„NTLM“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
Keine Bearbeitungszusammenfassung
K Weblinks aktualisiert. Siehe Diskussionsseite.
Zeile 4: Zeile 4:


== Historie ==
== Historie ==
NTLM war ursprünglich ein [[proprietär]]es Protokoll des Unternehmens [[Microsoft]] und daher fast ausschließlich in Produkten dieses Herstellers implementiert. Dank [[Reverse Engineering]] unterstützen jedoch beispielsweise auch [[Samba (Software)|Samba]], [[Squid]], [[Mozilla Firefox]], [[cURL]], [[Opera]] und der [[Apache HTTP Server]] dieses Protokoll. Anfang 2007 hat Microsoft seine Spezifikation auf Druck der [[Vereinigte Staaten|Vereinigten Staaten]] und der [[Europäische Union|Europäischen Union]] veröffentlicht.<ref>{{cite web
NTLM war ursprünglich ein [[proprietär]]es Protokoll des Unternehmens [[Microsoft]] und daher fast ausschließlich in Produkten dieses Herstellers implementiert. Dank [[Reverse Engineering]] unterstützen jedoch beispielsweise auch [[Samba (Software)|Samba]], [[Squid]], [[Mozilla Firefox]], [[cURL]], [[Opera]] und der [[Apache HTTP Server]] dieses Protokoll. Anfang 2007 hat Microsoft seine Spezifikation auf Druck der [[Vereinigte Staaten|Vereinigten Staaten]] und der [[Europäische Union|Europäischen Union]] veröffentlicht.<ref>{{cite web
| url = http://msdn.microsoft.com/en-us/library/cc236621
| url = https://msdn.microsoft.com/en-us/library/cc236621
| title = NT LAN Manager (NTLM) Authentication Protocol Specification
| title = NT LAN Manager (NTLM) Authentication Protocol Specification
| publisher = Microsoft
| publisher = Microsoft
| accessdate = 2010-08-17
| accessdate = 2010-08-17
}}</ref>
}}</ref>


Der Vorgänger des NTLM-Protokolls ist [[LAN Manager|LM]] (LAN Manager), das schon im Betriebssystem [[OS/2]] zum Einsatz kam. NTLM behob das Problem, dass lange Passwörter angreifbarer als kurze Passwörter sein konnten.<ref>{{cite web
Der Vorgänger des NTLM-Protokolls ist [[LAN Manager|LM]] (LAN Manager), das schon im Betriebssystem [[OS/2]] zum Einsatz kam. NTLM behob das Problem, dass lange Passwörter angreifbarer als kurze Passwörter sein konnten.<ref>{{cite web
| url = http://support.microsoft.com/?scid=kb%3Ben-us%3B147706
| url = https://support.microsoft.com/en-us/kb/147706
| title = How to disable LM authentication on Windows NT
| title = How to disable LM authentication on Windows NT
| publisher = Microsoft
| publisher = Microsoft
| accessdate = 2010-08-17
| accessdate = 2015-08-27
}}</ref> Aufgrund weiterer Sicherheitsprobleme wurde NTLMv2 entwickelt und die frühere Version fortan NTLMv1 genannt. Auch in NTLMv2 sind Sicherheitsprobleme bekannt: Responses können abgefangen werden, um [[Replay-Angriff]]e auf den Server und Reflection-Angriffe auf den Client durchzuführen.<ref>{{cite web
}}</ref> Aufgrund weiterer Sicherheitsprobleme wurde NTLMv2 entwickelt und die frühere Version fortan NTLMv1 genannt. Auch in NTLMv2 sind Sicherheitsprobleme bekannt: Responses können abgefangen werden, um [[Replay-Angriff]]e auf den Server und Reflection-Angriffe auf den Client durchzuführen.<ref>{{cite web
| url = http://heise.de/-1059244
| url = http://heise.de/-1059244
| title = Authentifizierung unter Windows: Ein schwelendes Sicherheitsproblem
| title = Authentifizierung unter Windows: Ein schwelendes Sicherheitsproblem
| publisher = [[Verlag Heinz Heise]]
| publisher = [[Verlag Heinz Heise]]
| date = 2010-08-16
| date = 2010-08-16
| accessdate = 2010-08-17
| accessdate = 2010-08-17
}}</ref>
}}</ref>


== Ablauf einer Authentifizierung ==
== Ablauf einer Authentifizierung ==
Eine Authentifizierung über NTLM beginnt damit, dass der [[Client]] den Benutzernamen an den [[Server (Software)|Server]] sendet.<ref>{{cite web
Eine Authentifizierung über NTLM beginnt damit, dass der [[Client]] den Benutzernamen an den [[Server (Software)|Server]] sendet.<ref>{{cite web
| url = http://msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx
| url = https://msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx
| title = Microsoft NTLM
| title = Microsoft NTLM
| publisher = Microsoft
| publisher = Microsoft
| accessdate = 2010-08-17
| accessdate = 2010-08-17
}}</ref> Der Server sendet daraufhin als ''Challenge'' eine Zufallszahl an den Client. Der Client sendet als ''Response'' die mit dem [[Hashwert]] des Benutzerpassworts verschlüsselte Zufallszahl zurück. Der Server verschlüsselt ebenfalls den Hashwert des Benutzerpassworts mit der Zufallszahl, vergleicht die beiden Ergebnisse und bestätigt bei Übereinstimmung die Authentifizierung.
}}</ref> Der Server sendet daraufhin als ''Challenge'' eine Zufallszahl an den Client. Der Client sendet als ''Response'' die mit dem [[Hashwert]] des Benutzerpassworts verschlüsselte Zufallszahl zurück. Der Server verschlüsselt ebenfalls den Hashwert des Benutzerpassworts mit der Zufallszahl, vergleicht die beiden Ergebnisse und bestätigt bei Übereinstimmung die Authentifizierung.


Eine Alternative zu NTLM ist das Protokoll [[Kerberos (Informatik)|Kerberos]], das auch unter Windows seit der Einführung des [[Active Directory]] mit [[Microsoft Windows 2000|Windows 2000]] standardmäßig zum Einsatz kommt.<ref>{{cite web
Eine Alternative zu NTLM ist das Protokoll [[Kerberos (Informatik)|Kerberos]], das auch unter Windows seit der Einführung des [[Active Directory]] mit [[Microsoft Windows 2000|Windows 2000]] standardmäßig zum Einsatz kommt.<ref>{{cite web
| url = http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/Security/KerberosandWindows2000.html
| url = http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/Security/KerberosandWindows2000.html
| title = Kerberos and Windows 2000
| title = Kerberos and Windows 2000
| publisher = TechGenix
| publisher = TechGenix
| accessdate = 2010-08-17
| accessdate = 2010-08-17
}}</ref> Wenn eine Authentifizierung mittels Kerberos nicht möglich ist, wird aber automatisch NTLM verwendet.<ref>{{cite web
}}</ref> Wenn eine Authentifizierung mittels Kerberos nicht möglich ist, wird aber automatisch NTLM verwendet.<ref>{{cite web
| url = http://blogs.technet.com/b/deds/archive/2010/04/12/kerberos-im-local-system-kontext-und-ntlm-fallback.aspx
| url = http://blogs.technet.com/b/deds/archive/2010/04/12/kerberos-im-local-system-kontext-und-ntlm-fallback.aspx
| title = Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback
| title = Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback
Zeile 43: Zeile 43:
| date = 2010-04-12
| date = 2010-04-12
| accessdate = 2010-08-17
| accessdate = 2010-08-17
}}</ref> Den [[Port (Protokoll)|Port]] für NTLM wählt Windows in der Grundeinstellung dynamisch.<ref>{{cite web
}}</ref> Den [[Port (Protokoll)|Port]] für NTLM wählt Windows in der Grundeinstellung dynamisch.<ref>{{cite web
| url = http://technet.microsoft.com/en-us/library/cc780332%28WS.10%29.aspx
| url = http://technet.microsoft.com/en-us/library/cc780332%28WS.10%29.aspx
| title = How Interactive Logon Works
| title = How Interactive Logon Works
| publisher = Microsoft
| publisher = Microsoft
| accessdate = 2010-08-17
| accessdate = 2010-08-17
}}</ref>
}}</ref>


''[[:en:Secure_Password_Authentication|Secure Password Authentication]]'', kurz SPA, nennt Microsoft die Authentifizierung über NTLM für [[Microsoft Exchange Server]].
''[[:en:Secure Password Authentication|Secure Password Authentication]]'', kurz SPA, nennt Microsoft die Authentifizierung über NTLM für [[Microsoft Exchange Server]].


== Einzelnachweise ==
== Einzelnachweise ==

Version vom 27. August 2015, 15:37 Uhr

NTLM (kurz für NT LAN Manager) ist ein Authentifizierungsverfahren für Rechnernetze. Es verwendet eine Challenge-Response-Authentifizierung.

Durch den Einsatz von NTLM über HTTP ist ein Single Sign-on auf Webservern oder Proxyservern unter Verwendung des Berechtigungsnachweises (Credentials) der Windows-Benutzeranmeldung möglich.

Historie

NTLM war ursprünglich ein proprietäres Protokoll des Unternehmens Microsoft und daher fast ausschließlich in Produkten dieses Herstellers implementiert. Dank Reverse Engineering unterstützen jedoch beispielsweise auch Samba, Squid, Mozilla Firefox, cURL, Opera und der Apache HTTP Server dieses Protokoll. Anfang 2007 hat Microsoft seine Spezifikation auf Druck der Vereinigten Staaten und der Europäischen Union veröffentlicht.[1]

Der Vorgänger des NTLM-Protokolls ist LM (LAN Manager), das schon im Betriebssystem OS/2 zum Einsatz kam. NTLM behob das Problem, dass lange Passwörter angreifbarer als kurze Passwörter sein konnten.[2] Aufgrund weiterer Sicherheitsprobleme wurde NTLMv2 entwickelt und die frühere Version fortan NTLMv1 genannt. Auch in NTLMv2 sind Sicherheitsprobleme bekannt: Responses können abgefangen werden, um Replay-Angriffe auf den Server und Reflection-Angriffe auf den Client durchzuführen.[3]

Ablauf einer Authentifizierung

Eine Authentifizierung über NTLM beginnt damit, dass der Client den Benutzernamen an den Server sendet.[4] Der Server sendet daraufhin als Challenge eine Zufallszahl an den Client. Der Client sendet als Response die mit dem Hashwert des Benutzerpassworts verschlüsselte Zufallszahl zurück. Der Server verschlüsselt ebenfalls den Hashwert des Benutzerpassworts mit der Zufallszahl, vergleicht die beiden Ergebnisse und bestätigt bei Übereinstimmung die Authentifizierung.

Eine Alternative zu NTLM ist das Protokoll Kerberos, das auch unter Windows seit der Einführung des Active Directory mit Windows 2000 standardmäßig zum Einsatz kommt.[5] Wenn eine Authentifizierung mittels Kerberos nicht möglich ist, wird aber automatisch NTLM verwendet.[6] Den Port für NTLM wählt Windows in der Grundeinstellung dynamisch.[7]

Secure Password Authentication, kurz SPA, nennt Microsoft die Authentifizierung über NTLM für Microsoft Exchange Server.

Einzelnachweise

  1. NT LAN Manager (NTLM) Authentication Protocol Specification. Microsoft, abgerufen am 17. August 2010.
  2. How to disable LM authentication on Windows NT. Microsoft, abgerufen am 27. August 2015.
  3. Authentifizierung unter Windows: Ein schwelendes Sicherheitsproblem. Verlag Heinz Heise, 16. August 2010, abgerufen am 17. August 2010.
  4. Microsoft NTLM. Microsoft, abgerufen am 17. August 2010.
  5. Kerberos and Windows 2000. TechGenix, abgerufen am 17. August 2010.
  6. Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback. Microsoft, 12. April 2010, abgerufen am 17. August 2010.
  7. How Interactive Logon Works. Microsoft, abgerufen am 17. August 2010.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=NTLM&oldid=145461054