NTLM ngư?i dùng xác th?c trong Windows

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 102716 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Bài vi?t này th?o lu?n v? các khía c?nh sau c?a NTLM ngư?i dùng xác th?c trong Windows:
  • M?t kh?u lưu tr? trong cơ s? d? li?u tài kho?n
  • Xác th?c ngư?i dùng b?ng cách s? d?ng gói xác th?c MSV1_0
  • Xác th?c Pass-through

THÔNG TIN THÊM

M?t kh?u lưu tr? trong cơ s? d? li?u tài kho?n

H? sơ ngư?i dùng đư?c lưu tr? trong cơ s? d? li?u qu?n l? (SAM) tài kho?n b?o m?t ho?c trong cơ s? d? li?u Active Directory. M?i trương m?c ngư?i dùng đư?c k?t h?p v?i hai m?t kh?u: m?t kh?u m?ng LAN Manager-tương thích và m?t kh?u Windows. M?i m?t kh?u đư?c m?t m? hóa và đư?c lưu trong cơ s? d? li?u SAM trong cơ s? d? li?u Active Directory.

M?t kh?u m?ng LAN Manager-tương thích là tương thích v?i các m?t kh?u đư?c s? d?ng b?i m?ng LAN qu?n l?. M?t kh?u này d?a trên thi?t b? g?c nhà s?n xu?t (OEM) k? t?. M?t kh?u này không ph?i là trư?ng h?p nh?y c?m và có th? lên đ?n 14 k? t?. OWF Phiên b?n c?a m?t kh?u này c?ng đư?c g?i là phiên b?n LAN Manager OWF ho?c ESTD. M?t kh?u này đư?c tính b?ng cách s? d?ng DES m?t m? đ? m? hóa m?t h?ng s? v?i m?t kh?u văn b?n r? ràng. M?t kh?u m?ng LAN Manager OWF là 16 byte dài. 7 Byte đ?u tiên c?a m?t kh?u văn b?n r? ràng đư?c s? d?ng đ? tính toán các đ?u tiên 8 byte c?a m?t kh?u m?ng LAN qu?n l? OWF. 7 Byte th? hai c?a m?t kh?u văn b?n r? ràng đư?c s? d?ng đ? máy tính th? hai 8 byte c?a các LAN Manager OWF m?t kh?u.

M?t kh?u Windows d?a trên b? k? t? Unicode. M?t kh?u này là trư?ng h?p nh?y c?m và có th? lên đ?n 128 k? t?. Phiên b?n OWF c?a m?t kh?u này c?ng đư?c g?i là m?t kh?u Windows OWF. M?t kh?u này đư?c tính b?ng cách s? d?ng RSA MD-4 thu?t toán m? hóa. Thu?t toán này tính m?t 16-byte tiêu c?a m?t bi?n chi?u dài chu?i văn b?n r? ràng m?t kh?u byte.

B?t k? tài kho?n ngư?i dùng có th? thi?u ho?c m?ng LAN qu?n l? m?t kh?u ho?c các Windows m?t kh?u. Tuy nhiên, m?i n? l?c đư?c th?c hi?n đ? duy tr? c? hai các phiên b?n c?a m?t kh?u. Ví d?, n?u trương m?c ngư?i dùng đư?c chuy?n t? m?t m?ng LAN UAS qu?n l? cơ s? d? li?u b?ng cách s? d?ng PortUas, ho?c n?u m?t kh?u đư?c thay đ?i t? m?t khách hàng LAN Manager ho?c t? m?t Windows cho nhóm làm vi?c khách hàng, ch? Phiên b?n LAN Manager c?a m?t kh?u s? t?n t?i. N?u m?t kh?u đư?c thi?t l?p ho?c thay đ?i ngày m?t khách hàng Windows và m?t kh?u đ? không có đ?i di?n m?ng LAN Manager, ch? là các c?a s? Phiên b?n c?a m?t kh?u s? t?n t?i. (M?t kh?u có th? không có đ?i di?n qu?n l? m?ng LAN v? m?t kh?u là dài hơn 14 k? t? ho?c b?i v? các k? t? không th? đ?i di?n trong t?p k? t? c?a OEM.) Giao di?n ngư?i dùng gi?i h?n trong Windows đ? Windows m?t kh?u vư?t quá 14 k? t?. Các tác đ?ng c?a h?n ch? này s? đư?c th?o lu?n sau này trong bài vi?t này.

Windows 2000 Service Pack 2 và phiên b?n m?i nh?t c?a Windows, thi?t l?p m?t là có s?n cho phép b?n ngăn ch?n c?a s? lưu tr? m?t m?ng LAN Manager băm m?t kh?u c?a b?n. Đ? bi?t thêm thông tin, h?y b?m vào s? bài vi?t sau đ? xem bài vi?t trong Cơ s? Ki?n th?c Microsoft:
299656Làm th? nào đ? ngăn ch?n Windows t? lưu tr? m?t m?ng LAN qu?n l? băm c?a m?t kh?u trong Active Directory và cơ s? d? li?u đ?a phương SAM
Chú ý Microsoft không h? tr? b?ng tay ho?c l?p tr?nh làm thay đ?i cơ s? d? li?u SAM.

Xác th?c ngư?i dùng b?ng cách s? d?ng gói xác th?c MSV1_0

Windows s? d?ng LsaLogonUser API cho t?t c? các lo?i c?a ngư?i s? d?ng authentications. LsaLogonUser API authenticates ngư?i s? d?ng b?ng cách g?i m?t gói xác th?c. Theo m?c đ?nh, LsaLogonUser g?i gói xác th?c MSV1_0 (NEC). Gói này đư?c bao g?m v?i Windows NT. Các LR xác th?c gói c?a hàng ngư?i dùng ghi trong cơ s? d? li?u SAM. Gói này h? tr? pass-through xác th?c ngư?i dùng ? tên mi?n khác b?ng cách s? d?ng các d?ch v? Netlogon.

N?i b?, LR xác th?c gói đư?c chia thành hai ph?n. Ph?n đ?u tiên c?a FC xác th?c gói ch?y trên máy tính đang k?t n?i v?i. Ph?n th? hai ch?y trên máy tính có ch?a các tài kho?n ngư?i dùng. Khi c? hai ph?n ch?y trên cùng m?t máy tính, ph?n đ?u tiên c?a xác th?c FC gói cu?c g?i các ph?n th? hai mà không có liên quan đ?n các d?ch v? Netlogon. Ph?n đ?u tiên c?a FC xác th?c gói nh?n ra r?ng pass-through xác th?c là c?n thi?t b?i v? tên mi?n đó là thông qua không ph?i là tên mi?n riêng c?a nó. Khi pass-through xác th?c đư?c yêu c?u, Newcastle vư?t qua yêu c?u đ? d?ch v? Netlogon. D?ch v? Netlogon sau đó các tuy?n đư?ng yêu c?u cho các d?ch v? Netlogon trên máy tính đích. L?n lư?t, các d?ch v? Netlogon vư?t qua yêu c?u đ? các m?t ph?n khác c?a FC gói xác th?c trên máy tính đó.

LsaLogonUser h? tr? tương tác logons, d?ch v? logons và m?ng Logons. Trong LR xác th?c gói, t?t c? các h?nh th?c đăng nh?p vư?t qua tên c?a các trương m?c ngư?i dùng, tên mi?n có ch?a các tài kho?n ngư?i dùng, và m?t s? ch?c năng c?a m?t kh?u c?a ngư?i dùng. Đ?i di?n các lo?i đăng nh?p cho m?t kh?u khác nhau khi h? vư?t qua nó cho LsaLogonUser.

Đ?i v?i tương tác logons, lô logons và d?ch v? logons, khách hàng đăng nh?p là trên máy tính đang ch?y ph?n đ?u tiên c?a FC xác th?c gói. Trong trư?ng h?p này, m?t kh?u văn b?n r? ràng đư?c thông qua đ? LsaLogonUser và ph?n đ?u tiên c?a FC xác th?c gói. Đ?i v?i d?ch v? logons và lô logons, b? đi?u khi?n d?ch v? và l?p l?ch tác v? cung c?p m?t cách an toàn hơn đ? lưu tr? thông tin đăng nh?p c?a tài kho?n.

Ph?n đ?u tiên c?a FC xác th?c gói chuy?n đ?i m?t kh?u văn b?n r? ràng c? m?t kh?u m?ng LAN qu?n l? OWF và m?t m?t kh?u Windows NT OWF. Sau đó, ph?n đ?u tiên c?a gói đi kh?u văn b?n r? ràng v?i d?ch v? NetLogon ho?c đ?n ph?n th? hai c?a gói. Ph?n th? hai sau đó truy v?n cơ s? d? li?u SAM cho m?t kh?u OWF và đ?m b?o r?ng h? là gi?ng h?t nhau.

Cho m?ng logons, khách hàng k?t n?i v?i máy tính đ? đư?c trư?c đó đ?t m?t 16-byte thách th?c, ho?c "nonce." N?u các khách hàng là m?t khách hàng qu?n l? m?ng LAN, khách hàng tính đáp ?ng thách th?c 24-byte b?ng m?t m? hóa các thách th?c 16 byte v?i m?t kh?u m?ng LAN Manager OWF 16 byte. Máy s? d?ng m?ng LAN qu?n l? sau đó vư?t qua đi?u này "Đáp ?ng thách th?c LAN Manager" cho h? ph?c v?. N?u các khách hàng là m?t khách hàng Windows, m?t ph?n ?ng"thách th?c Windows NT" đư?c tính b?ng cách s? d?ng các thu?t toán tương t?. Tuy nhiên, Windows khách hàng s? d?ng d? li?u Windows OWF 16 byte thay v? c?a d? li?u m?ng LAN qu?n l? OWF. Khách hàng Windows sau đó ch?y c? hai đáp ?ng thách th?c m?ng LAN Manager và đáp ?ng thách th?c Windows NT cho h? ph?c v?. Trong c? hai trư?ng h?p, h? ph?c v? authenticates ngư?i s? d?ng b?ng cách đi qua t?t c? sau đây đ? LsaLogonUser API:
  • Tên mi?n
  • Tên ngư?i dùng
  • Thách th?c ban đ?u
  • Đáp ?ng thách th?c m?ng LAN Manager
  • Tùy ch?n đáp ?ng thách th?c Windows NT
Ph?n đ?u tiên c?a gói xác th?c Newcastle vư?t qua thông tin này không thay đ?i đ?n ph?n th? hai. Trư?c tiên, ph?n th? hai truy v?n các m?t kh?u OWF t? cơ s? d? li?u SAM ho?c t? cơ s? d? li?u Active Directory. Sau đó, ph?n th? hai tính đáp ?ng thách th?c b?ng cách s? d?ng m?t kh?u OWF t? cơ s? d? li?u và nh?ng thách th?c đư?c thông qua t?i. Ph?n th? hai sau đó so sánh nh?ng l?i thách th?c tính đáp ?ng thông qua trong thách th?c.

Chú ý NTLMv2 c?ng cho phép khách hàng g?i m?t thách th?c cùng v?i vi?c s? d?ng các phím phiên giúp gi?m nguy cơ các cu?c t?n công chung.

Như đ? đ? c?p trư?c đó, m?t trong hai phiên b?n c?a m?t kh?u có th? không có trong b?ng t? cơ s? d? li?u SAM ho?c t? cơ s? d? li?u Active Directory. Ngoài ra, m?t trong hai phiên b?n c?a m?t kh?u có th? là m?t tích t? các cu?c g?i đ?n LsaLogonUser. N?u c? hai phiên b?n Windows c?a m?t kh?u t? cơ s? d? li?u SAM và phiên b?n Windows m?t kh?u t? LsaLogonUser có s?n, c? hai đ?u đư?c s? d?ng. N?u không, các phiên b?n LAN Manager c?a m?t kh?u đư?c s? d?ng đ? so sánh. Quy t?c này s? giúp th?c thi trư?ng h?p nh?y c?m khi m?ng logons x?y ra t? Windows đ? Windows. Quy t?c này c?ng cho phép tương thích ngư?c.

Xác th?c Pass-through

D?ch v? NetLogon th?c hi?n pass-through xác th?c. Nó th?c hi?n các ch?c năng sau đây:
  • Ch?n tên mi?n đ? vư?t qua vi?c xác th?c yêu c?u.
  • Ch?n h? ph?c v? trong các tên mi?n.
  • Vư?t qua yêu c?u xác th?c thông qua vào h? ph?c v? đ? ch?n.
Ch?n tên mi?n là đơn gi?n. Tên mi?n đư?c thông qua LsaLogonUser. Tên mi?n đư?c x? l? như sau:
  • N?u tên mi?n phù h?p v?i tên c?a cơ s? d? li?u SAM, các xác th?c x? l? trên máy tính đó. Trên m?t máy tr?m Windows là m?t thành viên c?a m?t tên mi?n, tên c?a SAM cơ s? d? li?u là đư?c coi là tên c?a máy tính. Trên m?t b? đi?u khi?n vùng Active Directory, tên c?a cơ s? d? li?u tài kho?n này là tên mi?n. Trên m?t máy tính mà không ph?i là m?t thành viên c?a m?t tên mi?n, t?t c? các logons quá tr?nh yêu c?u t?i đ?a phương.
  • N?u tên mi?n c? th? đư?c tin c?y b?i tên mi?n này, yêu c?u xác th?c đi qua các tên mi?n đáng tin c?y. Trên b? đi?u khi?n vùng Active Directory, danh sách tên mi?n đáng tin c?y có th? s?n sàng. Trên m?t thành viên c?a m?t tên mi?n Windows, yêu c?u luôn luôn đi qua tên mi?n chính c?a máy tr?m, cho phép tên mi?n chính xác đ?nh xem các tên mi?n đư?c ch? đ?nh là đáng tin c?y.
  • N?u tên mi?n đư?c ch? ra không đư?c tin c?y b?i các tên mi?n, yêu c?u xác th?c đang x? l? trên máy tính đư?c k?t n?i đ? n?u như tên mi?n ch? đ?nh là r?ng tên mi?n. NetLogon không phân bi?t gi?a m?t tên mi?n không t?n t?i, m?t tên mi?n không đáng tin c?y, và m?t tên mi?n đ? g? không chính xác.
NetLogon ch?n m?t máy ch? trong tên mi?n c?a m?t quá tr?nh đư?c g?i là phát hi?n. M?t tr?m làm vi?c Windows phát hi?n ra tên c?a m?t trong b? ki?m soát mi?n Windows Active Directory c?a nó tên mi?n chính. M?t b? đi?u khi?n vùng Active Directory phát hi?n ra tên c?a m?t b? đi?u khi?n vùng Active Directory trong m?i tên mi?n đáng tin c?y. Các thành ph?n mà không phát hi?n ra là Locator DC ch?y trong d?ch v? Netlogon. DC Locator s? d?ng đ? phân gi?i tên NETBIOS ho?c DNS đ? xác đ?nh v? trí các máy ch? c?n thi?t, tùy thu?c vào lo?i tên mi?n và tin tư?ng r?ng đư?c c?u h?nh.

Thu?c tính

ID c?a bài: 102716 - L?n xem xét sau cùng: 17 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows XP Professional
T? khóa: 
kbinfo kbhowto kbmt KB102716 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:102716

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com