概述:
彻底地理解Windows验证方法将使你能解决问题并增强网络安全。看,这是你需要知道的。
如果你正有关于登录到多变的、完全地安全的网络的问题,解决方法大概就是允许设备间适当的端口和协议来验证,然而,理解开始用户验证的事件序列是很重要的。
WinLogon过程
WinLogon的第一阶段是[Ctrl][Alt][Delete],Windows默认安全警告序列(Security Attention Sequence,SAS)。这个序列发信号通知操作系统有人尝试登录。
当SAS初始化后,所有用户模式应用程序中断直到安全操作完成或取消。这个用户模式应用程序的暂停是重要的安全特性。当用启输入口令时,按键记录程序或木马病毒被禁用并防止记录击键。
WinLogon过程是本地安全授权(Local Security Authority,LSA)中用于Windows操作系统登录过程的一部分。
要完成这个过程,操作系统作登录服务器验证用户凭证,并且依据验证类型,如果客户机和服务间的适当的的端口和协议没有打开,登录可能失败。
NT局域网管理器(NT LAN Manager,NTLM)被WinLogon过程用作默认验证方法;它使用客户机和域控制器(domain controller,DC)间的三个端口:
UDP 137 - UDP 137 (NetBIOS Name)
《endurer注:137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。》
UDP 138 - UDP 138 (NetBIOS Netlogon and Browsing)
《endurer注:138/UDP--NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于网络登录和浏览。》
1024-65535/TCP - TCP 139 (NetBIOS Session)
《endurer注:139/TCP--NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于服务器消息块(SMB)、文件共享和打印。》
Logon authentications will succeed with these ports open between your clients and their domain controllers.
随着客户机和域控制器间的端口打开,登录验证将成功。
Windows默认验证相当缺乏安全
在默认情况下,Windows NT和Windows 2000机器的验证方法是设置局域网管理器(LAN Manager,LM),这个管理器使用非常弱的安全算法来传送和存储每个用户口令哈稀(hash)。
微软已经对所有的验证方法升级了四次。当前NT客户机和NT/Win2K服务器间的验证标准是NTLMv2。然而,如果你没有改变NT/Win2K客户机和服务器上的下列注册表键下的LMCompatabilityLevel值,在默认情况下你仍会使用LM方法―它极大地降低了整个网络的安全性。
确认你已经设置只使用NTLMv2,并且Reg_Dword被设置为至少级别3。这迫使客户机只发送NTLMv2验证。(关于这个改变的更多信息,请阅读微软件知道库文章 147706.)
作者注
编辑系统注册表是危险的。在做注册表编辑前,请确认备份了注册表,这样如果出现错误,你可以恢复它。
做了这个改变后,你还需要迫使系统移除LM hash。运行Regedt32.exe回到同一个注册表键,在编辑菜单,点击增加键,增加的键名为NoLMHash,类型区留空。(关于这个注册表改变的更多信息,请阅读微软件知道库文章299656.)
这个新注册表键将迫使NT和Win2K移除LM hash,这将减少口令破解者的攻击。然而,你做的注册表修改不会生效,直到用户改变他或她的口令并且新的hash被创建。
现在你除去了LM hash,网络正使用NTLMv2于客户机验证,基于Windows的网络安全验证的下一步是升级客户机和服务器去利用Kerberos,最新的Windows验证方法。
什么是Kerberos for NT
没有什么“Kerberos for NT”。如果仍将运行NT客户机,你能安装活动目录(Active Directory,AD)客户机,并使它们活动目录感知,但非Kerberos-enabled。活动目录客户机安装了活动目录服务接口(Active Directory Service Interfaces,ADSI),提供位置感知到NT计算机,这样它们可以发现最新的域控制器,让NT使用Win2K的Dfs( 分布式文件系统
或
深度优先搜索)和 活动目录Windows地址本(AD Windows Address Book)。
NT机器将只使用NTLM来验证,不管它们是否与NT或win2K服务器通信。要允许客户机和服务器安全通信,确信适当的端口打开了,并检验客户机和服务器已设置使用NTLMv2。