รับรองความถูกต้อง ntlm ผู้ใช้ใน Windows

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 102716 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้กล่าวถึงด้านต่อไปนี้ของการรับรองความถูกต้อง NTLM ผู้ใช้ใน Windows:
  • รหัสผ่านที่เก็บในฐานข้อมูลบัญชี
  • รับรองความถูกต้องของผู้ใช้ โดยใช้แพคเกจการรับรองความถูกต้อง MSV1_0
  • pass-through การรับรองความถูกต้อง

ข้อมูลเพิ่มเติม

รหัสผ่านที่เก็บในฐานข้อมูลบัญชี

ระเบียนของผู้ใช้จะถูกเก็บไว้ ในฐานข้อมูล (SAM) ของผู้จัดการบัญชีความปลอดภัย หรือ ในฐานข้อมูล Active Directory แต่ละบัญชีผู้ใช้เกี่ยวข้องกับรหัสผ่านที่สอง: รหัสผ่านของผู้จัดการ LAN-เข้ากันได้และรหัสผ่านของ Windows แต่ละรหัสผ่านถูกเข้ารหัสลับ และเก็บไว้ ในฐานข้อมูล SAM หรือ ในฐานข้อมูล Active Directory

รหัสผ่านผู้จัดการ LAN-เข้ากันได้ไม่เข้ากันได้กับรหัสผ่านที่ใช้โดยผู้จัดการ LAN รหัสผ่านนี้จะขึ้นอยู่กับชุดอักขระบริษัทผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) รหัสผ่านนี้ไม่สำคัญ case และสามารถเป็นจนถึง 14 ตัวยาว รหัสผ่านนี้รุ่น OWF ถูกเรียกอีกอย่างว่ารุ่นของโปรแกรมจัดการ LAN OWF หรือ ESTD รหัสผ่านนี้คือ computed โดยใช้การเข้ารหัสลับ DES เพื่อเข้ารหัสลับค่าคงที่ ด้วยรหัสผ่านข้อความธรรมดา รหัสผ่านของผู้จัดการ LAN OWF คือ ความยาว 16 ไบต์ ไบต์ที่ 7 แรกของข้อความที่มีการยกเลิกการเลือกรหัสผ่านถูกใช้เพื่อคำนวณไบต์ 8 แรกของรหัสผ่านของผู้จัดการ LAN OWF ไบต์ที่ 7 ตัวที่สองของรหัสผ่านข้อความที่มีการยกเลิกการเลือกจะใช้คอมพิวเตอร์ไบต์ 8 ที่สองของรหัสผ่านของผู้จัดการ LAN OWF

รหัสผ่านของ Windows จะขึ้นอยู่กับชุดอักขระ Unicode รหัสผ่านนี้คือตัวสำคัญ และสามารถเป็นจนถึง 128 ตัวยาว รหัสผ่านนี้รุ่น OWF ถูกเรียกอีกอย่างว่ารหัสผ่าน Windows OWF รหัสผ่านนี้คือ computed โดยใช้อัลกอริทึมการเข้ารหัสลับ RSA MD-4 อัลกอริทึมนี้คำนวณการแยกย่อย 16 ไบต์ของสตริงที่ยาวตัวแปรข้อความที่มีการยกเลิกการเลือกรหัสผ่านไบต์

บัญชีผู้ใช้ใด ๆ อาจมีรหัสผ่านของผู้จัดการ LAN หรือรหัสผ่านของ Windows อย่างไรก็ตาม ทุกพยายามที่จะรักษาทั้งสองรุ่นของรหัสผ่าน ตัวอย่างเช่น ถ้าบัญชีผู้ใช้คือ ported จากฐานข้อมูลผู้จัดการ LAN UAS โดยใช้ PortUas หรือ ถ้ามีเปลี่ยนรหัสผ่าน จากไคลเอนต์ผู้จัดการ LAN หรือ จาก Windows สำหรับไคลเอ็นต์ Workgroups เฉพาะผู้จัดการ LAN รุ่นของรหัสผ่านจะมี ถ้ารหัสผ่านถูกตั้งค่า หรือเปลี่ยนแปลงบนไคลเอนต์ Windows และรหัสผ่านยังไม่มีการแสดงตัวจัดการ LAN เฉพาะ Windows รุ่นของรหัสผ่านจะมีอยู่ (รหัสผ่านอาจไม่มีการแสดงตัวจัดการ LAN ได้เนื่องจากรหัสผ่านยาวเกินกว่า 14 ตัว หรือเนื่อง จากอักขระไม่สามารถแสดงชุดอักขระ OEM) ข้อจำกัดของอินเทอร์เฟซสำหรับผู้ใช้ใน Windows ไม่ให้เกิน 14 ตัวรหัสผ่านของ Windows เกี่ยวข้องด้านของข้อจำกัดนี้จะกล่าวถึงในบทความนี้

ใน Windows 2000 Service Pack 2 และ ใน Windows รุ่นที่ใหม่กว่า การตั้งค่าจะพร้อมใช้งานซึ่งช่วยให้คุณสามารถป้องกันไม่ให้ Windows เก็บแฮเป็นผู้จัดการ LAN ของรหัสผ่านของคุณสำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
299656วิธีการป้องกันไม่ให้ Windows เก็บแฮชของการจัดการ LAN ของรหัสผ่านของคุณใน Active Directory และฐานข้อมูล SAM ท้องถิ่น
หมายเหตุ:Microsoft ไม่สนับสนุนการด้วยตนเอง หรือโดยทางโปรแกรมดัดแปลงฐานข้อมูล SAM

รับรองความถูกต้องของผู้ใช้ โดยใช้แพคเกจการรับรองความถูกต้อง MSV1_0

windows ใช้ LsaLogonUser API สำหรับผู้ใช้ authentications ทุกชนิด LsaLogonUser API authenticates ผู้ใช้ โดยการเรียกแพคเกจการรับรองความถูกต้อง โดยค่าเริ่มต้น LsaLogonUser เรียกแพคเกจการรับรองความถูกต้อง MSV1_0 (MSV) แพคเกจนี้มีอยู่ใน Windows NT MSV ตรวจสอบแพคเกจร้านผู้ใช้ระเบียนในฐานข้อมูล SAM แพคเกจนี้สนับสนุนการรับรองความถูกต้องทรูของผู้ใช้ในโดเมนอื่น โดยใช้บริการ Netlogon

ภายใน แพคเกจการรับรองความถูกต้อง MSV ถูกแบ่งออกเป็นสองส่วน ส่วนแรกของแพคเกจการรับรองความถูกต้อง MSV รันบนคอมพิวเตอร์ที่มีการเชื่อมต่อไป ส่วนสองทำงานบนคอมพิวเตอร์ที่ประกอบด้วยบัญชีผู้ใช้ เมื่อทั้งสองส่วนที่ต้องการเรียกใช้บนคอมพิวเตอร์เครื่องเดียวกัน ส่วนแรกของแพคเกจการรับรองความถูกต้อง MSV เรียกส่วนที่สองโดยที่ไม่เกี่ยวข้องกับบริการ Netlogon ส่วนแรกของแพคเกจการรับรองความถูกต้อง MSV รู้จักการรับรองความถูกต้องทรูที่จำเป็นต้องได้เนื่องจากชื่อโดเมนที่มีการส่งผ่านไม่ใช่ชื่อโดเมนของตนเอง เมื่อมีการรับรองความถูกต้องทรูจำเป็น MSV ส่งผ่านการร้องขอการบริการ Netlogon บริการ Netlogon ได้แก่การร้องขอไปยังบริการ Netlogon บนคอมพิวเตอร์ปลายทางแล้ว In turn, the Netlogon service passes the request to the other part of the MSV authentication package on that computer.

LsaLogonUser supports interactive logons, service logons, and network logons. In the MSV authentication package, all forms of logon pass the name of the user account, the name of the domain that contains the user account, and some function of the user's password. The different kinds of logon represent the password differently when they pass it to LsaLogonUser.

For interactive logons, batch logons, and service logons, the logon client is on the computer that is running the first part of the MSV authentication package. In this case, the clear-text password is passed to LsaLogonUser and to the first part of the MSV authentication package. For service logons and batch logons, the Service Control Manager and the Task Scheduler provide a more secure way of storing the account's credentials.

The first part of the MSV authentication package converts the clear-text password both to a LAN Manager OWF password and to a Windows NT OWF password. Then, the first part of the package passes the clear-text password either to the NetLogon service or to the second part of the package. The second part then queries the SAM database for the OWF passwords and makes sure that they are identical.

For network logons, the client that connects to the computer was previously given a 16-byte challenge, or "nonce." If the client is a LAN Manager client, the client computed a 24-byte challenge response by encrypting the 16-byte challenge with the 16-byte LAN Manager OWF password. The LAN Manager client then passes this "LAN Manager Challenge Response" to the server. If the client is a Windows client, a "Windows NT Challenge Response" is computed by using the same algorithm. However, the Windows client uses the 16-byte Windows OWF data instead of the LAN Manager OWF data. The Windows client then passes both the LAN Manager Challenge Response and the Windows NT Challenge Response to the server. In either case, the server authenticates the user by passing all the following to the LsaLogonUser API:
  • The domain name
  • The user name
  • The original challenge
  • The LAN Manager Challenge Response
  • The optional Windows NT Challenge Response
The first part of the MSV authentication package passes this information unchanged to the second part. First, the second part queries the OWF passwords from the SAM database or from the Active Directory database. Then, the second part computes the challenge response by using the OWF password from the database and the challenge that was passed in. The second part then compares the computed challenge response to passed-in challenge response.

หมายเหตุ:NTLMv2 also lets the client send a challenge together with the use of session keys that help reduce the risk of common attacks.

As mentioned earlier, either version of the password might be missing from the SAM database or from the Active Directory database. Also, either version of the password might be missing from the call to LsaLogonUser. If both the Windows version of password from the SAM database and the Windows version of the password from LsaLogonUser are available, they both are used. Otherwise, the LAN Manager version of the password is used for comparison. This rule helps enforce case sensitivity when network logons occur from Windows to Windows. This rule also allows for backward compatibility.

Pass-through authentication

The NetLogon service implements pass-through authentication. It performs the following functions:
  • Selects the domain to pass the authentication request to.
  • Selects the server within the domain.
  • Passes the authentication request through to the selected server.
Selecting the domain is straightforward. The domain name is passed to LsaLogonUser. The domain name is processed as follows:
  • If the domain name matches the name of the SAM database, the authentication is processed on that computer. On a Windows workstation that is a member of a domain, the name of the SAM database is considered to be the name of the computer. On an Active Directory domain controller, the name of the account database is the name of the domain. On a computer that is not a member of a domain, all logons process requests locally.
  • If the specified domain name is trusted by this domain, the authentication request is passed through to the trusted domain. On Active Directory domain controllers, the list of trusted domains is easily available. On a member of a Windows domain, the request is always passed through to the primary domain of the workstation, letting the primary domain determine whether the specified domain is trusted.
  • ถ้าชื่อโดเมนที่ระบุไม่ได้ถูกเชื่อถือ โดยโดเมน การร้องขอการรับรองความถูกต้องถูกประมวลผลในคอมพิวเตอร์ที่มีการเชื่อมต่ออยู่กับว่าชื่อโดเมนที่ระบุได้ว่าชื่อโดเมน แยกความแตก netlogon ไม่ต่างระหว่างโดเมนที่ไม่มีอยู่ โดเมนไม่น่าเชื่อถือ และมีชื่อโดเมนที่ไม่ถูกต้องพิมพ์
netlogon เลือกเซิร์ฟเวอร์ในโดเมนตามกระบวนการเรียกว่าการค้นหา เวิร์กสเตชันของ Windows discovers ชื่อของตัวควบคุมโดเมน Active Directory ของ Windows ในโดเมนหลักของอย่างใดอย่างหนึ่ง ตัวควบคุมโดเมน Active Directory discovers ชื่อของตัวควบคุมโดเมน Active Directory ในแต่ละโดเมนที่เชื่อถือได้ คอมโพเนนต์ที่ทำการค้นหามี Locator DC ที่รันในบริการ Netlogon DC Locator การจำแนกชื่อ NETBIOS หรือ DNS ที่ใช้เพื่อค้นหาเซิร์ฟเวอร์ที่จำเป็น ขึ้นอยู่กับชนิดของโดเมนและความน่าเชื่อถือที่มีการกำหนดค่า

คุณสมบัติ

หมายเลขบทความ (Article ID): 102716 - รีวิวครั้งสุดท้าย: 6 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional Edition
Keywords: 
kbinfo kbhowto kbmt KB102716 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:102716

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com