Descrição dos protocolos de alteração de senha no Windows

  • Artigo

Este artigo descreve os mecanismos para alterar senhas no Windows.

Aplica-se a: Windows 10, Windows Server 2012 R2
Número original do KB: 264480

Resumo

O Windows usa muitos mecanismos diferentes para alterar senhas. Este artigo descreve esses mecanismos.

Mais informações

Os protocolos de alteração de senha com suporte são:

  1. O protocolo NetUserChangePassword
  2. O protocolo NetUserSetInfo
  3. O protocolo kerberos change-password (IETF Internet Draft Draft-ietf-cat-kerb-chg-password-02.txt) [porta 464]
  4. Protocolo kerberos set-password (IETF Internet Draft Draft-ietf-cat-kerberos-set-passwd-00.txt) [porta 464]
  5. Atributo LDAP (Protocolo de Acesso ao Diretório Leve) atributo de senha de gravação (se a Camada de Soquetes Seguros de 128 bits [SSL] for usada)
  6. Compatibilidade XACT-SMB para compatibilidade pré-Microsoft Windows NT (LAN Manager)

As operações de senha de alteração exigem que a senha atual do usuário seja conhecida antes que a alteração seja permitida. As operações de set-password não têm esse requisito, mas são controladas pelas permissões Redefinir Senha na conta.

Quando você estiver usando o LDAP (método 5), o controlador de domínio e o cliente devem ser capazes de usar o SSL de 128 bits para proteger a conexão. Se o controlador de domínio não estiver configurado para SSL ou se as chaves apropriadamente longas não estiverem disponíveis, a gravação de alteração de senha será negada.

Um controlador de domínio do Active Directory escuta solicitações de senha de alteração em todos esses protocolos.

Conforme indicado anteriormente neste artigo, protocolos diferentes são usados em circunstâncias diferentes. Por exemplo:

  • Clientes Kerberos interoperáveis usam os protocolos Kerberos. Sistemas baseados em UNIX com o MIT Kerberos versão 5 1.1.1 podem alterar senhas de usuário em um domínio baseado no Windows usando o protocolo kerberos change-password (método 3).
  • Quando os usuários alteram suas próprias senhas pressionando CTRL+ALT+DELETE e clicando em Alterar Senha, Windows NT até o Windows 2003 o mecanismo NetUserChangePassword (método 1) é usado se o destino for um domínio. Do Windows Vista em diante, o protocolo de senha de alteração Kerberos é usado para contas de domínio. Se o destino for um reino Kerberos, o protocolo kerberos change-password (método 3) será usado.
  • Solicitações para alterar uma senha de computadores que estão executando o Microsoft Windows 95/Microsoft Windows 98 usam XACT-SMB (método 6).
  • Um programa que usa o método ChangePassword na interface IaDSUser da Interface dos Serviços do Active Directory (ADSI) primeiro tenta alterar a senha usando LDAP (método 5) e, em seguida, usando o protocolo NetUserChangePassword (método 1).
  • Um programa que usa o método SetPassword na interface IADSUser do ADSI primeiro tenta alterar a senha usando LDAP (método 5), depois o protocolo kerberos set-password (método 4) e, em seguida, o protocolo NetUserSetInfo (método 2).
  • O snap-in Usuários e Computadores do Active Directory usa operações ADSI para definir senhas de usuário.