Τον έλεγχο ταυτότητας NTLM χρήστη στα Windows

Η υποστήριξη για τα Windows XP έχει διακοπεί

Η Microsoft διέκοψε την υποστήριξη για τα Windows XP στις 8 Απριλίου 2014. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:102716
Περίληψη
Αυτό το άρθρο ασχολείται με τα παρακάτω στοιχεία τον έλεγχο ταυτότητας NTLM χρήστη στα Windows:
 • Αποθήκευση κωδικού πρόσβασης στη βάση δεδομένων λογαριασμών
 • Έλεγχος ταυτότητας χρήστη, χρησιμοποιώντας το πακέτο ελέγχου ταυτότητας MSV1_0
 • Έλεγχος ταυτότητας διαβίβασης
Περισσότερες πληροφορίες

Αποθήκευση κωδικού πρόσβασης στη βάση δεδομένων λογαριασμών

Καρτέλες χρήστη αποθηκεύονται στη βάση δεδομένων ασφαλείας λογαριασμών διαχειριστή (SAM) ή τη βάση δεδομένων της υπηρεσίας καταλόγου Active Directory. Κάθε λογαριασμός χρήστη που σχετίζεται με τους δύο κωδικούς πρόσβασης: ο κωδικός πρόσβασης του LAN Manager που είναι συμβατές και τον κωδικό πρόσβασης των Windows. Κάθε κωδικός πρόσβασης είναι κρυπτογραφημένα και αποθηκευμένα στη βάση δεδομένων ή τη βάση δεδομένων της υπηρεσίας καταλόγου Active Directory.

Ο κωδικός πρόσβασης του LAN Manager συμβατή είναι συμβατή με τον κωδικό πρόσβασης που χρησιμοποιείται από το LAN Manager. Αυτός ο κωδικός πρόσβασης εξαρτάται από το σύνολο χαρακτήρων του κατασκευαστή πρωτότυπου εξοπλισμού (OEM). Αυτός ο κωδικός πρόσβασης δεν γίνεται διάκριση πεζών-κεφαλαίων και μπορεί να έχει έως 14 χαρακτήρες. Η έκδοση OWF αυτός ο κωδικός πρόσβασης είναι επίσης γνωστή ως την έκδοση του LAN Manager OWF ή ESTD. Αυτός ο κωδικός πρόσβασης υπολογίζεται χρησιμοποιώντας κρυπτογράφηση DES για την κρυπτογράφηση σταθερά με τον κωδικό πρόσβασης απλού κειμένου. Ο κωδικός πρόσβασης του LAN Manager OWF είναι 16 byte.Τα πρώτα 7 byte του κωδικού πρόσβασης απλού κειμένου που χρησιμοποιούνται για τον υπολογισμό του πρώτου 8 byte του προγράμματος LAN Manager OWF κωδικού πρόσβασης. Το δεύτερο 7 byte του τον κωδικό πρόσβασης απλού κειμένου χρησιμοποιούνται για το δεύτερο 8 byte από τον κωδικό πρόσβασης του LAN Manager OWF υπολογιστή.

Ο κωδικός πρόσβασης των Windows βασίζεται στο σύνολο χαρακτήρων Unicode. Αυτός ο κωδικός πρόσβασης γίνεται διάκριση πεζών-κεφαλαίων και μπορεί να έχει μέχρι 128 χαρακτήρες. Η έκδοση OWF αυτός ο κωδικός πρόσβασης είναι επίσης γνωστή ως τον κωδικό πρόσβασης των Windows OWF. Αυτός ο κωδικός πρόσβασης υπολογίζεται χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης RSA MD-4. Αυτός ο αλγόριθμος υπολογίζει μια σύνοψη των 16 byte από μια συμβολοσειρά μεταβλητού μήκους των byte κωδικού πρόσβασης απλού κειμένου.

Κάθε λογαριασμός χρήστη ίσως δεν διαθέτουν τον κωδικό πρόσβασης του LAN Manager ή τον κωδικό πρόσβασης των Windows. Ωστόσο, κάθε προσπάθεια διατηρήσετε και τις δύο εκδόσεις του κωδικού πρόσβασης. Για παράδειγμα, εάν ο λογαριασμός χρήστη είναι να μεταφερθούν από μια βάση δεδομένων UAS σχετικά με LAN Manager χρησιμοποιώντας την εντολή PortUas ή εάν αλλάξει ο κωδικός πρόσβασης από έναν υπολογιστή-πελάτη του LAN Manager ή των Windows για ομάδες εργασίας υπολογιστή-πελάτη, θα υπάρχει μόνο το LAN Manager έκδοση του κωδικού πρόσβασης. Εάν ο κωδικός πρόσβασης είναι ορίσετε ή να αλλάξει σε έναν υπολογιστή-πελάτη των Windows και ο κωδικός πρόσβασης έχει υπάρχει αναπαράσταση του LAN Manager, θα υπάρχει μόνο η έκδοση των Windows, του κωδικού πρόσβασης. (Ο κωδικός πρόσβασης μπορεί να έχουν χωρίς απεικόνιση LAN Manager επειδή ο κωδικός πρόσβασης έχει περισσότερους από 14 χαρακτήρες ή επειδή οι χαρακτήρες δεν μπορούν να αναπαρασταθούν στο σύνολο χαρακτήρων OEM.) Όρια του περιβάλλοντος εργασίας χρήστη στα Windows δεν σας επιτρέπουν οι κωδικοί πρόσβασης των Windows που υπερβαίνει τους 14 χαρακτήρες. Τις συνέπειες της αυτόν τον περιορισμό περιγράφονται παρακάτω σε αυτό το άρθρο.

Στα Windows 2000 Service Pack 2 και νεότερες εκδόσεις των Windows, υπάρχει μια ρύθμιση που σας επιτρέπει να εμποδίσετε τα Windows να αποθηκεύσουν έναν κατακερματισμό LAN Manager του κωδικού πρόσβασής σας.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
299656Τρόπος αποτροπής της αποθήκευσης μιας τιμής κατακερματισμού κωδικού πρόσβασης από το LAN manager στην υπηρεσία καταλόγου Active Directory και σε τοπικές βάσεις δεδομένων SAM
ΣΗΜΕΙΩΣΗΗ Microsoft δεν υποστηρίζει δεν με μη αυτόματο τρόπο ή μέσω προγραμματισμού τροποποίηση στη βάση δεδομένων SAM.

Έλεγχος ταυτότητας χρήστη, χρησιμοποιώντας το πακέτο ελέγχου ταυτότητας MSV1_0

Τα Windows χρησιμοποιούν το API LsaLogonUser για όλα τα είδη των ελέγχων ταυτότητας χρήστη. Το API LsaLogonUser ελέγχει την ταυτότητα χρηστών, καλώντας ένα πακέτο ελέγχου ταυτότητας. Από προεπιλογή, το LsaLogonUser καλεί το πακέτο ελέγχου ταυτότητας MSV1_0 (MSV). Αυτό το πακέτο περιλαμβάνεται στα Windows NT. Το MSV ελέγχου ταυτότητας πακέτου καταστήματα καρτελών χρήστη στη βάση δεδομένων SAM. Αυτό το πακέτο υποστηρίζει διαβίβασης τον έλεγχο ταυτότητας των χρηστών σε άλλους τομείς, χρησιμοποιώντας την υπηρεσία Netlogon.

Εσωτερικά, το πακέτο ελέγχου ταυτότητας MSV χωρίζεται σε δύο μέρη. Το πρώτο μέρος του πακέτου ελέγχου ταυτότητας MSV εκτελείται στον υπολογιστή που συνδέεται με. The second part runs on the computer that contains the user account. When both parts run on the samecomputer, the first part of the MSV authentication package calls thesecond part without involving the Netlogon service. The first part of the MSVauthentication package recognizes that pass-throughauthentication is required because the domain namethat is passed is not its own domain name. When pass-through authentication is required, MSV passes the request tothe Netlogon service. The Netlogon service then routes the request to the Netlogon serviceon the destination computer. In turn, the Netlogon service passes the request to theother part of the MSV authentication package on that computer.

LsaLogonUser supports interactive logons, service logons, and networklogons. In the MSV authentication package, all forms of logon pass the name of theuser account,the name of the domain that contains the user account, and some function of the user's password. The different kinds of logon represent the password differently when they pass it to LsaLogonUser.

For interactive logons, batch logons, and service logons, the logon client is on the computer that is running the first part of the MSV authentication package. In this case, the clear-text password is passed to LsaLogonUser and to the first part of the MSV authentication package. For service logons and batch logons, the Service Control Manager and the Task Scheduler provide a more secure way of storing the account's credentials.

The first part of the MSV authentication package converts the clear-text password both to a LAN Manager OWF password and to a Windows NT OWF password. Then, the first part of the package passes the clear-text password either to the NetLogon service or to the second part of the package. The second part then queries the SAM database for the OWF passwords and makes sure that they are identical.

For network logons, the client that connects to the computer was previously given a 16-byte challenge, or "nonce." If the client is a LAN Manager client, the client computed a 24-byte challenge response by encrypting the 16-byte challenge with the 16-byte LAN Manager OWF password. The LAN Manager client then passes this "LAN Manager Challenge Response" to the server. If the client is a Windows client, a "Windows NT Challenge Response" is computed by using the same algorithm. However, the Windows client uses the 16-byte Windows OWF data instead of the LAN Manager OWF data. The Windows client then passes both the LAN Manager Challenge Response and the Windows NT Challenge Response to the server. In either case, the server authenticates the user by passing all the following to the LsaLogonUser API:
 • The domain name
 • The user name
 • The original challenge
 • The LAN Manager Challenge Response
 • The optional Windows NT Challenge Response
The first part of the MSV authentication package passes this information unchanged to the second part. First, the second part queries the OWF passwords from the SAM database or from the Active Directory database. Then, the second part computes the challenge response by using the OWF password from the database and the challenge that was passed in. The second part then compares the computed challenge response to passed-in challenge response.

ΣΗΜΕΙΩΣΗNTLMv2 also lets the client send a challenge together with the use of session keys that help reduce the risk of common attacks.

As mentioned earlier, either version of the password might be missing from the SAM database or from the Active Directory database. Also, either version of the password might be missing from the call to LsaLogonUser. If both the Windows version of password from the SAM database and the Windows version of the password from LsaLogonUser are available, they both are used. Otherwise, the LAN Manager version of the password is used for comparison. This rule helps enforce case sensitivity when network logons occur from Windows to Windows. This rule also allows for backward compatibility.

Pass-through authentication

The NetLogon service implements pass-through authentication. It performs the following functions:
 • Selects the domain to pass the authenticationrequest to.
 • Selects the server within the domain.
 • Passes the authentication request through to the selected server.
Selecting the domain is straightforward. The domain name is passed toLsaLogonUser. The domain name is processed as follows:
 • If the domain name matches the name of the SAM database, the authentication is processed on that computer. On a Windows workstation that is a member of a domain, the name of the SAM database is considered to be the name of the computer. On an Active Directory domain controller, the name of the account database is the name of the domain. On a computer that is not a member of a domain, all logons process requests locally.
 • If the specified domain name is trusted by this domain, the authentication request is passed through to the trusted domain. On Active Directory domain controllers, the list of trusted domains is easily available. On a member of a Windows domain, the request is always passed through to the primary domain of the workstation, letting the primary domain determine whether the specified domain is trusted.
 • Εάν το όνομα του τομέα που καθορίστηκε δεν θεωρείται αξιόπιστη από τον τομέα, γίνεται η επεξεργασία της αίτησης για έλεγχο ταυτότητας στον υπολογιστή που είναι συνδεδεμένη με το καθορισμένο όνομα τομέα σαν αυτό το όνομα τομέα. NetLogon δεν διακρίνει ένα ανύπαρκτο τομέα, μη αξιόπιστο τομέα και ένα όνομα τομέα που πληκτρολογήσατε λανθασμένα.
NetLogon επιλέγει ένα διακομιστή του τομέα από μια διαδικασία που ονομάζεται εντοπισμού. Ένα σταθμό εργασίας των Windows εντοπίσει το όνομα ενός από τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory των Windows στον βασικό τομέα. Ένας ελεγκτής τομέα υπηρεσίας καταλόγου Active Directory ανακαλύπτει το όνομα μιας υπηρεσίας καταλόγου Active Directory του ελεγκτή τομέα σε κάθε αξιόπιστο τομέα. Το στοιχείο που έχει τη δυνατότητα εντοπισμού είναι του εντοπισμού ελεγκτή Τομέα που εκτελεί την υπηρεσία Netlogon. Του εντοπισμού ελεγκτή Τομέα χρησιμοποιεί ανάλυση ονομάτων DNS ή NETBIOS για τον εντοπισμό των διακομιστών είναι απαραίτητο, ανάλογα με τον τύπο του τομέα και αξιοπιστίας που έχει ρυθμιστεί.
WFW wfwg prodnt

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 102716 - Τελευταία αναθεώρηση: 12/18/2010 22:51:00 - Αναθεώρηση: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows XP Professional

 • kbinfo kbhowto kbmt KB102716 KbMtel
Σχόλια