NTLM

NTLM (forkortelse for NT LAN Manager ) er en godkendelsesmetode til computernetværk . Det bruger udfordringsrespons-godkendelse .

Ved at bruge NTLM løbet HTTP man er single sign-on til web-servere eller proxy-servere ved hjælp af legitimationsoplysninger (legitimationsoplysninger) af Windows -Benutzeranmeldung muligt.

historie

NTLM var oprindeligt en proprietær protokol fra Microsoft og blev derfor næsten udelukkende implementeret i produkter fra denne producent. Takket være reverse engineering , dog Samba , Squid , Mozilla Firefox , cURL , Opera og Apache HTTP-serveren understøtter også denne protokol. I begyndelsen af ​​2007 offentliggjorde Microsoft sin specifikation under pres fra USA og EU .

Forløberen for NTLM-protokollen er LM (LAN Manager), som allerede blev brugt i OS / 2- operativsystemet . NTLM løste problemet med, at lange adgangskoder kunne være mere sårbare end korte adgangskoder. På grund af yderligere sikkerhedsproblemer blev NTLMv2 udviklet, og den tidligere version blev fremover kaldt NTLMv1. Sikkerhedsproblemer er også kendt i NTLMv2: Svar kan opsnappes for at udføre gentagelsesangreb på serveren og refleksionsangreb på klienten.

Godkendelsesproces

Godkendelse via NTLM begynder med, at klienten sender brugernavnet til serveren . Serveren sender derefter et tilfældigt tal til klienten som en udfordring . Klienten sender det tilfældige nummer tilbage krypteret med hash-værdien af brugeradgangskoden som svar . Serveren krypterer også tilfældigt tal med hash-værdien af ​​den brugeradgangskode, den har i sin database eller fra domænecontrolleren, sammenligner de to resultater og bekræfter godkendelsen, hvis de stemmer overens. Brugeradgangskoden sendes derfor ikke via det usikre medium.

Et alternativ til NTLM er Kerberos- protokollen , som også er blevet brugt som standard under Windows siden introduktionen af Active Directory med Windows 2000 . Hvis godkendelse ved hjælp af Kerberos ikke er mulig, bruges NTLM automatisk. Windows vælger den havn for NTLM dynamisk i grundindstillingen.

Secure Password Authentication , eller SPA for kort, er, hvad Microsoft kalder godkendelse via NTLM til Microsoft Exchange Server .

LmKompatibilitetNiveau

LmCompatibilityLevel kan bruges til at konfigurere hvilke godkendelsesmekanismer klienten skal bruge. Her skelnes der mellem LM-, NTLM- og NTLMv2-godkendelser.

• 0 = klienter bruger LM og NTLM-godkendelse
• 1 = klienter bruger LM- og NTLM-godkendelse såvel som NTLMv2-godkendelse
• 2 = klienter bruger kun NTLM og NTLMv2-godkendelse.
• 3 = Kunder bruger kun NTLMv2-godkendelse. Domænecontrollere accepterer LM-, NTLM- og NTLMv2-godkendelse.
• 4 = klienter bruger kun NTLMv2-godkendelse. Domænecontrollere afviser LM-godkendelse og accepterer kun NTLM- og NTLMv2-godkendelse.
• 5 = Kunder bruger kun NTLMv2-godkendelse. Domænecontrollere afviser LM- og NTLM-godkendelse og accepterer kun NTLMv2-godkendelse.

Individuelle beviser

1. ↑ NT LANM Manager (NTLM) Authentication Protocol Specification . Microsoft. Hentet 17. august 2010.
2. ↑ Sådan deaktiveres LM-godkendelse på Windows NT . Microsoft. Hentet 27. august 2015.
3. ↑ Godkendelse på Windows: Et ulmende sikkerhedsproblem . Udgiver Heinz Heise . 16. august 2010. Hentet 17. august 2010.
4. ^ Microsoft NTLM . Microsoft. Hentet 17. august 2010.
5. ↑ Kerberos og Windows 2000 . TechGenix. Hentet 17. august 2010.
6. ↑ Kerberos i LOCAL SYSTEM-sammenhæng og NTLM-fallback . Microsoft. 12. april 2010. Hentet 17. august 2010.
7. ^ Sådan fungerer interaktiv logon . Microsoft. Hentet 17. august 2010.

Weblinks

• NTLM Authentication Scheme for HTTP (engelsk)
• NTLM-godkendelsesprotokol og sikkerhedsstøtteudbyder (engelsk)
• LmKompatibilitetNiveau i NTLM