Windows NTLM kullanıcı kimlik doğrulaması

Windows XP desteği sona erdi

Microsoft, Windows XP desteğini 8 Nisan 2014'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.

Makalenin İngilizcesi aşağıdaki gibidir:102716
Özet
Bu makalede, Windows NTLM kullanıcı kimlik doğrulaması bir aşağıdaki yönlerini anlatılmaktadır:
 • Hesabı veritabanındaki parola depolaması
 • Msv1_0 kimlik doğrulama paketi kullanarak, kullanıcı kimlik doğrulaması
 • Doğrudan kimlik doğrulaması
Daha fazla bilgi

Hesabı veritabanındaki parola depolaması

Kullanıcı kayıtları, Güvenlik Hesapları Yöneticisi (SAM) veritabanına veya Active Directory veritabanında depolanır. Her kullanıcı hesabının iki parola ile ilişkilidir: LAN Manager uyumlu parola ile Windows parolası. Her bir parola şifrelenir ve SAM veritabanında veya Active Directory veritabanında saklanan.

LAN Manager uyumlu parola, yerel Ağ yöneticisi tarafından kullanılan parola ile uyumlu değil. Bu parolayı, özgün donatım üreticisi (OEM) karakter kümesine bağlıdır. Bu parolayı, büyük/küçük harf duyarlı değildir ve en fazla 14 karakter uzunluğunda olabilir. Bu Parola OWF sürümü LAN Manager OWF veya ESTD sürümü de denir. Bu parola, düz metin parola ile sabit şifrelemek için DES şifreleme kullanılarak hesaplanır. LAN Manager OWF 16 bayt paroladır. Düz metin parola 7 ilk baytı, LAN Manager OWF parolasının ilk 8 bayt hesaplamak için kullanılır. Düz metin parola ikinci 7 baytını bilgisayar LAN Manager OWF parolasının ikinci olarak 8 bayt için kullanılır.

Windows parolası, Unicode karakter kümesinde temel alır. Bu parola, büyük/küçük harfe duyarlıdır ve en fazla 128 karakter uzunluğunda olabilir. Bu Parola OWF sürümü olarak da bilinen Windows OWF paroladır. Bu parola, RSA MD-4) şifreleme algoritmasını kullanarak hesaplanır. Bu algoritma için düz metin parola bayt değişken uzunluklu bir dizenin 16 baytlık özeti hesaplar.

Herhangi bir kullanıcı hesabı, LAN Manager parolası ya da Windows parolanız yetersizliği. Ancak, her iki sürümü parolayı korumak için her girişimi yapılır. Örneğin, PortUas kullanarak, kullanıcı hesabının bir LAN Manager UAS veritabanından bağlantı noktalı veya bir LAN Manager istemciden ya da Windows for Workgroups istemcisi için bir parola değiştirildiğinde, parolanın yalnızca LAN Manager sürüm yer alır. Parola ayarlamak veya bir Windows istemcide değiştirilen ve parolayı yok bir LAN Manager gösterimi olan, yalnızca parolayı Windows sürümünü yer alır. (Parola hiçbir LAN Manager gösterimi parola 14 karakterden uzun olduğundan veya OEM karakter kümesinden karakterler temsil edilemiyor çünkü olabilir.) Windows kullanıcı arabirimini sınırları, 14 karakterden uzun Windows parolaları izin vermez. Bu kısıtlamaya etkilerini, bu makalenin sonraki bölümlerinde açıklanmıştır.

Windows 2000 Service Pack 2 ve Windows'un sonraki sürümlerinde, bir ayar kullanılabilir olan, Windows parolanızı bir LAN Manager sağlamasını depolamasını engellemenize olanak sağlar. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
299656Windows'un parolanızın LAN Manager sağlama değerini Active Directory ve yerel SAM veritabanlarında depolaması nasıl engellenir
Not Microsoft, SAM veritabanı, el ile veya programlı olarak değiştirilmesini desteklemiyor.

Msv1_0 kimlik doğrulama paketi kullanarak, kullanıcı kimlik doğrulaması

Windows, kullanıcı kimlik doğrulama türleri için LsaLogonUser APı'SINI kullanır. LsaLogonUser API, bir kimlik doğrulama paketi çaðýrarak kullanıcıların kimliklerini doğrular. Varsayılan olarak, LsaLogonUser (MSV) Msv1_0 kimlik doğrulama paketi çağırır. Bu paket Windows NT ile bulunur. MSV kimlik doğrulama paketi depoları kullanıcı kayıtlarını SAM veritabanında. Bu paket, Netlogon hizmeti'ni kullanarak, diğer etki alanlarında kullanıcı kimlik doğrulaması destekler.

Dahili, MSV kimlik doğrulama paketi iki bölüme ayrılmıştır. MSV kimlik doğrulama paketi ilk bölümü için bağlı bilgisayarda çalışır. Ikinci bölümü, kullanıcı hesabının bulunduğu bilgisayarda çalışır. Iki parçayı aynı bilgisayarda çalıştırdığınızda, ilk bölümü MSV kimlik doğrulama paketi ikinci bölümü, Netlogon hizmeti ile ilgili olmayan çağırır. Geçirilen etki alanı adını kendi etki alanı adı olmadığı için bu kimlik doğrulaması gereklidir MSV kimlik doğrulama paketi ilk bölümü tanır. Kimlik doğrulaması gerekli olduğunda, MSV, Netlogon hizmeti için istek geçirir. Netlogon hizmeti sonra Netlogon hizmeti hedef bilgisayarda isteği yönlendirir. Netlogon hizmeti, isteği MSV kimlik doğrulama paketi diğer parçası bilgisayara geçirir.

Etkileşimli oturum açmaları, hizmet oturum açmaları ve ağ oturum açmaları, LsaLogonUser destekler. MSV kimlik doğrulama paketi tüm formların oturum açma kullanıcı hesabının bulunduğu etki alanı adını ve kullanıcı parolasının bazı işlevleri kullanıcı hesabının adını geçirir. Bunlar için LsaLogonUser geçirdiğinizde farklı bir oturum açma türleri farklı parola temsil eder.

Etkileşimli oturum açmaları toplu oturum açmalar ve hizmetin oturum açmak için oturum açma istemcisi ilk bölümünü MSV kimlik doğrulama paketi çalıştıran bilgisayarda ' dir. Bu durumda, düz metin parolalı LsaLogonUser ve MSV kimlik doğrulama paketi ilk bölümü için geçirilir. Toplu oturum açmalar ve hizmetin oturum açmak için Hizmet Denetim Yöneticisi'ni ve Görev Zamanlayıcı hesabın kimlik bilgilerini depolamak için daha güvenli bir yol sağlar.

Ilk bölümü MSV kimlik doğrulama paketi, bir LAN Manager OWF parola ve Windows NT OWF parola düz metin parolalı dönüştürür. Sonra paketi ilk bölümü, NetLogon hizmeti veya paketinin ikinci bir parçası olarak düz metin parolalı geçirir. Ikinci bölümü OWF parolalar için SAM veritabanını sorgular ve bunlar aynı olmasını sağlar.

Ağ oturum açmaları için 16 baytlık sınama veya "nonce" önceden bilgisayarınıza bağlanan istemci verildi Istemci bir LAN Manager istemci, istemci, 24 bayt kimlik sorma yanıtı 16 baytlık itirazı 16 baytlık LAN Manager OWF parolayla şifreleyerek hesaplanır. LAN Manager istemci daha sonra bu sunucuya "LAN Manager çekişme yanıt" geçirir. Istemci bir Windows istemcisinin, bir "Windows NT sınama yanıt" aynı algoritmayı kullanarak hesaplanır. Ancak, Windows istemci, LAN Manager OWF veri yerine 16 baytlık Windows OWF veri kullanır. Windows istemci daha sonra LAN Manager çekişme yanıt'ı ve Windows NT sınama yanıt sunucuya geçirir. Her iki durumda da, kullanıcının LsaLogonUser APı'SINE tüm aşağıdaki ileterek sunucunun kimliğini doğrular:
 • Etki alanı adı
 • Kullanıcı adı
 • Özgün kimlik sorma
 • LAN Manager çekişme yanıt
 • Isteğe bağlı Windows NT sınama yanıt
Ilk bölümü MSV kimlik doğrulama paketi, ikinci bölümü için olduğu gibi bu bilgileri aktarır. Ilk, ikinci bölümü OWF parolaları SAM veritabanında veya Active Directory veritabanını sorgular. Sonra ikinci bölümü, veritabanı ve geçirildi itirazı OWF parola kullanarak kimlik sorma yanıtı hesaplar. Ikinci bölümü, daha sonra geçirilen, sınama yanıt hesaplanan kimlik sorma yanıtı karşılaştırır.

Not NTLMv2 de sık karşılaşılan saldırı riskinin azaltılmasına yardımcı oturum anahtarlarının kullanımı ile birlikte bir özel bilgi talebi gönderir istemci sağlar.

Parolayı her iki sürümünü, önceden de belirttiğimiz gibi SAM veritabanı veya Active Directory veritabanı eksik olabilir. Ayrıca, parolayı her iki sürümü LsaLogonUser çağrısı bulunmuyor olabilir. SAM veritabanı parolasından Windows sürümü hem de LsaLogonUser parolasından Windows sürümü varsa, her ikisi de kullanılır. Aksi halde, parolanın LAN Manager sürüm karşılaştırma için kullanılır. Bu kural, ağda oturum açmalar Windows için Windows'dan gerçekleştiğinde, büyük/küçük harf duyarlılığı zorlamanıza yardımcı olur. Bu kural, geriye doğru uyumluluk için de sağlar.

Doğrudan kimlik doğrulaması

NetLogon hizmeti, kimlik doğrulaması gerçekleştirir. Bu, aşağıdaki işlevleri gerçekleştirir:
 • Kimlik doğrulama isteğini geçirilecek etki alanı seçer.
 • Sunucu etki alanında Ek Yardım düğmesini seçer.
 • Kimlik doğrulama isteği ile seçili sunucuya geçirir.
Etki alanı seçme kolaydır. Etki alanı adı için LsaLogonUser geçirilir. Etki alanı adı aşağıdaki gibi işlenir:
 • SAM veritabanı adı etki alanı adıyla, kimlik doğrulaması, bu bilgisayar üzerinde işlenir. Adı bir etki alanının üyesi olan bir Windows iş istasyonunda SAM veritabanına bilgisayar adı olarak kabul edilir. Active Directory etki alanı denetleyicisinde etki alanı adını hesabın veritabanının adıdır. Bir etki alanının üyesi olmayan bir bilgisayarda, tüm oturum açma istekleri yerel olarak işler.
 • Belirtilen etki alanı adı, bu etki alanı tarafından güvenilen, kimlik doğrulama isteği ile güvenilen etki alanına geçirilir. Active Directory etki alanı denetleyicilerinde, güvenilen etki alanlarının listesini kolayca kullanılabilir. Bir Windows etki alanı üyesinde isteği her zaman-iş istasyonu, birincil etki alanı belirtilen etki alanında güvenilir olup olmadığını belirlemek için izin vererek, birincil etki alanı için geçirilir.
 • Belirtilen etki alanı adı etki alanı tarafından güvenilen, kimlik doğrulama isteğini, belirtilen etki alanı adı, etki alanı adı gibi bağlı bilgisayarda işlenir. NetLogon varolmayan bir etki alanı, güvenilmeyen bir etki alanı ve bir yanlış yazılmış bir etki alanı adı arasında ayrım değil.
NetLogon, etki alanındaki bir sunucu bulma adlı bir işlem tarafından seçer. Windows NT iş istasyonu, bir Windows Active Directory'de etki alanı denetleyicileri, birincil etki alanı adı bulur. Bir Active Directory etki alanı denetleyicisine her güvenilen bir etki alanında bir Active Directory etki alanı denetleyicisi adını bulur. Keşif, Netlogon hizmeti çalışan DC Konum Belirleyici bileşendir. DC Konum Belirleyici, etki alanı ve yapılandırılmış bir güven türüne bağlı olarak gerekli sunucularını bulmaya NETBIOS veya DNS ad çözümlemesini kullanır.
wfw wfwg prodnt

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 102716 - Son İnceleme: 11/01/2006 07:29:13 - Düzeltme: 2.2

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows XP Professional Edition

 • kbmt kbinfo kbhowto KB102716 KbMttr
Geri bildirim