Проверка подлинности NTLM пользователя в Windows

Переводы статьи Переводы статьи
Код статьи: 102716 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье рассматриваются следующие аспекты NTLM для проверки подлинности пользователя в Windows.
  • Хранение пароля в базе данных учетных записей
  • Проверка подлинности пользователя с помощью пакета проверки подлинности раздел MSV1_0
  • Сквозная проверка подлинности

Дополнительная информация

Хранение пароля в базе данных учетных записей

Записи пользователя хранятся в базе данных диспетчера (SAM) или в базе данных Active Directory. Каждой учетной записи пользователя сопоставлен два пароля: пароль системой LAN Manager и пароль Windows. Каждый пароль шифруется и хранится в базе данных SAM или в базе данных Active Directory.

Совместим с системой LAN Manager пароля пароль, который используется диспетчером локальной сети. Этот пароль основан на исходных оборудования набор символов OEM-производителем. Этот пароль не чувствительны к регистру и могут быть длиной до 14 знаков. Параметров OWF Этот пароль имеет также версия параметров OWF LAN Manager или ESTD. Этот пароль вычисляется с помощью шифрования DES шифрование константы с паролем открытым текстом. Пароль параметров OWF LAN Manager содержит 16 байтов. Первые 7 байтов незашифрованные пароли используются для вычисления Первые 8 байтов пароля LAN Manager параметров OWF. Второй байт 7 незашифрованные пароли используются для компьютера второй 8 байт Пароль параметров OWF LAN Manager.

Пароль Windows основана на наборе символов Юникод. Этот пароль используется регистр конфиденциальной и может иметь длину до 128 символов. Версия параметров OWF этот пароль также называется параметров OWF Windows пароль. Этот пароль вычисляется с помощью RSA MD-4 алгоритм шифрования. Этот алгоритм вычисляет дайджест 16 байт переменной длины строки байтов пароля открытым текстом.

Любая учетная запись пользователя могут отсутствовать пароля LAN Manager или Пароль Windows. Тем не менее каждая попытка поддерживать оба версии пароль. Например, если входящая учетной записи пользователя из локальной сети Диспетчер UAS базы данных с помощью команды portuas пользователь, или если изменен пароль из Клиент LAN Manager или с помощью клиента Windows для рабочих групп, только LAN Manager версии пароль будет существовать. Если задано или изменено на пароль компьютер под управлением Windows и пароль не имеет LAN Manager представления, только Windows версия пароля будет существовать. (Пароль может иметь каких-либо гарантий LAN Manager, так как пароль длиной более 14 символов или знаков не может быть представленный в набор символов OEM.) Пользовательский интерфейс ограничения в Windows позволяют Windows пароля превышает 14 символов. В последствия этого ограничения будут рассмотрены далее в этой статье.

В пакет обновления 2 (SP2) для Windows 2000 и более поздних версиях Windows параметр доступен, который позволяет запретить хранение хеш пароля LAN Manager. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
299656Как запретить хранение-диспетчер LAN для пароля в Active Directory и локальных базах данных SAM
Примечание Корпорация Майкрософт не поддерживает вручную или программным путем изменения в базе данных SAM.

Проверка подлинности пользователя с помощью пакета проверки подлинности раздел MSV1_0

Windows использует API-Интерфейс LsaLogonUser для всех видов проверки подлинности пользователей. LsaLogonUser API проверяет подлинность пользователей, вызывая пакет проверки подлинности. По умолчанию LsaLogonUser вызывает пакет проверки подлинности раздел MSV1_0 (MSV). Этот пакет входит в состав Windows NT. MSV подлинности хранения пакетов записи в базе данных SAM. Данный пакет поддерживает сквозную проверку подлинности пользователей в других доменах, с помощью службы Netlogon.

Внутренне пакет проверки подлинности MSV делится на две части. Первая часть пакета проверки подлинности MSV запускается на компьютере, на котором выполняется подключение к. Вторая часть запускается на компьютере, который содержит учетную запись пользователя. При выполнении обеих частей на том же компьютер, первая часть проверки подлинности MSV упаковки вызовов Вторая часть без привлечения служба входа в сеть. В первой части MSV пакет проверки подлинности распознает, что к серверу Проверка подлинности не требуется, так как имя домена то есть передан не имени домена. Когда требуется сквозная проверка подлинности MSV передает запрос на Служба входа в сеть. Служба Netlogon передает запрос к службе Netlogon на конечном компьютере. В свою очередь, передает запрос на службу Netlogon другие части пакета проверки подлинности MSV на этом компьютере.

LsaLogonUser поддерживает интерактивный вход в сеть, служба входа в систему и сеть вход в систему. В пакет проверки подлинности MSV все формы входа в систему следует передать имя учетная запись пользователя имя домена, содержащего учетную запись пользователя, а некоторые функции пароля пользователя. Различные виды входа представляют пароль по-разному при их передаче LsaLogonUser.

Интерактивный вход в сеть и пакетного входа службы входа в систему на компьютере, на котором выполняется первая часть пакета проверки подлинности MSV является входа клиента. В этом случае для LsaLogonUser и первая часть пакета проверки подлинности MSV передается незашифрованным паролем. Служба входа в систему и пакетного входа диспетчера управления службами и планировщик заданий обеспечивают более безопасный способ хранения учетных данных учетной записи пользователя.

Первая часть пакета проверки подлинности MSV преобразует незашифрованные пароли для параметров OWF LAN Manager пароль и пароль Windows NT параметров OWF. Затем в первой части этого пакета передает незашифрованным паролем служба входа в сеть или во второй части пакета. Затем вторая часть пароли параметров OWF запроса базы данных SAM и гарантирует, что они идентичны.

Для регистрации в сети клиента, подключающегося к компьютеру ранее получил запрос 16 байт, или «nonce.» Если клиент является клиентом LAN Manager, клиент вычисляемые 24 байта запрос ответ, шифруя 16-байтовый проблемой пароля LAN Manager параметров OWF 16 байт. Клиент LAN Manager передает это «LAN Manager запрос ответ» на сервере. Если клиент является клиентом Windows, «Windows NT вызов ответ» вычисляется с помощью того же алгоритма. Тем не менее клиент Windows использует данные параметров OWF Windows 16 байт вместо данных параметров OWF LAN Manager. Клиент Windows передает запрос ответ LAN Manager и запрос ответ Windows NT на сервере. В любом случае сервер проверяет подлинность пользователя, передавая все следующие LsaLogonUser API:
  • Имя домена
  • Имя пользователя
  • Исходный запрос
  • Запрос ответ диспетчер LAN
  • Дополнительный запрос ответ Windows NT
Первая часть пакета проверки подлинности MSV передает эту информацию, не изменяется во второй части. Во-первых вторая часть запрос параметров OWF пароли в базе данных SAM или из базы данных службы каталогов Active Directory. Затем вторая часть вычисляет запрос-ответ с помощью параметров OWF пароля из базы данных и запрос, который был передан в. Вторая часть сравнивает вычисляемый запрос-ответ на запрос передается в ответ.

Примечание NTLMv2 также позволяет отправлять запрос вместе с использованием ключей сеанса, помогающие снизить риск атак распространенных клиента.

Как упоминалось ранее, либо версия пароля, возможно, отсутствует в базе данных SAM или из базы данных службы каталогов Active Directory. Кроме того либо версия пароля могут отсутствовать вызов LsaLogonUser. Если доступны версии Windows пароль в базе данных SAM и версии Windows пароль из LsaLogonUser, обе они используются. В противном случае LAN Manager версия пароля используется для сравнения. Это правило служит для соблюдения регистра при входе в сеть из Windows в Windows. Это правило позволяет также для обеспечения обратной совместимости.

Сквозная проверка подлинности

Служба NetLogon реализует сквозную проверку подлинности. Он выполняет следующие функции:
  • Выбор домена, чтобы пройти проверку подлинности Запросите.
  • Выбор сервера в домене.
  • Передает запрос на проверку подлинности через выбранный сервер.
При выборе домена достаточно прост. Передается имя домена LsaLogonUser. Имя домена обрабатывается следующим образом:
  • Если доменное имя совпадает с именем базы данных SAM Проверка подлинности обрабатывается на этом компьютере. На рабочей станции Windows, который является членом домена, имя SAM База данных считается, что имя компьютера. На контроллере домена Active Directory имя учетной записи базы данных — это имя домена. На компьютере, который не является членом домена, всех входов в систему локально обрабатывать запросы.
  • Если указанное имя домена является доверенным для данного домена, запрос проверки подлинности передается через доверенного домена. На контроллерах домена Active Directory в список доверенных доменов легко доступными. На является членом домена Windows запрос всегда передается через основной домен рабочей станции, что позволяет определить, является ли указанный домен доверенного домена.
  • Если указано имя домена не доверяет домен, на компьютер, подключенный к, как будто это имя домена имя домена, указанного обрабатывается запрос проверки подлинности. NetLogon не делает различия между несуществующего домена ненадежного домена и имя домена введено неправильно.
NetLogon выбирает сервер в домене, процесс, называемый обнаружения. На рабочей станции Windows обнаруживает имя одного из контроллеров домена Windows Active Directory в его основном домене. Контроллер домена Active Directory обнаруживает имя контроллера домена Active Directory, в каждом доверенном домене. Компонент, который выполняет обнаружение является локатора контроллеров Домена, работающего в службе Netlogon. Локатора контроллеров Домена использует разрешение имен NETBIOS или DNS для поиска необходимых серверов, в зависимости от типа домена и доверия, который настроен.

Свойства

Код статьи: 102716 - Последний отзыв: 1 июня 2011 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
Ключевые слова: 
kbinfo kbhowto kbmt KB102716 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:102716

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com