A autenticação de utilizador NTLM no Windows

Traduções de Artigos Traduções de Artigos
Artigo: 102716 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo aborda os seguintes aspectos NTLM autenticação do utilizador no Windows:
  • Armazenamento de palavra-passe na base de dados conta
  • Autenticação de utilizador utilizando o pacote de autenticação MSV1_0
  • Autenticação pass-through

Mais Informação

Armazenamento de palavra-passe na base de dados conta

Registos de utilizador são armazenados na base de dados de contas de segurança Gestor (SAM Security Account Manager) ou na base de dados do Active Directory. Cada conta de utilizador está associada com duas palavras-passe: palavra-passe compatíveis com o LAN Manager e a palavra-passe do Windows. Cada palavra-passe é encriptada e armazenada na base de dados do SAM, Security Accounts Manager ou na base de dados do Active Directory.

A palavra-passe compatíveis com o LAN Manager é compatível com a palavra-passe que é utilizada pelo LAN Manager. Esta palavra-passe se baseia o conjunto de caracteres de fabricante de equipamento original (OEM). Esta palavra-passe não é sensível a maiúsculas / minúsculas e pode ter até 14 caracteres. Versão desta palavra-passe OWF é também conhecido como a versão OWF do LAN Manager ou ESTD. Esta palavra-passe é calculado utilizando a encriptação DES para encriptar uma constante com a palavra-passe texto simples. A palavra-passe OWF do LAN Manager é 16 bytes. Os primeiros bytes 7 da palavra-passe texto simples são utilizados para calcular os primeiros 8 bytes da palavra-passe OWF do LAN Manager. Os segundos bytes 7 da palavra-passe texto simples são utilizados para os segundo 8 bytes da palavra-passe OWF do LAN Manager do computador.

A palavra-passe do Windows se baseia o conjunto de caracteres Unicode. Esta palavra-passe é sensível a maiúsculas e pode ter até 128 caracteres. Versão desta palavra-passe OWF é também conhecido como a palavra-passe OWF do Windows. Esta palavra-passe é calculado utilizando o algoritmo de encriptação RSA MD-4. Este algoritmo calcula um resumo de 16 bytes de uma cadeia de comprimento variável de bytes de palavra-passe de texto simples.

Pode não ter qualquer conta de utilizador ou a palavra-passe de LAN Manager ou a palavra-passe do Windows. No entanto, cada tentativa é efectuada para manter ambas as versões da palavra-passe. Por exemplo, se a conta de utilizador é transportada de uma base de dados UAS do LAN Manager utilizando PortUas ou se a palavra-passe for alterada a partir de um cliente do LAN Manager ou de um cliente Windows for Workgroups, existe apenas a versão do LAN Manager da palavra-passe. Se a palavra-passe definição ou alteração num cliente Windows e a palavra-passe não tem nenhuma representação do LAN Manager, existirá apenas a versão do Windows da palavra-passe. (A palavra-passe pode ter sem representação de LAN Manager porque a palavra-passe tem mais de 14 caracteres ou porque os caracteres não podem ser representados no conjunto de caracteres OEM.) Limites de interface de utilizador do Windows não permitem a palavras-passe do Windows excedam os 14 caracteres. As implicações desta limitação posteriormente são abordadas neste artigo.

No Windows 2000 Service Pack 2 e em versões posteriores do Windows, está disponível uma definição que permite impedir o Windows de armazenar um hash do LAN Manager da palavra-passe. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
299656Como impedir o Windows de armazenar um hash de Gestor de LAN da palavra-passe no Active Directory e bases de dados SAM locais
Nota A Microsoft não suporta manualmente ou programaticamente alterar base de dados do SAM, Security Accounts Manager.

Autenticação de utilizador utilizando o pacote de autenticação MSV1_0

O Windows utiliza a API LsaLogonUser para todos os tipos de autenticação de utilizador. A API LsaLogonUser autentica os utilizadores chamando um pacote de autenticação. Por predefinição, LsaLogonUser chama o pacote de autenticação MSV1_0 (MSV). Este pacote está incluído no Windows NT. Os MSV autenticação arquivos do pacote de registos de utilizador na base de dados SAM. Este pacote suporta a autenticação pass-through de utilizadores noutros domínios, utilizando o serviço Netlogon.

Internamente, o pacote de autenticação MSV está dividido em duas partes. A primeira parte do pacote de autenticação MSV executa no computador que está a ser ligado. A segunda parte executa no computador que contém a conta de utilizador. Quando ambas as partes executado no mesmo computador, a primeira parte do pacote de autenticação MSV chama a segunda parte sem que envolvam o serviço Netlogon. A primeira parte do pacote de autenticação MSV reconhece que a autenticação pass-through é necessária porque o nome de domínio que é transmitido não é o seu nome de domínio. Quando é necessária autenticação pass-through, MSV passa o pedido para o serviço Netlogon. O serviço Netlogon, em seguida, encaminha o pedido para o serviço Netlogon no computador de destino. Por sua vez, o serviço Netlogon passa o pedido para a outra parte do pacote de autenticação MSV nesse computador.

LsaLogonUser suporta inícios de sessão interactivos, inícios de sessão do serviço e inícios de sessão na rede. No pacote de autenticação MSV, todas as formas de início de sessão passar o nome da conta de utilizador, o nome do domínio que contém a conta de utilizador e qualquer função da palavra-passe do utilizador. Os diferentes tipos de início de sessão representam a palavra-passe diferente quando passarem para LsaLogonUser.

Para inícios de sessão interactivos, inícios de sessão batch e inícios de sessão do serviço, o cliente de início de sessão é no computador que esteja a executar a primeira parte do pacote de autenticação MSV. Neste casos, a palavras passe em texto é transmitida para LsaLogonUser e para a primeira parte do pacote de autenticação MSV. Para inícios de sessão do serviço e inícios de sessão batch, o Gestor de controlo de serviço e o Programador de tarefas fornecem uma forma mais segura de armazenamento de credenciais da conta.

A primeira parte do pacote de autenticação MSV converte a palavras passe em texto para uma palavra-passe OWF do LAN Manager e uma palavra-passe OWF do Windows NT. Em seguida, a primeira parte do pacote transmite a palavras passe em texto para o serviço NetLogon ou para a segunda parte do pacote. A segunda parte, em seguida, consulta a base de dados SAM, Security Accounts Manager para as palavras-passe OWF e garante que sejam idênticos.

Para inícios de sessão na rede, o cliente liga ao computador anteriormente concedido um desafio de 16 bytes ou "nonce." Se o cliente for um cliente do LAN Manager, o cliente calculada uma resposta de 24 bytes desafio encriptando o desafio de 16 bytes com palavra-passe de 16 bytes OWF do LAN Manager. O cliente LAN Manager, em seguida, transmite este "LAN Manager desafio / resposta" ao servidor. Se o cliente for um cliente Windows, um "Windows NT Challenge Response" é calculado utilizando o mesmo algoritmo. No entanto, o cliente de Windows utiliza os dados de OWF Windows de 16 bytes em vez dos dados do LAN Manager OWF. O cliente de Windows passa, em seguida tanto o desafio / resposta do LAN Manager como o Windows NT Challenge Response para o servidor. Em qualquer dos casos, o servidor autentica o utilizador, passando o seguinte procedimento para a API LsaLogonUser:
  • O nome de domínio
  • O nome de utilizador
  • O desafio original
  • O desafio / resposta do LAN Manager
  • Windows NT Challenge Response opcional
A primeira parte do pacote de autenticação MSV transmite estas informações não alteradas a segunda parte. Em primeiro lugar, a segunda parte consulta de palavras-passe OWF de base de dados do SAM, Security Accounts Manager ou de base de dados do Active Directory. Em seguida, a segunda parte calcula challenge response utilizando a palavra-passe OWF da base de dados e o desafio foi transmitido. A segunda parte, em seguida, compara a resposta desafio calculada desafio transmitido na resposta.

Nota Apenas permite também o cliente envia uma pergunta em conjunto com a utilização de chaves de sessão que ajuda a reduzir o risco de ataques comuns.

Como mencionado anteriormente, qualquer versão da palavra-passe esteja em falta a partir de base de dados do SAM, Security Accounts Manager ou de base de dados do Active Directory. Além disso, qualquer versão da palavra-passe pode estar em falta a chamada para LsaLogonUser. Se a versão do Windows da palavra-passe da base de dados SAM, Security Accounts Manager e a versão do Windows da palavra-passe de LsaLogonUser estiverem disponíveis, ambos são utilizados. Caso contrário, a versão do LAN Manager da palavra-passe é utilizada para comparação. Esta regra ajuda a aplicar a sensibilidade de maiúsculas e minúsculas quando ocorrem os inícios de sessão de rede a partir do Windows para o Windows. Esta regra também permite para compatibilidade com versões anteriores.

Autenticação pass-through

O serviço NetLogon implementa a autenticação pass-through. Efectua as seguintes funções:
  • Selecciona o domínio para transmitir o pedido de autenticação.
  • Selecciona o servidor no domínio.
  • Passa o pedido de autenticação através de para o servidor seleccionado.
Seleccionar o domínio é simples. O nome de domínio é transmitido ao LsaLogonUser. O nome de domínio é processado da seguinte forma:
  • Se o nome de domínio corresponde ao nome de base de dados do SAM, Security Accounts Manager, a autenticação é processada nesse computador. Numa estação de trabalho Windows que seja membro de um domínio, o nome de SAM, Security Accounts Manager da base de dados é considerado como o nome do computador. Num controlador de domínio do Active Directory, o nome da conta de base de dados é o nome do domínio. Num computador que não seja membro de um domínio, todos os logons processar pedidos localmente.
  • Se o nome de domínio especificado é considerado fidedigno por este domínio, o pedido de autenticação é transmitido para o domínio fidedigno. Em controladores de domínio do Active Directory, a lista de domínios fidedignos é facilmente disponível. Num membro de um domínio do Windows, o pedido é sempre transmitido para o domínio principal da estação de trabalho, deixando o domínio primário determinar se o domínio especificado é fidedigno.
  • Se o nome de domínio especificado não é fidedigno pelo domínio, o pedido de autenticação é processado no computador estar ligado à como se o nome de domínio especificado foram esse nome de domínio. NetLogon não diferencia um domínio não existente, um domínio não fidedigno e um nome de domínio escritos incorrectamente.
NetLogon selecciona um servidor no domínio por um processo denominado detecção. Uma estação de trabalho do Windows identifica o nome de um dos controladores de domínio do Active Directory do Windows no respectivo domínio principal. Um controlador de domínio do Active Directory identifica o nome de um controlador de domínio do Active Directory em cada domínio fidedigno. O componente que a detecção é o localizador de DC que seja executado no serviço Netlogon. O localizador de DC utiliza a resolução de nomes NETBIOS ou DNS para localizar os servidores necessários, dependendo do tipo de domínio e fidedignidade que está configurada.

Propriedades

Artigo: 102716 - Última revisão: 1 de novembro de 2006 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbmt kbinfo kbhowto KB102716 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 102716

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com