Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Overovanie NTLM používateľa v systéme Windows

Poskytovanie technickej podpory pre systém Windows XP sa skončilo

8. apríla 2014 ukončila spoločnosť Microsoft poskytovanie technickej podpory pre systém Windows XP. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:102716
SUHRN
Tento článok popisuje tieto aspekty používateľské overenie pomocou štandardu NTLM v systéme Windows:
  • Skladovanie heslo v databáze účet
  • Overenie používateľa pomocou overovací balík MSV1_0
  • Odovzdávajúci overovania
DALSIE INFORMACIE

Skladovanie heslo v databáze účet

Používateľ záznamy sú uložené v databáze bezpečnostné účty správca (SAM) alebo v databáze služby Active Directory. Každé používateľské konto je priradený dve heslá: LAN Manager kompatibilný heslo a heslo do systému Windows. Každé heslo je šifrované a uložené databáza SAM alebo v databáze služby Active Directory.

LAN Manager kompatibilný heslo je kompatibilný sheslo, ktoré sa používa v LAN Manager. Toto heslo je založený na pôvodné vybaveniemnožina znakov výrobcu OEM. Toto heslo nie je veľké a malé písmená a môže byť až do 14 znakov. OWFverzia toto heslo je tiež známy ako LAN Manager OWF alebo ESTD verziu. Toto hesloje vypočítaná pomocou DES šifrovania na zašifrovanie konštanta heslom nešifrovaný text. LAN Manager OWF heslo je 16 bajtov dlhá.Prvý 7 bajtov nešifrovaný text heslo sa používa na výpočetprvý 8 bajtov LAN Manager OWF heslo. Druhý 7 bajtovnešifrovaný text heslo sa používajú na počítači druhý 8 bajtovLAN Manager OWF heslo.

Heslo do systému Windows je založený na znakov Unicode. Toto heslo je prípadcitlivé a možno až 128 znakov. OWF verzia toto heslo je tiež známy ako Windows OWF heslo. Toto heslo je vypočítaný pomocou RSA MD-4šifrovací algoritmus. Tento algoritmus vypočíta 16-bajtové výťah z reťazec s premenlivou dĺžkou nešifrovaný text heslo bajtov.

Každé používateľské konto, by mohli nedostatkom buď LAN Manager heslo aleboHeslo systému Windows. Avšak každý pokus zachovať ajverzie heslo. Napríklad, ak konto používateľa je portované zo siete LANSprávca UAS databázy pomocou PortUas, alebo ak sa zmení heslo zklienta LAN Manager alebo z klienta systému Windows for Workgroups, len verzia programu LAN Managerheslo bude existovať. Ak heslo je stanoviť alebo zmeniloWindows client a heslo nemá zastupiteľstvo LAN Manager, iba oknáverzia heslo bude existovať. (Heslo môže mať žiadne LAN Manager zastúpenie pretože je heslo dlhšie ako 14 znakov alebo nemôže byť znakyzastúpené v znakov OEM) Používateľské rozhranielimity v systéme Windows nenechajte Windows heslá prekročiť 14 znakov. VToto obmedzenie sú diskutované neskôr v tomto článku.

V systéme Windows 2000 Service Pack 2 a novšie verzie systému Windows, nastavenie je k dispozícii, ktorý umožňuje zabrániť ukladanie LAN Manager hodnoty hash hesla systému Windows. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku databázy Microsoft Knowledge Base:
299656Ako zabrániť systému Windows v ukladanie LAN manager algoritmus hash hesla v Active Directory a miestnej databázy SAM
Poznámka: Spoločnosť Microsoft nepodporuje manuálne alebo pomocou programovania mení sa databáza SAM.

Overenie používateľa pomocou overovací balík MSV1_0

Systém Windows používa LsaLogonUser API pre všetky druhy overenia totožnosti používateľa. LsaLogonUser API overuje používateľov volaním overovací balíček. V predvolenom nastavení LsaLogonUser vyzýva overovací balík MSV1_0 (MSV). Tento balík je súčasťou systému Windows NT. MSV overovací balík obchody používateľa záznamov v databáza SAM. Tento balík podporuje overovanie užívateľov v iných doménach pomocou službu Netlogon.

Interne, MSV overovací balík je rozdelená na dve časti. Prvá časť MSV overovací balík beží na počítači, ktorý jespojené. Druhá časť sa spustí na počítači, ktorý obsahuje dané používateľské konto. Keď obidve časti spustiť na rovnakompočítač, prvej časti MSV overovací balík hovorydruhá časť bez zapojenia službu Netlogon. Prvá časť MSVOverovací balík uznáva, že prenosautentifikácia je potrebné, pretože názov doményto je zložili nie je vlastné doménové meno. Ak overovanie nevyžaduje, MSV prechádza žiadosťSlužba Netlogon. Služba Netlogon potom trasy žiadosť, ktoré služba Netlogonna cieľovom počítači. Zasa služba Netlogon prechádza žiadosťdruhá časť MSV overovací balík na danom počítači.

LsaLogonUser podporuje interaktívne prihlasovanie, služby prihlasovanie a sieteprihlásenia. V balíku overovania MSV všetky formy prihlásenie prejsť názovpoužívateľské kontonázov domény, ktorá obsahuje používateľské konto a niektoré funkcie hesla používateľa. Rôzne druhy prihlásenie predstavujú heslo inak, keď prechádzajú na LsaLogonUser.

Pre interaktívne prihlasovanie, šarže prihlásenia a službu Prihlasovanie, prihlásenie klient je na počítači, ktorý je spustený prvej časti MSV overovací balíček. V tomto prípade nešifrované heslo prechádza LsaLogonUser a prvá časť MSV overovací balíček. Pre službu Prihlasovanie a dávkové prihlásenia, správca ovládania služieb a Plánovač poskytujú Bezpečnejším spôsobom ukladania účet poverenia.

Prvá časť MSV overovací balík konvertuje nešifrované heslo aj na LAN Manager OWF hesla Windows NT OWF heslo. Potom, prvá časť balík prejde nešifrované heslo služba NetLogon alebo druhá časť balíka. Druhá časť potom dotazy databáza SAM OWF hesiel a zabezpečuje, že sú identické.

Pre prihlásenia na sieť, predtým bol klient, ktorý sa pripája k počítaču daná 16-bajtové výzvou alebo "jednorazový kód." Ak klient je klient LAN Manager, klient vypočítaná 24-bajtové výzva odpoveď zašifrovaním 16-bajtové výzvu s 16-bajtové LAN Manager OWF heslo. Klienta LAN Manager potom to prejde "LAN Manager Challenge odpoveď" na server. Ak klient je klient systému Windows, "Windows NT Challenge odpoveď" je vypočítaná pomocou rovnakej algoritmu. Však klienta systému Windows používa 16-bajtové Windows OWF údajov namiesto LAN Manager OWF údajov. Klienta systému Windows potom prejde Challenge odozvy LAN Manager a systém Windows NT Challenge odpoveď serveru. V oboch prípadoch server overuje používateľa zadanφm všetko nasledovné LsaLogonUser API:
  • Názov domény.
  • Meno používateľa
  • Pôvodné výzvou
  • Challenge odozvy LAN Manager
  • Voliteľné Windows NT Challenge Response
Prvá časť MSV overovací balík prejde túto informáciu nezmenené druhej časti. Po prvé, druhá časť zisťuje OWF hesiel z databáza SAM alebo databázu Active Directory. Druhá časť potom vypočíta výzva odpoveď pomocou OWF heslo z databázy a výzvou, aby bola odovzdaná. Druhá časť potom porovnáva vypočítaná výzva odpoveď na prešiel výzva odpoveď.

Poznámka: Overovanie NTLMv2 tiež umožňuje klientovi poslať výzvu spolu s použitím kľúče relácie, ktoré pomôžu znížiť riziko spoločnej útokov.

Ako už bolo spomenuté, buď verziu heslo môže byť chýbajúce z databáza SAM alebo databázu Active Directory. Tiež môže byť buď verziu heslo chýba volanie LsaLogonUser. Ak Windows verzie heslo z databázy SAM a verzia systému Windows heslo od LsaLogonUser sú k dispozícii, použijú sa obaja. V opačnom prípade LAN Manager verzie heslo sa používa pre porovnanie. Toto pravidlo pomáha presadzovať rozlišovanie keď prihlásenia na sieť vyskytnú zo systému Windows do systému Windows. Toto pravidlo sa tiež umožňuje pre spätnú kompatibilitu.

Odovzdávajúci overovania

Služba NetLogon implementuje overovania. Plní tieto funkcie:
  • Vyberie domény prejsť authenticationpožiadať.
  • Vyberie server v doméne.
  • Požiadavka na overenie prostredníctvom prechádza na vybratý server.
Výberom domény je jednoduché. Názov domény je odovzdanýLsaLogonUser. Názov domény je spracované takto:
  • Ak názov domény zhoduje s názvom Databáza SAM autentifikácia je spracovaná na počítači. Na pracovnej stanici, ktorá je členom domény, názov matica SAM Databáza je za názov počítača. Na doménovom radiči Active Directory názov databázy konto je názov domény. Na počítači, ktorý nie je členom domény, všetky prihlásenia spracovávať žiadosti lokálne.
  • Ak zadaný doménové meno je dôveryhodná pre túto doménu, požiadavka na overenie prechádza cez dôveryhodnej doméne. Na radičoch domény služby Active Directory, je ľahko dostupný zoznam dôveryhodných domén. O člena domény Windows, žiadosť vždy prešiel na primárnej doméne pracovnej stanici, prenájom primárnej doméne určiť, či určenej doméne je dôveryhodný.
  • Ak zadaný názov domény nie je dôveryhodný doménou, požiadavka na overenie sa spracúva na počítač je pripojený na akoby názov domény špecifikované že doménové meno. NetLogon nerozlišujú medzi doména neexistuje, nedôveryhodnej doméne a nesprávne zadané domény.
NetLogon vyberie server v doméne proces nazývaný objav. Pracovnej stanici zistí názov jednej radiče domény služby Active Directory systému Windows v jeho primárnej doméne. K radiču domény služby Active Directory zistí názov k radiču domény služby Active Directory v každom dôveryhodnej domény. Súčasť, ktorá nemá objav je DC Locator, ktorý beží v službu Netlogon. DC Locator používa rozlíšenie názvu NETBIOS alebo DNS na vyhľadanie nevyhnutné servery, v závislosti od typu domény a dôvery, ktorá je nakonfigurovaná.
WFW wfwg prodnt

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 102716 – Posledná kontrola: 10/10/2011 13:16:00 – Revízia: 2.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows XP Professional Edition

  • kbinfo kbhowto kbmt KB102716 KbMtsk
Pripomienky
m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">