科学の箱

科学・IT・登山の話題

IT Windows

Windowsログオン認証についてのメモ

投稿日:

エンドユーザーからWindowsログオン認証について質問を受けた。具体的な質問は自社のWindows Active Directory環境で有効になっている認証の種類を知りたいということだ。Windowsログオン認証について理解を深めることはトラブル発生時に効率的な手順で対応ができる。あまり普段は手を付けないところなのでまとめておく。

Windows認証

Windowsを利用していてファイルサーバーやメールサーバーなどにアクセスをするとユーザーIDとパスワードを入力するボックスが現れる。正しい組み合わせを入力するとサーバーのリソースにアクセスできる。この仕組みをWindowsのログオン認証と呼ぶ。

現在利用できるWindowsのログオン認証の仕組み(プロトコル)は歴史的な経緯から4種類ある。

  • LM認証
  • NTLM認証v1
  • NTLM認証v2
  • Kerberos認証

上記のうちLM認証からNTLM認証v2の3つはチャレンジレスポンス形式と呼ばれる方法をとっている。この方法はセキュリティ強度からみるとKerberos認証と比べると弱く、侵入を許してしまう可能性がある。これら3つの認証方法はWindows 2000以前の互換性のために用意されている。

LM認証

Windows NT以前のLANManagerで採用されていた方法。Windows9xでネットワーク接続するときに利用されていた。後継のNTLM認証のベースとなっている。

LM認証v1

Windows NTから採用された方式。

LM認証v2

Windows NT4  SP4から採用された方式。アルゴリズムは一緒。パスワードをハッシュする時の暗号化レベルを128bitに拡張している。

Kerberos認証

Windows 2000から採用された方式。チャレンジレスポンス方式は暗号化しているとはいえパスワードをネットワーク上でやり取りしているためにネットワークキャプチャなどによりパケットをモニタリングしパスワードが破られる可能性がある。Kerberos認証ではパスワードのやり取りをしないためにNTLM認証より安全である。

互換性維持のためにWindows 2000以降でもNTLM認証は利用できる。またドメイン外のクライアントの認証をする際にもNTLM認証は利用される。

チャレンジレスポンス方式の詳細については以下で詳しい

セキュリティプロトコル(NTLM の基本)

またNTLM認証の危険性については以下で記載されている。

認証パスワードの基礎知識

OSで利用するセキュリティポリシーの設定については以下が詳しい。

Tips03.Windowsネットワーク ~ログオン認証~

Kerberos認証

Kerberos認証ではトラブルが起きるとデバックが難しい。これはKerberos認証がもつ安全性の高さとのトレードオフでもある。それでもいくつか利用できる方法があるので、紹介する。

Kerberos Authentication Tester

このツールではURLを入力して接続すると認証情報について表示をしてくれる。Kerberos認証がされると認証時に生成されたチケット情報も取得できる。また現在自分が持っているサイト毎のチケットも確認できる。

こちらでは日本語で紹介している。

netdiag

Windows 2008では利用できないが、Windows 2003環境であればnetdiagでKerberosについて設定確認ができる。

netdiag /debug /l /test:kerberos /test:ldap

Windowsログオン認証について詳細に知りたい場合には以下の2つの資料が役に立つ。

Windows Logon Forensics

Logon and Authentication Technologies

 

 

メタ情報

inarticle



メタ情報

inarticle



-IT, Windows

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Cisco Prime Infrastructure Training on youtube Part 2

Cisco Prime Infrastructure Quick Start #8 Leveraging Collected Information ダッシュボードは管理しているネットワーク機器の概要 …

no image

berkshelf error

これは何だろう WARNING: Berkshelf could not be loaded WARNING: Please add the berkshelf gem to your Gemfile …

no image

PowershellでWindowsイベントを操作する

PowershellはWindows7およびWindows2008R2には標準で実装されている。これを利用してCUIベースでのイベントログの操作が可能になる。 イベントのログ形式は2つに分かれる。Wi …

no image

Networker Enterprise Reportの使い方 – Backup Status

Backup Statusレポートについて種類と使い方をまとめてみる。 Backup Statusレポートの概要 Backup Statusレポートでは特定期間におけるバックアップの経過時間、save …

no image

RDPで表示されている画面が小さくて文字が読めない

クライアントサーバーベースのアプリケーションでは管理上の手間を省くために、アプリケーションサーバーを構築しクライアントからRDPで接続する構成をとることがよくある。 ラップトップの入れかえや新しく入っ …

2014年5月
« 4月   6月 »
 1234
567891011
12131415161718
19202122232425
262728293031  

side bar top



アーカイブ

カテゴリー