Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email文章編號: 913485 - 上次校閱: 2006年8月14日 - 版次: 1.2 Windows Server 2003、Windows XP 及 Windows 2000 中的快取認證安全性
在此頁中結論 本文將告訴您 Microsoft Windows Server 2003、Microsoft Windows XP 及
Microsoft Windows 2000 中的快取認證安全性,且主要在於說明網域認證。然而,本文也會澄清說明一般認證。 其他相關資訊瞭解密碼快取Windows 電腦使用兩種密碼快取:網域認證及一般認證。網域認證網域認證是由作業系統元件所使用,並由本機安全性授權 (LSA) 所驗證。一般來說,當註冊的安全性封裝驗證使用者的登入資料時,會為使用者建立網域認證。這個註冊的安全性封裝可能是 Kerberos 通訊協定或 NTLM。一般認證一般認證是由管理授權及安全性的程式直接定義及驗證,而不會將這些工作委派給作業系統。例如,程式可能需要使用者輸入程式提供的使用者名稱及密碼。或者,程式可能需要使用者產生憑證,才能存取網站。程式會使用認證管理功能,提示使用者輸入程式所定義的認證。這些認證的型式可能是使用者名稱、密碼、憑證或智慧卡。使用者輸入的認證會傳回程式,進行驗證。 認證管理可以讓您自訂快取管理。認證管理也提供長期儲存一般認證。使用者處理序可讀取及寫入一般認證。 認證管理員Windows XP Professional 及 Windows Server 2003 包含了「已儲存的使用者名稱和密碼」功能,也可提供認證管理功能。根據驗證的類型不同,此功能可儲存使用者認證,以在日後重複使用認證。認證管理員可安全地儲存使用者認證。這些認證包含密碼及 X.509 認證。認證管理員可讓漫遊及非漫遊使用者僅提供一次認證。例如,使用者第一次在公司網路上執行程式時,就需要驗證。因此,系統會提示使用者提供認證。使用者提供這些認證後,就可繼續使用程式。 快取網域認證提供的功能快取網域認證提供下列功能:
快取網域認證的安全性快取認證這個名詞無法正確說明 Windows 如何快取網域登入的登入資訊。在 Windows 2000 及 Windows 更新版本中,不會快取使用者名稱及密碼。相反的,系統會儲存密碼的加密檢查器。此檢查器是 Salted MD4 雜湊,會計算兩次。兩次的計算有效地讓檢查器成為使用者密碼的雜湊。此行為與 Microsoft Windows NT 4.0 及前版 Windows NT 不同。如果攻擊者嘗試在檢查器上發動密碼分析攻擊,這個加密會產生兩個結果:
快取網域認證的設定選項
快取網域認證的安全性考量因素刪除認證快取無論用於加密密碼檢查器的加密演算法為何,都可以覆寫密碼檢查器,因此攻擊者可以使用者身分對檢查器所屬的使用者進行驗證。因此,系統管理員的密碼可能會遭到覆寫。此程序需要對電腦實體存取。有公用程式可協助覆寫快取檢查器。使用其中一個公用程式,攻擊者就可使用覆寫值來進行驗證。覆寫系統管理員的密碼並不會幫助攻擊者存取使用密碼加密的資料。覆寫密碼也不會幫助攻擊者存取屬於電腦上其他使用者的任何加密檔案系統 (EFS) 資料。覆寫密碼不會幫助攻擊者取代檢查器,因為基礎金鑰資料是錯的。因此,使用加密檔案系統或使用資料保護 API (DPAPI) 加密的資料不會遭到解密。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件: 818200?
(http://support.microsoft.com/kb/818200/
)
An Attacker with Physical Access to Your Computer May Be Able to Access Your Files and Other Data
這篇文章中的資訊適用於:
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。 | 其他資源 其他支援網站社群立即取得協助文章翻譯 |
回此頁最上方
