В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Проверка подлинности NTLM пользователя в Windows

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:102716
Аннотация
В статье рассматриваются следующие аспекты NTLM для проверки подлинности пользователя в Windows.
  • Хранение пароля в базе данных учетных записей
  • Проверка подлинности пользователя с помощью пакета проверки подлинности раздел MSV1_0
  • Сквозная проверка подлинности
Дополнительная информация

Хранение пароля в базе данных учетных записей

Записи пользователя хранятся в базе данных диспетчера (SAM) или в базе данных Active Directory. Каждой учетной записи пользователя сопоставлен два пароля: пароль системой LAN Manager и пароль Windows. Каждый пароль шифруется и хранится в базе данных SAM или в базе данных Active Directory.

Совместим с системой LAN Manager пароляпароль, который используется диспетчером локальной сети. Этот пароль основан на исходных оборудованиянабор символов OEM-производителем. Этот пароль не чувствительны к регистру и могут быть длиной до 14 знаков. Параметров OWFЭтот пароль имеет также версия параметров OWF LAN Manager или ESTD. Этот парольвычисляется с помощью шифрования DES шифрование константы с паролем открытым текстом. Пароль параметров OWF LAN Manager содержит 16 байтов.Первые 7 байтов незашифрованные пароли используются для вычисленияПервые 8 байтов пароля LAN Manager параметров OWF. Второй байт 7незашифрованные пароли используются для компьютера второй 8 байтПароль параметров OWF LAN Manager.

Пароль Windows основана на наборе символов Юникод. Этот пароль используется регистрконфиденциальной и может иметь длину до 128 символов. Версия параметров OWF этот пароль также называется параметров OWF Windows пароль. Этот пароль вычисляется с помощью RSA MD-4алгоритм шифрования. Этот алгоритм вычисляет дайджест 16 байт переменной длины строки байтов пароля открытым текстом.

Любая учетная запись пользователя могут отсутствовать пароля LAN Manager илиПароль Windows. Тем не менее каждая попытка поддерживать обаверсии пароль. Например, если входящая учетной записи пользователя из локальной сетиДиспетчер UAS базы данных с помощью команды portuas пользователь, или если изменен пароль изКлиент LAN Manager или с помощью клиента Windows для рабочих групп, только LAN Manager версиипароль будет существовать. Если задано или изменено на паролькомпьютер под управлением Windows и пароль не имеет LAN Manager представления, только Windowsверсия пароля будет существовать. (Пароль может иметь каких-либо гарантий LAN Manager, так как пароль длиной более 14 символов или знаков не может бытьпредставленный в набор символов OEM.) Пользовательский интерфейсограничения в Windows позволяют Windows пароля превышает 14 символов. Впоследствия этого ограничения будут рассмотрены далее в этой статье.

В пакет обновления 2 (SP2) для Windows 2000 и более поздних версиях Windows параметр доступен, который позволяет запретить хранение хеш пароля LAN Manager. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
299656Как запретить хранение-диспетчер LAN для пароля в Active Directory и локальных базах данных SAM
Примечание Корпорация Майкрософт не поддерживает вручную или программным путем изменения в базе данных SAM.

Проверка подлинности пользователя с помощью пакета проверки подлинности раздел MSV1_0

Windows использует API-Интерфейс LsaLogonUser для всех видов проверки подлинности пользователей. LsaLogonUser API проверяет подлинность пользователей, вызывая пакет проверки подлинности. По умолчанию LsaLogonUser вызывает пакет проверки подлинности раздел MSV1_0 (MSV). Этот пакет входит в состав Windows NT. MSV подлинности хранения пакетов записи в базе данных SAM. Данный пакет поддерживает сквозную проверку подлинности пользователей в других доменах, с помощью службы Netlogon.

Внутренне пакет проверки подлинности MSV делится на две части. Первая часть пакета проверки подлинности MSV запускается на компьютере, на котором выполняетсяподключение к. Вторая часть запускается на компьютере, который содержит учетную запись пользователя. При выполнении обеих частей на том жекомпьютер, первая часть проверки подлинности MSV упаковки вызововВторая часть без привлечения служба входа в сеть. В первой части MSVпакет проверки подлинности распознает, что к серверуПроверка подлинности не требуется, так как имя доменато есть передан не имени домена. Когда требуется сквозная проверка подлинности MSV передает запрос наСлужба входа в сеть. Служба Netlogon передает запрос к службе Netlogonна конечном компьютере. В свою очередь, передает запрос на службу Netlogonдругие части пакета проверки подлинности MSV на этом компьютере.

LsaLogonUser поддерживает интерактивный вход в сеть, служба входа в систему и сетьвход в систему. В пакет проверки подлинности MSV все формы входа в систему следует передать имяучетная запись пользователяимя домена, содержащего учетную запись пользователя, а некоторые функции пароля пользователя. Различные виды входа представляют пароль по-разному при их передаче LsaLogonUser.

Интерактивный вход в сеть и пакетного входа службы входа в систему на компьютере, на котором выполняется первая часть пакета проверки подлинности MSV является входа клиента. В этом случае для LsaLogonUser и первая часть пакета проверки подлинности MSV передается незашифрованным паролем. Служба входа в систему и пакетного входа диспетчера управления службами и планировщик заданий обеспечивают более безопасный способ хранения учетных данных учетной записи пользователя.

Первая часть пакета проверки подлинности MSV преобразует незашифрованные пароли для параметров OWF LAN Manager пароль и пароль Windows NT параметров OWF. Затем в первой части этого пакета передает незашифрованным паролем служба входа в сеть или во второй части пакета. Затем вторая часть пароли параметров OWF запроса базы данных SAM и гарантирует, что они идентичны.

Для регистрации в сети клиента, подключающегося к компьютеру ранее получил запрос 16 байт, или «nonce.» Если клиент является клиентом LAN Manager, клиент вычисляемые 24 байта запрос ответ, шифруя 16-байтовый проблемой пароля LAN Manager параметров OWF 16 байт. Клиент LAN Manager передает это «LAN Manager запрос ответ» на сервере. Если клиент является клиентом Windows, «Windows NT вызов ответ» вычисляется с помощью того же алгоритма. Тем не менее клиент Windows использует данные параметров OWF Windows 16 байт вместо данных параметров OWF LAN Manager. Клиент Windows передает запрос ответ LAN Manager и запрос ответ Windows NT на сервере. В любом случае сервер проверяет подлинность пользователя, передавая все следующие LsaLogonUser API:
  • Имя домена
  • Имя пользователя
  • Исходный запрос
  • Запрос ответ диспетчер LAN
  • Дополнительный запрос ответ Windows NT
Первая часть пакета проверки подлинности MSV передает эту информацию, не изменяется во второй части. Во-первых вторая часть запрос параметров OWF пароли в базе данных SAM или из базы данных службы каталогов Active Directory. Затем вторая часть вычисляет запрос-ответ с помощью параметров OWF пароля из базы данных и запрос, который был передан в. Вторая часть сравнивает вычисляемый запрос-ответ на запрос передается в ответ.

Примечание NTLMv2 также позволяет отправлять запрос вместе с использованием ключей сеанса, помогающие снизить риск атак распространенных клиента.

Как упоминалось ранее, либо версия пароля, возможно, отсутствует в базе данных SAM или из базы данных службы каталогов Active Directory. Кроме того либо версия пароля могут отсутствовать вызов LsaLogonUser. Если доступны версии Windows пароль в базе данных SAM и версии Windows пароль из LsaLogonUser, обе они используются. В противном случае LAN Manager версия пароля используется для сравнения. Это правило служит для соблюдения регистра при входе в сеть из Windows в Windows. Это правило позволяет также для обеспечения обратной совместимости.

Сквозная проверка подлинности

Служба NetLogon реализует сквозную проверку подлинности. Он выполняет следующие функции:
  • Выбор домена, чтобы пройти проверку подлинностиЗапросите.
  • Выбор сервера в домене.
  • Передает запрос на проверку подлинности через выбранный сервер.
При выборе домена достаточно прост. Передается имя доменаLsaLogonUser. Имя домена обрабатывается следующим образом:
  • Если доменное имя совпадает с именем базы данных SAM Проверка подлинности обрабатывается на этом компьютере. На рабочей станции Windows, который является членом домена, имя SAM База данных считается, что имя компьютера. На контроллере домена Active Directory имя учетной записи базы данных — это имя домена. На компьютере, который не является членом домена, всех входов в систему локально обрабатывать запросы.
  • Если указанное имя домена является доверенным для данного домена, запрос проверки подлинности передается через доверенного домена. На контроллерах домена Active Directory в список доверенных доменов легко доступными. На является членом домена Windows запрос всегда передается через основной домен рабочей станции, что позволяет определить, является ли указанный домен доверенного домена.
  • Если указано имя домена не доверяет домен, на компьютер, подключенный к, как будто это имя домена имя домена, указанного обрабатывается запрос проверки подлинности. NetLogon не делает различия между несуществующего домена ненадежного домена и имя домена введено неправильно.
NetLogon выбирает сервер в домене, процесс, называемый обнаружения. На рабочей станции Windows обнаруживает имя одного из контроллеров домена Windows Active Directory в его основном домене. Контроллер домена Active Directory обнаруживает имя контроллера домена Active Directory, в каждом доверенном домене. Компонент, который выполняет обнаружение является локатора контроллеров Домена, работающего в службе Netlogon. Локатора контроллеров Домена использует разрешение имен NETBIOS или DNS для поиска необходимых серверов, в зависимости от типа домена и доверия, который настроен.
WFW wfwg prodnt

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 102716 — последний просмотр: 06/01/2011 08:50:00 — редакция: 6.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows 2000 Professional Edition, операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows XP Professional

  • kbinfo kbhowto kbmt KB102716 KbMtru
Отзывы и предложения