Teď jste offline a čekáte, až se znova připojí internet.

NTLM ověřování uživatelů v systému Windows

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:102716
Souhrn
Tento článek pojednává o následujících aspektů NTLM ověřování uživatelů v systému Windows:
 • Ukládání hesel v databázi účtů
 • Ověřování uživatelů pomocí ověřovací balíček MSV1_0
 • Předávací ověření
Další informace

Ukládání hesel v databázi účtů

Záznamy uživatele jsou uloženy v databázi zabezpečení účtů správce (SAM) nebo v databázi služby Active Directory. Každý uživatelský účet je přidružen k dvě hesla: kompatibilní se systémem LAN Manager a heslo systému Windows. Každé heslo je šifrováno a uložených v databázi SAM nebo v databázi služby Active Directory.

Heslo kompatibilní se systémem LAN Manager není kompatibilní sheslo používané programem LAN Manager. Toto heslo je založena na původní vybaveníZnaková sada pro výrobce OEM. Toto heslo není velká a malá písmena a může obsahovat až 14 znaků. OWFverze tohoto hesla se také nazývá OWF LAN Manager nebo ESTD verze. Toto hesloVýpočet je konstanta s textové heslo šifrovat pomocí šifrování DES. Heslo systému LAN Manager OWF je 16 bajtů dlouhé.Prvních 7 bajtů textové heslo, které se používají k výpočtuprvních 8 bajtů hesla OWF LAN Manager. Druhý 7 bajtůtextové heslo slouží k počítači druhý 8 bajtůHesla OWF LAN Manager.

Heslo pro systém Windows je založena na znakové sadě Unicode. Toto heslo je případcitlivé a může mít až 128 znaků. Verzi tohoto hesla OWF se také nazývá hesla OWF systému Windows. Toto heslo se vypočítává pomocí RSA MD-4šifrovací algoritmus. Tento algoritmus se vypočítá výtah 16bajtový řetězec proměnné délky textové heslo bajtů.

Každý uživatelský účet nemáte heslo správce LAN neboHeslo systému Windows. Však každý pokusu zachovat oběverze heslo. Například pokud je uživatelský účet přenést ze sítě LANUAS správce databáze pomocí PortUas, nebo při změně hesla je zKlient LAN Manager nebo ze systému Windows for Workgroups program, LAN Manager verzeheslo bude existovat. Je-li nastavit nebo změnit hesloKlient systému Windows a heslo nemá žádné vyjádření LAN Manager, pouze systém Windowshesla nebudou existovat. (Heslo může mít žádné vyjádření LAN Manager protože heslo je delší než 14 znaků nebo znaků nelzezastoupené ve znakové sadě OEM.) Uživatelské rozhraníomezení v systému Windows neumožňuje systému Windows hesla delší než 14 znaků. Nadůsledky tohoto omezení jsou popsány dále v tomto článku.

V systému Windows 2000 Service Pack 2 a novějších verzích systému Windows, je k dispozici nastavení, která umožňuje zabránit systému Windows v ukládání hodnot hash systému LAN Manager heslo. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
299656Jak zabránit systému Windows v ukládání hodnoty hash LAN manager hesla v adresáři služby Active Directory a místní databáze SAM
Poznámka: Společnost Microsoft nepodporuje ručně nebo programově změnit databázi SAM.

Ověřování uživatelů pomocí ověřovací balíček MSV1_0

Systém Windows používá rozhraní API LsaLogonUser pro všechny druhy ověřování uživatelů. Rozhraní API LsaLogonUser ověřuje uživatele voláním ověřovací balíček. Ve výchozím nastavení volání ověřovací balíček MSV1_0 (MSV) LsaLogonUser. Tento balíček je součástí systému Windows NT. Uživatelské záznamy MSV ověřování balíčku ukládá v databázi SAM. Tento balíček podporuje předávací ověření uživatelů v jiných doménách pomocí služby Netlogon.

Ověřovací balíček MSV je vnitřně rozdělen do dvou částí. První část MSV ověřovací balíček spuštěn v počítači, který jepřipojen k. Druhá část je spuštěn v počítači, který obsahuje uživatelský účet. Při spuštění obou částí na stejnépočítač, první část MSV ověřovací balíček voláníDruhá část bez účasti přihlašovací službu Netlogon. První část MSVověřovací balíček rozpozná, že předávacíje vyžadováno ověření, protože název doményje předán není vlastní název domény. Jestliže předávací ověření je vyžadováno, MSV předá požadavek napřihlašovací služba Netlogon. Služba Netlogon poté směruje požadavek na službu Netlogonv cílovém počítači. Naopak služba Netlogon předá požadavekDalší část ověřovací balíček MSV v daném počítači.

Podporuje funkci LsaLogonUser interaktivní přihlášení, přihlášení služby a sítěpřihlášení. V ověřovací balíček MSV předat všechny formy přihlašovací jménouživatelský účetnázev domény, která obsahuje uživatelský účet a některé funkce heslo uživatele. Různé druhy přihlášení představují jejich předávání LsaLogonUser heslo odlišně.

Pro interaktivní přihlášení dávkové přihlášení a přihlášení služby přihlášení klienta je v počítači, který je spuštěn v první části MSV ověřovací balíček. V tomto případě prostým textovým heslem předána LsaLogonUser a první část MSV ověřovací balíček. Pro přihlášení služby a dávkové přihlášení správce řízení služeb a Plánovač úloh umožňují bezpečnější ukládání pověření účtu.

První část ověřovací balíček MSV převede prostým textovým heslem pro hesla OWF LAN Manager i hesla OWF systému Windows NT. První část balíčku potom předá prostým textovým heslem, služba NetLogon nebo druhé části balíčku. Druhá část pak dotazuje databázi SAM hesla OWF a zajišťuje, že jsou identické.

Pro přihlášení k síti klienta, který se připojí k počítači dříve vydáno 16 bajtů challenge, nebo "nonce." Pokud klient je klient LAN Manager, vypočítanou klientovi odpověď 24 byte challenge zašifrováním challenge 16 bajtů pomocí hesla OWF LAN Manager 16 bajtů. Klient LAN Manager potom předá tento "LAN Manager Challenge" serveru odpověď. Pokud je klient klienta se systémem Windows, "Windows NT Challenge odpověď" se vypočítává pomocí stejného algoritmu. Však klient systému Windows používá 16bajtový Windows OWF data místo dat OWF LAN Manager. Klient systému Windows pak předá odpovědi na výzvu systému LAN Manager a Windows NT Challenge Response k serveru. V obou případech server ověřuje uživatele předáním LsaLogonUser API všechny následující:
 • Název domény
 • Uživatelské jméno
 • Původní challenge
 • Odpovědi na výzvu systému LAN Manager
 • Volitelné Windows NT Challenge Response
První část MSV ověřovací balíček předá tyto informace, nezměněné druhé části. Druhá část nejprve dotazuje hesla OWF z databáze SAM nebo z databáze služby Active Directory. Druhá část pak vypočítá odpovědi na výzvu s použitím hesla OWF z databáze a na výzvu, která byla předána. Druhá část pak porovná odpověď vypočítaný challenge výzva předána v odpověď.

Poznámka: NTLMv2 také umožňuje klientovi odeslat spolu s použitím klíče relace, které pomáhají snížit riziko útoků na společné výzvy.

Jak bylo uvedeno výše, může být buď verzi hesla chybějící z databáze SAM nebo z databáze služby Active Directory. Také může být buď verzi heslo chybí volání LsaLogonUser. Pokud je heslo z databáze SAM verze systému Windows a heslo z LsaLogonUser verzi systému Windows jsou k dispozici, oba jsou používány. Jinak LAN Manager verze hesla slouží k porovnání. Toto pravidlo umožňuje vynucení rozlišování při přihlášení k síti ze systému Windows do systému Windows. Toto pravidlo umožňuje také z důvodu zpětné kompatibility.

Předávací ověření

Služba NetLogon implementuje předávací ověření. Provádí následující funkce:
 • Vybere doménu předat ověřovánípožadovat.
 • Vybere server v rámci domény.
 • Předá požadavek na ověření prostřednictvím vybraného serveru.
Výběr domény je jednoduché. Název domény je předán doLsaLogonUser. Název domény jsou zpracovávány takto:
 • Pokud název domény shodný s názvem databáze SAM ověřování je zpracován v daném počítači. Na pracovní stanici Windows, který je členem domény, název SAM databáze považován za název počítače. Název databáze účtů v řadiči domény služby Active Directory, je název domény. V počítači, který není členem domény, všechny přihlášení místně zpracování požadavků.
 • Pokud zadaný název domény je tato doména důvěřuje, požadavek na ověření projde k důvěryhodné doméně. V řadičích domény služby Active Directory je snadno k dispozici v seznamu důvěryhodných domén. U člena domény systému Windows žádost vždy projde do primární domény pracovní stanice, které umožní zjistit, zda je zadané doméně důvěryhodné primární domény.
 • V případě, že zadaný název domény není důvěryhodná doména, v počítači, jako kdyby byl zadán název domény tento název domény připojení k zpracování požadavku na ověření. NetLogon nerozlišuje mezi doména neexistuje, nedůvěryhodné doméně a nesprávně zadanou doménu.
NetLogon vybere prostřednictvím procesu nazývaného zjišťování serveru v doméně. Pracovní stanice systému Windows zjistí název řadiče domény služby Active Directory systému Windows v jeho primární doméně. Řadič domény služby Active Directory vyhledá název řadiči domény služby Active Directory ve všech důvěryhodných doménách. Komponenta, která nemá zjištění je spuštěna přihlašovací služba Netlogon lokátoru řadičů domény. Lokátor používá k vyhledání potřebné servery, v závislosti na typu doména a vztah důvěryhodnosti, který je nakonfigurován překlad názvů NETBIOS nebo DNS.
prodnt ovladače WFW wfwg

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 102716 - Poslední kontrola: 04/23/2011 18:07:00 - Revize: 4.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows XP Professional

 • kbinfo kbhowto kbmt KB102716 KbMtcs
Váš názor
var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" ="http://c1.microsoft.com/c.gif?"> n languagesListForLargeScreens track by $index -->
Nederland - Nederlands
Türkiye - Türkçe
台灣 - 繁體中文
Ecuador - Español
New Zealand - English
United Kingdom - English
日本 - 日本語
Eesti - Eesti
Norge - Bokmål
United States - English
香港特別行政區 - 繁體中文
El Salvador - Español
Panamá - Español
Uruguay - Español
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español