مصادقة NTLM المستخدم في نظام التشغيل Windows

ملخص

تتناول هذه المقالة الجوانب التالية من مصادقة NTLM المستخدم في Windows:
  • تخزين كلمة المرور في قاعدة بيانات الحساب
  • مصادقة المستخدم باستخدام حزمة المصادقة MSV1_0
  • مصادقة التمريري

مزيد من المعلومات

تخزين كلمة المرور في قاعدة بيانات الحساب

سجلات المستخدم المخزنة في قاعدة البيانات (SAM) إدارة حسابات الأمان أو في قاعدة بيانات "Active Directory". يقترن كل حساب مستخدم كلمتي: كلمة المرور المتوافقة مع LAN Manager وكلمة مرور Windows. كل كلمة مرور مشفرة ومخزنة في قاعدة بيانات SAM أو في قاعدة بيانات "Active Directory".

كلمة المرور المتوافقة مع LAN Manager متوافق مع كلمة المرور التي يتم استخدام واسطة LAN Manager. كلمة المرور هذه استناداً إلى مجموعة أحرف الشركة المصنعة للمعدات الأصلية (OEM). كلمة المرور غير حساسة لحالة الأحرف ويمكن أن يصل إلى 14 حرفاً. يعرف إصدار OWF كلمة المرور هذه أيضا إصدار OWF LAN Manager أو استد. وتحتسب كلمة المرور باستخدام تشفير DES لتشفير ثابت باستخدام كلمة مرور نص عادي. كلمة مرور LAN Manager OWF 16 بايت. يتم استخدام وحدات البايت الأولى 7 بكلمة المرور في نص واضح لحساب 8 بايت الأولى من كلمة مرور LAN Manager OWF. تستخدم وحدات البايت الثاني 7 بكلمة المرور في نص واضح للكمبيوتر الثاني 8 بايت من كلمة مرور LAN Manager OWF.


كلمة مرور Windows يستند إلى مجموعة أحرف Unicode. كلمة المرور حساسة لحالة الأحرف ويمكن أن يصل إلى 128 حرفاً. تعرف أيضا بإصدار OWF كلمة المرور هي كلمة المرور Windows OWF. وتحتسب كلمة المرور هذه باستخدام خوارزمية تشفير RSA MD-4. تحسب هذه الخوارزمية ملخصاً 16 بايت لسلسلة متغيرة الطول بايت كلمة المرور في نص واضح.

قد تفتقر إلى أي حساب المستخدم كلمة مرور Windows أو كلمة مرور LAN Manager. ومع ذلك، كل محاولة للاحتفاظ بكلا الإصدارين لكلمة المرور. على سبيل المثال، إذا كان حساب المستخدم يتم تصديره من قاعدة بيانات UAS LAN Manager باستخدام PortUas، أو إذا تم تغيير كلمة المرور من عميل LAN Manager أو من Windows for Workgroups العميل، ستوجد الإصدار LAN Manager فقط من كلمة المرور. إذا تم تعيين كلمة المرور أو تغييرها على عميل Windows وكلمة المرور له عدم وجود أي تمثيل LAN Manager، ستوجد إصدار Windows كلمة المرور. (كلمة المرور قد يكون أي تمثيل LAN Manager لأن كلمة المرور أطول من 14 حرفاً، أو لأنه لا يمكن تمثيل الأحرف في مجموعة أحرف OEM). لا تدع حدود واجهة المستخدم في Windows كلمات مرور Windows يتجاوز 14 حرفاً. وتناقش الآثار المترتبة على هذا القيد لاحقاً في هذه المقالة.

في Windows 2000 Service Pack 2 والإصدارات اللاحقة من Windows، تتوفر إعداد إمكانية منع Windows من تخزين تجزئة كلمة مرور LAN Manager. للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

كيفية منع Windows من تخزين تجزئة إدارة LAN كلمة المرور الخاصة بك في "خدمة active Directory" وقاعدة بيانات SAM محلية 299656

ملاحظة: لا تدعم Microsoft تعديل قاعدة بيانات SAM يدوياً أو برمجياً.

مصادقة المستخدم باستخدام حزمة المصادقة MSV1_0

يستخدم Windows LsaLogonUser API لجميع أنواع مصادقة المستخدم. LsaLogonUser API بمصادقة المستخدمين باستدعاء حزمة مصادقة. بشكل افتراضي، يستدعي LsaLogonUser حزمة المصادقة MSV1_0 (ملي سيفرت). هذه الحزمة يتم تضمينها مع Windows NT. مليسيفيرت مصادقة حزمة مخازن سجلات المستخدم في قاعدة بيانات SAM. تعتمد الحزمة مصادقة المرور من المستخدمين في مجالات أخرى باستخدام خدمة Netlogon.

داخليا, حزمة المصادقة ملي سيفرت ينقسم إلى جزأين. الجزء الأول من حزمة المصادقة ملي سيفرت يعمل على الكمبيوتر المتصل ب. الجزء الثاني يعمل على الكمبيوتر الذي يحتوي على حساب المستخدم. عند تشغيل كلا الجزأين على نفس الكمبيوتر، تستدعي الجزء الأول من حزمة المصادقة ملي سيفرت الجزء الثاني دون إشراك خدمة Netlogon. الجزء الأول من حزمة المصادقة ملي سيفرت تدرك ذلك مصادقة المرور مطلوب لأن اسم المجال الذي تم تمريره ليس اسم المجال الخاص به. عند طلب مصادقة المرور، مليسيفيرت يقوم بتمرير الطلب إلى خدمة Netlogon. خدمة Netlogon ثم توجيه الطلب إلى خدمة netlogon الموجودة على الكمبيوتر الوجهة. بدوره، الخدمة يقوم بتمرير الطلب إلى الجزء الآخر من حزمة المصادقة ملي سيفرت على ذلك الكمبيوتر.

يدعم LsaLogonUser عمليات تسجيل الدخول التبادلية وعمليات تسجيل الدخول إلى خدمة تسجيل دخول شبكة الاتصال. في حزمة المصادقة مليسيفيرت، جميع أشكال تسجيل الدخول بتمرير اسم حساب المستخدم واسم المجال الذي يحتوي على حساب المستخدم، وبعض الوظائف للمرور كلمة. تمثل أنواع مختلفة من تسجيل الدخول كلمة المرور بشكل مختلف عند تمرير إلى LsaLogonUser.

لعمليات تسجيل الدخول التبادلية وعمليات تسجيل الدخول الدفعة وعمليات تسجيل الدخول إلى الخدمة، يكون العميل تسجيل الدخول على جهاز الكمبيوتر الذي يقوم بتشغيل الجزء الأول من حزمة المصادقة ملي سيفرت. في هذه الحالة، يتم تمرير كلمة المرور ذات النص الواضح ل LsaLogonUser والجزء الأول من حزمة المصادقة ملي سيفرت. لعمليات تسجيل الدخول إلى الخدمات وعمليات تسجيل الدخول الدفعة، توفر إدارة التحكم بالخدمة وبرنامج جدولة المهام بطريقة أكثر أماناً من تخزين بيانات اعتماد للحساب.

الجزء الأول من حزمة المصادقة ملي سيفرت تحويل كلمة المرور ذات النص الواضح إلى كلمة مرور LAN Manager OWF وإلى كلمة مرور Windows NT OWF. ثم تمرير الجزء الأول من الحزمة كلمة المرور ذات النص الواضح للخدمة أو للجزء الثاني من الحزمة. الجزء الثاني ثم الاستعلام في قاعدة البيانات SAM كلمات المرور OWF والتأكد من أنها متطابقة.

تسجيلات الدخول، العميل الذي يتصل به الكمبيوتر مسبقاً أعطيت التحدي ذو 16 بايت أو "الآن". إذا كان العميل عميل LAN Manager، حساب العميل استجابة ارتياب 24 بايت قبل تشفير التحدي ذو 16 بايت باستخدام كلمة مرور LAN Manager OWF 16 بايت. ثم يمرر هذا العميل LAN Manager "استجابة ارتياب LAN Manager" إلى الخادم. إذا كان العميل عميل Windows "استجابة ارتياب Windows NT" تم حسابها باستخدام نفس خوارزمية. ومع ذلك، يستخدم عميل Windows بيانات Windows OWF ذو 16 بايت بدلاً من البيانات OWF LAN Manager. عميل Windows ثم يمر كل من استجابة ارتياب LAN Manager واستجابة ارتياب Windows NT إلى الملقم. في كلتا الحالتين، قام الملقم بمصادقة المستخدم بتمرير كل ما يلي ب LsaLogonUser API:
  • اسم المجال
  • اسم المستخدم
  • التحدي الأصلي
  • استجابة ارتياب LAN Manager
  • استجابة ارتياب Windows NT الاختياري
الجزء الأول من حزمة المصادقة ملي سيفرت تمرير هذه المعلومات دون تغيير للجزء الثاني. أولاً، يستعلم الجزء الثاني OWF كلمات المرور من قاعدة بيانات SAM أو من قاعدة بيانات "Active Directory". ثم يحسب الجزء الثاني استجابة ارتياب باستخدام كلمة مرور OWF من قاعدة البيانات والتحدي التي تم تمريرها في. ثم تقارن الجزء الثاني استجابة الارتياب المحسوبة لاستجابة الارتياب الذي تم تمريره.

ملاحظة: كما يتيح NTLMv2 العميل إرسال ارتياب جنبا إلى جنب مع استخدام مفاتيح جلسة العمل التي تساعد على تقليل مخاطر هجمات مشتركة.

كما ذكر سابقا، أما إصدار كلمة المرور قد تكون مفقودة من قاعدة بيانات SAM أو من قاعدة بيانات "Active Directory". أيضا، قد تكون أما إصدار كلمة المرور مفقودة من استدعاء LsaLogonUser. في حالة توفر كلا من إصدار Windows كلمة المرور من قاعدة بيانات SAM وإصدار Windows كلمة المرور من LsaLogonUser، يتم استخدام كلا منهما. وإلا، يتم استخدام الإصدار LAN Manager كلمة المرور للمقارنة. تساعد هذه القاعدة على فرض ميزة تحسس حالة الأحرف عند إجراء تسجيلات دخول شبكة الاتصال من Windows إلى Windows. تسمح هذه القاعدة أيضا للتوافق مع الإصدارات السابقة.

مصادقة التمريري

تطبق الخدمة مصادقة المرور. أنه يقوم بالوظائف التالية:
  • تحديد المجال لتمرير طلب المصادقة.
  • تحديد الخادم داخل المجال.
  • تمرير طلب المصادقة عبر إلى الملقم المحدد.
يتم تحديد المجال مباشرة. يتم تمرير اسم المجال إلى LsaLogonUser. تتم معالجة اسم المجال كما يلي:
  • إذا كان اسم المجال الذي يتطابق مع اسم قاعدة بيانات SAM، تتم معالجة المصادقة على هذا الكمبيوتر. يعتبر اسم قاعدة بيانات SAM على محطة عمل Windows يكون عضوا في مجال، أن يكون اسم الكمبيوتر. في وحدة تحكم مجال "Active Directory"، اسم قاعدة بيانات حساب هو اسم المجال. على جهاز كمبيوتر ليس عضو في مجال معالجة كافة عمليات تسجيل الدخول طلبات محلياً.
  • إذا كان اسم المجال المحدد موثوق بها من قبل في هذا المجال، يتم تمريره طلب المصادقة إلى المجال الموثوق به. على وحدات تحكم مجال Active Directory، قائمة المجالات الموثوق بها متاحة بسهولة. على عضو مجال Windows، يتم تمرير الطلب دوماً من خلال مجال أساسي لمحطة العمل، مما يتيح المجال الأساسي تحديد ما إذا كان المجال المحدد موثوق بها.
  • إذا كان اسم المجال المحدد غير موثوق بها من قبل المجال، تتم معالجة طلب المصادقة على الاتصال كما لو أن اسم المجال المحدد اسم المجال هذا الكمبيوتر. NetLogon لا يفرق بين مجال غير موجود، مجال موثوق به واسم مجال مكتوبة بشكل غير صحيح.
يحدد NetLogon ملقم في المجال عن طريق عملية تسمى اكتشاف. محطة عمل Windows اكتشاف اسم أحد وحدات التحكم بالمجال Active Directory ل Windows في المجال الرئيسي الخاص به. اكتشاف وحدة تحكم مجال "Active Directory" اسم وحدة تحكم مجال "Active Directory" في كل مجال موثوق به. مكون يقوم الاكتشاف هو "محدد موقع وحدة تحكم المجال" التي تعمل في خدمة Netlogon. يستخدم محدد موقع DC تحليل اسم DNS أو NETBIOS لتحديد موقع ملقمات اللازمة، اعتماداً على نوع المجال والثقة الذي تم تكوينه.
خصائص

رقم الموضوع: 102716 - آخر مراجعة: 09‏/01‏/2017 - المراجعة: 1

تعليقات