째 부분은 변경하지 않고 이 정보를 전달합니다. 먼저, 두 번째 부분은 OWF 암호는 SAM 데이터베이스 또는 Active Directory 데이터베이스 쿼리합니다. 그런 다음 두 번째 부분은 데이터베이스 및 전달된 챌린지 OWF 암호를 사용하여 챌린지 응답을 계산합니다. 그런 다음 두 번째 부분은 전달된 챌린지 응답 계산된 챌린지 응답에 비교합니다.

참고 NTLMv2 일반적인 공격 위험을 줄일 세션 키 함께 챌린지를 보내는 클라이언트 수 있습니다.

앞에서 언급한 것처럼 암호 버전이나 SAM 데이터베이스 또는 Active Directory 데이터베이스에 없을 수 있습니다. 또한 암호 버전이나 LsaLogonUser 호출에서 없을 수도 있습니다. SAM 데이터베이스에서 암호 Windows 버전 및 LsaLogonUser 암호에서 Windows 버전을 사용할 수 있는 경우 모두 사용됩니다. 그렇지 않은 경우 암호 LAN Manager 버전의 비교에 사용됩니다. 이 규칙은 네트워크 로그온이 Windows에서 Windows에 발생할 때 대/소문자를 구분하기 도움이 됩니다. 이 규칙은 또한 이전 버전과의 호환성을 위해 있습니다.

통과 인증

NetLogon 서비스 통과 인증을 구현합니다. 다음 기능을 수행합니다.
  • 도메인을 인증 요청을 전달할 선택합니다.
  • 도메인 내의 서버를 선택합니다.
  • 선택한 서버에 인증 요청을 통해 전달합니다.
도메인을 선택하면 간단합니다. 도메인 이름은 위해 LsaLogonUser가 전달됩니다. 도메인 이름은 다음과 같이 처리됩니다.
  • 인증 도메인 이름이 SAM 데이터베이스의 이름과 일치하는 경우 해당 컴퓨터에서가 처리됩니다. 이름 도메인 구성원인 Windows 워크스테이션의 SAM에 있는 데이터베이스 컴퓨터의 이름을 것으로 간주됩니다. Active Directory 도메인 컨트롤러에서 도메인 이름을 계정 데이터베이스의 이름입니다. 도메인의 구성원이 아닌 컴퓨터에 모든 로그온 요청을 로컬로 처리합니다.
  • 이 도메인에서 지정한 도메인 이름의 신뢰하는 경우 인증 요청은 통해 신뢰할 수 있는 도메인으로 전달됩니다. Active Directory 도메인 컨트롤러에 신뢰할 수 있는 도메인 목록을 쉽게 사용할 수 있습니다. Windows 도메인 구성원에서 요청이 항상 통해 주 도메인 지정한 도메인이 신뢰할 수 있는지 여부를 확인할 수 있도록 워크스테이션, 주 도메인이 전달됩니다.
  • 지정한 도메인 이름이 도메인 신뢰할 수 없는 경우 인증 요청이 지정한 도메인 이름이 도메인 이름을 것처럼 연결되는 컴퓨터에서가 처리됩니다. NetLogon은 존재하지 않는 도메인, 신뢰할 수 없는 도메인 사이의 잘못 입력된 도메인 이름을 구분하지 않습니다.
NetLogon 검색 이라는 프로세스를 통해 도메인에 서버를 선택합니다. Windows 워크스테이션을 Windows Active Directory 도메인 컨트롤러와 주 도메인 중 하나의 이름을 검색합니다. Active Directory 도메인 컨트롤러는 Active Directory 도메인 컨트롤러 신뢰할 수 있는 각 도메인의 이름을 검색합니다. Netlogon 서비스가 실행되는 DC 로케이터 검색을 수행하는 구성이 요소입니다. DC 로케이터 NETBIOS 또는 DNS 이름 확인을 사용하여 도메인 및 구성된 트러스트 종류에 따라 필요한 서버를 찾습니다.

속성

기술 자료: 102716 - 마지막 검토: 2006년 11월 1일 수요일 - 수정: 2.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
키워드:?
kbmt kbinfo kbhowto KB102716 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com