Windows'da parola değiştirme protokollerinin açıklaması

  • Makale

Bu makalede, Windows'ta parolaları değiştirme mekanizmaları açıklanmaktadır.

Şunlar için geçerlidir: Windows 10, Windows Server 2012 R2
Özgün KB numarası: 264480

Özet

Windows, parolaları değiştirmek için birçok farklı mekanizma kullanır. Bu makalede bu mekanizmalar açıklanmaktadır.

Daha fazla bilgi

Desteklenen parola değiştirme protokolleri şunlardır:

  1. NetUserChangePassword protokolü
  2. NetUserSetInfo protokolü
  3. Kerberos parola değiştirme protokolü (IETF Internet Draft Draft-ietf-cat-kerb-chg-password-02.txt) [bağlantı noktası 464]
  4. Kerberos set-password protocol (IETF Internet Draft Draft-ietf-cat-kerberos-set-passwd-00.txt) [bağlantı noktası 464]
  5. Basit Dizin Erişim Protokolü (LDAP) yazma parolası özniteliği (128 bit Güvenli Yuva Katmanı [SSL] kullanılıyorsa)
  6. Microsoft Windows NT öncesi (LAN Manager) uyumluluğu için XACT-SMB

Parola değiştirme işlemleri, değişikliğe izin verilmeden önce kullanıcının geçerli parolasının bilinmesini gerektirir. Parola ayarlama işlemleri bu gereksinime sahip değildir, ancak hesapta Parolayı Sıfırla izinleri tarafından denetlenir.

LDAP (yöntem 5) kullanırken, etki alanı denetleyicisinin ve istemcinin bağlantıyı korumak için 128 bit SSL kullanabilmesi gerekir. Etki alanı denetleyicisi SSL için yapılandırılmamışsa veya uygun şekilde uzun anahtarlar kullanılamıyorsa parola değiştirme yazma işlemi reddedilir.

Active Directory etki alanı denetleyicisi bu protokollerin tümlerinde parola değiştirme isteklerini dinler.

Bu makalede daha önce belirtildiği gibi, farklı koşullarda farklı protokoller kullanılır. Örneğin:

  • Birlikte çalışabilen Kerberos istemcileri Kerberos protokollerini kullanır. MIT Kerberos sürüm 5 1.1.1'e sahip UNIX tabanlı sistemler, Kerberos parola değiştirme protokolunu (yöntem 3) kullanarak Windows tabanlı bir etki alanındaki kullanıcı parolalarını değiştirebilir.
  • Kullanıcılar CTRL+ALT+DELETE tuşlarına basıp Parolayı Değiştir'e tıklayarak kendi parolalarını değiştirdiğinde, hedef bir etki alanıysa NetUserChangePassword mekanizması (yöntem 1) Windows NT. Windows Vista'dan itibaren, etki alanı hesapları için Kerberos değiştirme parolası protokolü kullanılır. Hedef bir Kerberos bölgesiyse, Kerberos parola değiştirme protokolü (yöntem 3) kullanılır.
  • Microsoft Windows 95/Microsoft Windows 98 çalıştıran bilgisayarlardan parola değiştirme istekleri XACT-SMB (yöntem 6) kullanır.
  • Active Directory Hizmetleri Arabirimi (ADSI) IaDSUser arabiriminde ChangePassword yöntemini kullanan bir program önce LDAP (yöntem 5) ve ardından NetUserChangePassword protokolünü (yöntem 1) kullanarak parolayı değiştirmeye çalışır.
  • ADSI IaDSUser arabiriminde SetPassword yöntemini kullanan bir program önce LDAP (yöntem 5), ardından Kerberos set-password protokolü (yöntem 4) ve ardından NetUserSetInfo protokolü (yöntem 2) kullanarak parolayı değiştirmeyi dener.
  • Active Directory Kullanıcıları ve Bilgisayarları ek bileşeni, kullanıcı parolalarını ayarlamak için ADSI işlemlerini kullanır.