Overovanie NTLM používateľa v systéme Windows

Preklady článku Preklady článku
ID článku: 102716 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Tento článok popisuje tieto aspekty používateľské overenie pomocou štandardu NTLM v systéme Windows:
  • Skladovanie heslo v databáze účet
  • Overenie používateľa pomocou overovací balík MSV1_0
  • Odovzdávajúci overovania

DALSIE INFORMACIE

Skladovanie heslo v databáze účet

Používateľ záznamy sú uložené v databáze bezpečnostné účty správca (SAM) alebo v databáze služby Active Directory. Každé používateľské konto je priradený dve heslá: LAN Manager kompatibilný heslo a heslo do systému Windows. Každé heslo je šifrované a uložené databáza SAM alebo v databáze služby Active Directory.

LAN Manager kompatibilný heslo je kompatibilný s heslo, ktoré sa používa v LAN Manager. Toto heslo je založený na pôvodné vybavenie množina znakov výrobcu OEM. Toto heslo nie je veľké a malé písmená a môže byť až do 14 znakov. OWF verzia toto heslo je tiež známy ako LAN Manager OWF alebo ESTD verziu. Toto heslo je vypočítaná pomocou DES šifrovania na zašifrovanie konštanta heslom nešifrovaný text. LAN Manager OWF heslo je 16 bajtov dlhá. Prvý 7 bajtov nešifrovaný text heslo sa používa na výpočet prvý 8 bajtov LAN Manager OWF heslo. Druhý 7 bajtov nešifrovaný text heslo sa používajú na počítači druhý 8 bajtov LAN Manager OWF heslo.

Heslo do systému Windows je založený na znakov Unicode. Toto heslo je prípad citlivé a možno až 128 znakov. OWF verzia toto heslo je tiež známy ako Windows OWF heslo. Toto heslo je vypočítaný pomocou RSA MD-4 šifrovací algoritmus. Tento algoritmus vypočíta 16-bajtové výťah z reťazec s premenlivou dĺžkou nešifrovaný text heslo bajtov.

Každé používateľské konto, by mohli nedostatkom buď LAN Manager heslo alebo Heslo systému Windows. Avšak každý pokus zachovať aj verzie heslo. Napríklad, ak konto používateľa je portované zo siete LAN Správca UAS databázy pomocou PortUas, alebo ak sa zmení heslo z klienta LAN Manager alebo z klienta systému Windows for Workgroups, len verzia programu LAN Manager heslo bude existovať. Ak heslo je stanoviť alebo zmenilo Windows client a heslo nemá zastupiteľstvo LAN Manager, iba okná verzia heslo bude existovať. (Heslo môže mať žiadne LAN Manager zastúpenie pretože je heslo dlhšie ako 14 znakov alebo nemôže byť znaky zastúpené v znakov OEM) Používateľské rozhranie limity v systéme Windows nenechajte Windows heslá prekročiť 14 znakov. V Toto obmedzenie sú diskutované neskôr v tomto článku.

V systéme Windows 2000 Service Pack 2 a novšie verzie systému Windows, nastavenie je k dispozícii, ktorý umožňuje zabrániť ukladanie LAN Manager hodnoty hash hesla systému Windows. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku databázy Microsoft Knowledge Base:
299656Ako zabrániť systému Windows v ukladanie LAN manager algoritmus hash hesla v Active Directory a miestnej databázy SAM
Poznámka: Spoločnosť Microsoft nepodporuje manuálne alebo pomocou programovania mení sa databáza SAM.

Overenie používateľa pomocou overovací balík MSV1_0

Systém Windows používa LsaLogonUser API pre všetky druhy overenia totožnosti používateľa. LsaLogonUser API overuje používateľov volaním overovací balíček. V predvolenom nastavení LsaLogonUser vyzýva overovací balík MSV1_0 (MSV). Tento balík je súčasťou systému Windows NT. MSV overovací balík obchody používateľa záznamov v databáza SAM. Tento balík podporuje overovanie užívateľov v iných doménach pomocou službu Netlogon.

Interne, MSV overovací balík je rozdelená na dve časti. Prvá časť MSV overovací balík beží na počítači, ktorý je spojené. Druhá časť sa spustí na počítači, ktorý obsahuje dané používateľské konto. Keď obidve časti spustiť na rovnakom počítač, prvej časti MSV overovací balík hovory druhá časť bez zapojenia službu Netlogon. Prvá časť MSV Overovací balík uznáva, že prenos autentifikácia je potrebné, pretože názov domény to je zložili nie je vlastné doménové meno. Ak overovanie nevyžaduje, MSV prechádza žiadosť Služba Netlogon. Služba Netlogon potom trasy žiadosť, ktoré služba Netlogon na cieľovom počítači. Zasa služba Netlogon prechádza žiadosť druhá časť MSV overovací balík na danom počítači.

LsaLogonUser podporuje interaktívne prihlasovanie, služby prihlasovanie a siete prihlásenia. V balíku overovania MSV všetky formy prihlásenie prejsť názov používateľské konto názov domény, ktorá obsahuje používateľské konto a niektoré funkcie hesla používateľa. Rôzne druhy prihlásenie predstavujú heslo inak, keď prechádzajú na LsaLogonUser.

Pre interaktívne prihlasovanie, šarže prihlásenia a službu Prihlasovanie, prihlásenie klient je na počítači, ktorý je spustený prvej časti MSV overovací balíček. V tomto prípade nešifrované heslo prechádza LsaLogonUser a prvá časť MSV overovací balíček. Pre službu Prihlasovanie a dávkové prihlásenia, správca ovládania služieb a Plánovač poskytujú Bezpečnejším spôsobom ukladania účet poverenia.

Prvá časť MSV overovací balík konvertuje nešifrované heslo aj na LAN Manager OWF hesla Windows NT OWF heslo. Potom, prvá časť balík prejde nešifrované heslo služba NetLogon alebo druhá časť balíka. Druhá časť potom dotazy databáza SAM OWF hesiel a zabezpečuje, že sú identické.

Pre prihlásenia na sieť, predtým bol klient, ktorý sa pripája k počítaču daná 16-bajtové výzvou alebo "jednorazový kód." Ak klient je klient LAN Manager, klient vypočítaná 24-bajtové výzva odpoveď zašifrovaním 16-bajtové výzvu s 16-bajtové LAN Manager OWF heslo. Klienta LAN Manager potom to prejde "LAN Manager Challenge odpoveď" na server. Ak klient je klient systému Windows, "Windows NT Challenge odpoveď" je vypočítaná pomocou rovnakej algoritmu. Však klienta systému Windows používa 16-bajtové Windows OWF údajov namiesto LAN Manager OWF údajov. Klienta systému Windows potom prejde Challenge odozvy LAN Manager a systém Windows NT Challenge odpoveď serveru. V oboch prípadoch server overuje používateľa zadan?m všetko nasledovné LsaLogonUser API:
  • Názov domény.
  • Meno používateľa
  • Pôvodné výzvou
  • Challenge odozvy LAN Manager
  • Voliteľné Windows NT Challenge Response
Prvá časť MSV overovací balík prejde túto informáciu nezmenené druhej časti. Po prvé, druhá časť zisťuje OWF hesiel z databáza SAM alebo databázu Active Directory. Druhá časť potom vypočíta výzva odpoveď pomocou OWF heslo z databázy a výzvou, aby bola odovzdaná. Druhá časť potom porovnáva vypočítaná výzva odpoveď na prešiel výzva odpoveď.

Poznámka: Overovanie NTLMv2 tiež umožňuje klientovi poslať výzvu spolu s použitím kľúče relácie, ktoré pomôžu znížiť riziko spoločnej útokov.

Ako už bolo spomenuté, buď verziu heslo môže byť chýbajúce z databáza SAM alebo databázu Active Directory. Tiež môže byť buď verziu heslo chýba volanie LsaLogonUser. Ak Windows verzie heslo z databázy SAM a verzia systému Windows heslo od LsaLogonUser sú k dispozícii, použijú sa obaja. V opačnom prípade LAN Manager verzie heslo sa používa pre porovnanie. Toto pravidlo pomáha presadzovať rozlišovanie keď prihlásenia na sieť vyskytnú zo systému Windows do systému Windows. Toto pravidlo sa tiež umožňuje pre spätnú kompatibilitu.

Odovzdávajúci overovania

Služba NetLogon implementuje overovania. Plní tieto funkcie:
  • Vyberie domény prejsť authentication požiadať.
  • Vyberie server v doméne.
  • Požiadavka na overenie prostredníctvom prechádza na vybratý server.
Výberom domény je jednoduché. Názov domény je odovzdaný LsaLogonUser. Názov domény je spracované takto:
  • Ak názov domény zhoduje s názvom Databáza SAM autentifikácia je spracovaná na počítači. Na pracovnej stanici, ktorá je členom domény, názov matica SAM Databáza je za názov počítača. Na doménovom radiči Active Directory názov databázy konto je názov domény. Na počítači, ktorý nie je členom domény, všetky prihlásenia spracovávať žiadosti lokálne.
  • Ak zadaný doménové meno je dôveryhodná pre túto doménu, požiadavka na overenie prechádza cez dôveryhodnej doméne. Na radičoch domény služby Active Directory, je ľahko dostupný zoznam dôveryhodných domén. O člena domény Windows, žiadosť vždy prešiel na primárnej doméne pracovnej stanici, prenájom primárnej doméne určiť, či určenej doméne je dôveryhodný.
  • Ak zadaný názov domény nie je dôveryhodný doménou, požiadavka na overenie sa spracúva na počítač je pripojený na akoby názov domény špecifikované že doménové meno. NetLogon nerozlišujú medzi doména neexistuje, nedôveryhodnej doméne a nesprávne zadané domény.
NetLogon vyberie server v doméne proces nazývaný objav. Pracovnej stanici zistí názov jednej radiče domény služby Active Directory systému Windows v jeho primárnej doméne. K radiču domény služby Active Directory zistí názov k radiču domény služby Active Directory v každom dôveryhodnej domény. Súčasť, ktorá nemá objav je DC Locator, ktorý beží v službu Netlogon. DC Locator používa rozlíšenie názvu NETBIOS alebo DNS na vyhľadanie nevyhnutné servery, v závislosti od typu domény a dôvery, ktorá je nakonfigurovaná.

Vlastnosti

ID článku: 102716 - Posledná kontrola: 10. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional Edition
Kľúčové slová: 
kbinfo kbhowto kbmt KB102716 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:102716

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com