Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

NTLM người dùng xác thực trong Windows

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:102716
TÓM TẮT
Bài viết này thảo luận về các khía cạnh sau của NTLM người dùng xác thực trong Windows:
  • Mật khẩu lưu trữ trong cơ sở dữ liệu tài khoản
  • Xác thực người dùng bằng cách sử dụng gói xác thực MSV1_0
  • Xác thực Pass-through
THÔNG TIN THÊM

Mật khẩu lưu trữ trong cơ sở dữ liệu tài khoản

Hồ sơ người dùng được lưu trữ trong cơ sở dữ liệu quản lý (SAM) tài khoản bảo mật hoặc trong cơ sở dữ liệu Active Directory. Mỗi trương mục người dùng được kết hợp với hai mật khẩu: mật khẩu mạng LAN Manager-tương thích và mật khẩu Windows. Mỗi mật khẩu được mật mã hóa và được lưu trong cơ sở dữ liệu SAM trong cơ sở dữ liệu Active Directory.

Mật khẩu mạng LAN Manager-tương thích là tương thích với cácmật khẩu được sử dụng bởi mạng LAN quản lý. Mật khẩu này dựa trên thiết bị gốcnhà sản xuất (OEM) ký tự. Mật khẩu này không phải là trường hợp nhạy cảm và có thể lên đến 14 ký tự. OWFPhiên bản của mật khẩu này cũng được gọi là phiên bản LAN Manager OWF hoặc ESTD. Mật khẩu nàyđược tính bằng cách sử dụng DES mật mã để mã hóa một hằng số với mật khẩu văn bản rõ ràng. Mật khẩu mạng LAN Manager OWF là 16 byte dài.7 Byte đầu tiên của mật khẩu văn bản rõ ràng được sử dụng để tính toán cácđầu tiên 8 byte của mật khẩu mạng LAN quản lý OWF. 7 Byte thứ hai củamật khẩu văn bản rõ ràng được sử dụng để máy tính thứ hai 8 byte của cácLAN Manager OWF mật khẩu.

Mật khẩu Windows dựa trên bộ ký tự Unicode. Mật khẩu này là trường hợpnhạy cảm và có thể lên đến 128 ký tự. Phiên bản OWF của mật khẩu này cũng được gọi là mật khẩu Windows OWF. Mật khẩu này được tính bằng cách sử dụng RSA MD-4thuật toán mã hóa. Thuật toán này tính một 16-byte tiêu của một biến chiều dài chuỗi văn bản rõ ràng mật khẩu byte.

Bất kỳ tài khoản người dùng có thể thiếu hoặc mạng LAN quản lý mật khẩu hoặc cácWindows mật khẩu. Tuy nhiên, mỗi nỗ lực được thực hiện để duy trì cả haicác phiên bản của mật khẩu. Ví dụ, nếu trương mục người dùng được chuyển từ một mạng LANUAS quản lý cơ sở dữ liệu bằng cách sử dụng PortUas, hoặc nếu mật khẩu được thay đổi từmột khách hàng LAN Manager hoặc từ một Windows cho nhóm làm việc khách hàng, chỉ Phiên bản LAN Managercủa mật khẩu sẽ tồn tại. Nếu mật khẩu được thiết lập hoặc thay đổi ngàymột khách hàng Windows và mật khẩu đã không có đại diện mạng LAN Manager, chỉ là các cửa sổPhiên bản của mật khẩu sẽ tồn tại. (Mật khẩu có thể không có đại diện quản lý mạng LAN vì mật khẩu là dài hơn 14 ký tự hoặc bởi vì các ký tự không thểđại diện trong tập ký tự của OEM.) Giao diện người dùnggiới hạn trong Windows để Windows mật khẩu vượt quá 14 ký tự. Cáctác động của hạn chế này sẽ được thảo luận sau này trong bài viết này.

Windows 2000 Service Pack 2 và phiên bản mới nhất của Windows, thiết lập một là có sẵn cho phép bạn ngăn chặn cửa sổ lưu trữ một mạng LAN Manager băm mật khẩu của bạn. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
299656Làm thế nào để ngăn chặn Windows từ lưu trữ một mạng LAN quản lý băm của mật khẩu trong Active Directory và cơ sở dữ liệu địa phương SAM
Chú ý Microsoft không hỗ trợ bằng tay hoặc lập trình làm thay đổi cơ sở dữ liệu SAM.

Xác thực người dùng bằng cách sử dụng gói xác thực MSV1_0

Windows sử dụng LsaLogonUser API cho tất cả các loại của người sử dụng authentications. LsaLogonUser API authenticates người sử dụng bằng cách gọi một gói xác thực. Theo mặc định, LsaLogonUser gọi gói xác thực MSV1_0 (NEC). Gói này được bao gồm với Windows NT. Các LR xác thực gói cửa hàng người dùng ghi trong cơ sở dữ liệu SAM. Gói này hỗ trợ pass-through xác thực người dùng ở tên miền khác bằng cách sử dụng các dịch vụ Netlogon.

Nội bộ, LR xác thực gói được chia thành hai phần. Phần đầu tiên của FC xác thực gói chạy trên máy tính đangkết nối với. Phần thứ hai chạy trên máy tính có chứa các tài khoản người dùng. Khi cả hai phần chạy trên cùng mộtmáy tính, phần đầu tiên của xác thực FC gói cuộc gọi cácphần thứ hai mà không có liên quan đến các dịch vụ Netlogon. Phần đầu tiên của FCxác thực gói nhận ra rằng pass-throughxác thực là cần thiết bởi vì tên miềnđó là thông qua không phải là tên miền riêng của nó. Khi pass-through xác thực được yêu cầu, Newcastle vượt qua yêu cầu đểdịch vụ Netlogon. Dịch vụ Netlogon sau đó các tuyến đường yêu cầu cho các dịch vụ Netlogontrên máy tính đích. Lần lượt, các dịch vụ Netlogon vượt qua yêu cầu để cácmột phần khác của FC gói xác thực trên máy tính đó.

LsaLogonUser hỗ trợ tương tác logons, dịch vụ logons và mạngLogons. Trong LR xác thực gói, tất cả các hình thức đăng nhập vượt qua tên của cáctrương mục người dùng,tên miền có chứa các tài khoản người dùng, và một số chức năng của mật khẩu của người dùng. Đại diện các loại đăng nhập cho mật khẩu khác nhau khi họ vượt qua nó cho LsaLogonUser.

Đối với tương tác logons, lô logons và dịch vụ logons, khách hàng đăng nhập là trên máy tính đang chạy phần đầu tiên của FC xác thực gói. Trong trường hợp này, mật khẩu văn bản rõ ràng được thông qua để LsaLogonUser và phần đầu tiên của FC xác thực gói. Đối với dịch vụ logons và lô logons, bộ điều khiển dịch vụ và lập lịch tác vụ cung cấp một cách an toàn hơn để lưu trữ thông tin đăng nhập của tài khoản.

Phần đầu tiên của FC xác thực gói chuyển đổi mật khẩu văn bản rõ ràng cả mật khẩu mạng LAN quản lý OWF và một mật khẩu Windows NT OWF. Sau đó, phần đầu tiên của gói đi khẩu văn bản rõ ràng với dịch vụ NetLogon hoặc đến phần thứ hai của gói. Phần thứ hai sau đó truy vấn cơ sở dữ liệu SAM cho mật khẩu OWF và đảm bảo rằng họ là giống hệt nhau.

Cho mạng logons, khách hàng kết nối với máy tính đã được trước đó đặt một 16-byte thách thức, hoặc "nonce." Nếu các khách hàng là một khách hàng quản lý mạng LAN, khách hàng tính đáp ứng thách thức 24-byte bằng mật mã hóa các thách thức 16 byte với mật khẩu mạng LAN Manager OWF 16 byte. Máy sử dụng mạng LAN quản lý sau đó vượt qua điều này "Đáp ứng thách thức LAN Manager" cho hệ phục vụ. Nếu các khách hàng là một khách hàng Windows, một phản ứng"thách thức Windows NT" được tính bằng cách sử dụng các thuật toán tương tự. Tuy nhiên, Windows khách hàng sử dụng dữ liệu Windows OWF 16 byte thay vì của dữ liệu mạng LAN quản lý OWF. Khách hàng Windows sau đó chạy cả hai đáp ứng thách thức mạng LAN Manager và đáp ứng thách thức Windows NT cho hệ phục vụ. Trong cả hai trường hợp, hệ phục vụ authenticates người sử dụng bằng cách đi qua tất cả sau đây để LsaLogonUser API:
  • Tên miền
  • Tên người dùng
  • Thách thức ban đầu
  • Đáp ứng thách thức mạng LAN Manager
  • Tùy chọn đáp ứng thách thức Windows NT
Phần đầu tiên của gói xác thực Newcastle vượt qua thông tin này không thay đổi đến phần thứ hai. Trước tiên, phần thứ hai truy vấn các mật khẩu OWF từ cơ sở dữ liệu SAM hoặc từ cơ sở dữ liệu Active Directory. Sau đó, phần thứ hai tính đáp ứng thách thức bằng cách sử dụng mật khẩu OWF từ cơ sở dữ liệu và những thách thức được thông qua tại. Phần thứ hai sau đó so sánh những lời thách thức tính đáp ứng thông qua trong thách thức.

Chú ý NTLMv2 cũng cho phép khách hàng gửi một thách thức cùng với việc sử dụng các phím phiên giúp giảm nguy cơ các cuộc tấn công chung.

Như đã đề cập trước đó, một trong hai phiên bản của mật khẩu có thể không có trong bảng từ cơ sở dữ liệu SAM hoặc từ cơ sở dữ liệu Active Directory. Ngoài ra, một trong hai phiên bản của mật khẩu có thể là mất tích từ các cuộc gọi đến LsaLogonUser. Nếu cả hai phiên bản Windows của mật khẩu từ cơ sở dữ liệu SAM và phiên bản Windows mật khẩu từ LsaLogonUser có sẵn, cả hai đều được sử dụng. Nếu không, các phiên bản LAN Manager của mật khẩu được sử dụng để so sánh. Quy tắc này sẽ giúp thực thi trường hợp nhạy cảm khi mạng logons xảy ra từ Windows để Windows. Quy tắc này cũng cho phép tương thích ngược.

Xác thực Pass-through

Dịch vụ NetLogon thực hiện pass-through xác thực. Nó thực hiện các chức năng sau đây:
  • Chọn tên miền để vượt qua việc xác thựcyêu cầu.
  • Chọn hệ phục vụ trong các tên miền.
  • Vượt qua yêu cầu xác thực thông qua vào hệ phục vụ đã chọn.
Chọn tên miền là đơn giản. Tên miền được thông quaLsaLogonUser. Tên miền được xử lý như sau:
  • Nếu tên miền phù hợp với tên của cơ sở dữ liệu SAM, các xác thực xử lý trên máy tính đó. Trên một máy trạm Windows là một thành viên của một tên miền, tên của SAM cơ sở dữ liệu là được coi là tên của máy tính. Trên một bộ điều khiển vùng Active Directory, tên của cơ sở dữ liệu tài khoản này là tên miền. Trên một máy tính mà không phải là một thành viên của một tên miền, tất cả các logons quá trình yêu cầu tại địa phương.
  • Nếu tên miền cụ thể được tin cậy bởi tên miền này, yêu cầu xác thực đi qua các tên miền đáng tin cậy. Trên bộ điều khiển vùng Active Directory, danh sách tên miền đáng tin cậy có thể sẵn sàng. Trên một thành viên của một tên miền Windows, yêu cầu luôn luôn đi qua tên miền chính của máy trạm, cho phép tên miền chính xác định xem các tên miền được chỉ định là đáng tin cậy.
  • Nếu tên miền được chỉ ra không được tin cậy bởi các tên miền, yêu cầu xác thực đang xử lý trên máy tính được kết nối để nếu như tên miền chỉ định là rằng tên miền. NetLogon không phân biệt giữa một tên miền không tồn tại, một tên miền không đáng tin cậy, và một tên miền đã gõ không chính xác.
NetLogon chọn một máy chủ trong tên miền của một quá trình được gọi là phát hiện. Một trạm làm việc Windows phát hiện ra tên của một trong bộ kiểm soát miền Windows Active Directory của nó tên miền chính. Một bộ điều khiển vùng Active Directory phát hiện ra tên của một bộ điều khiển vùng Active Directory trong mỗi tên miền đáng tin cậy. Các thành phần mà không phát hiện ra là Locator DC chạy trong dịch vụ Netlogon. DC Locator sử dụng độ phân giải tên NETBIOS hoặc DNS để xác định vị trí các máy chủ cần thiết, tùy thuộc vào loại tên miền và tin tưởng rằng được cấu hình.
WFW wfwg prodnt

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 102716 - Xem lại Lần cuối: 08/17/2011 15:11:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows XP Professional

  • kbinfo kbhowto kbmt KB102716 KbMtvi
Phản hồi