科学の箱

科学・IT・登山の話題

IT Windows

Windowsログオン認証についてのメモ

投稿日:

エンドユーザーからWindowsログオン認証について質問を受けた。具体的な質問は自社のWindows Active Directory環境で有効になっている認証の種類を知りたいということだ。Windowsログオン認証について理解を深めることはトラブル発生時に効率的な手順で対応ができる。あまり普段は手を付けないところなのでまとめておく。

Windows認証

Windowsを利用していてファイルサーバーやメールサーバーなどにアクセスをするとユーザーIDとパスワードを入力するボックスが現れる。正しい組み合わせを入力するとサーバーのリソースにアクセスできる。この仕組みをWindowsのログオン認証と呼ぶ。

現在利用できるWindowsのログオン認証の仕組み(プロトコル)は歴史的な経緯から4種類ある。

  • LM認証
  • NTLM認証v1
  • NTLM認証v2
  • Kerberos認証

上記のうちLM認証からNTLM認証v2の3つはチャレンジレスポンス形式と呼ばれる方法をとっている。この方法はセキュリティ強度からみるとKerberos認証と比べると弱く、侵入を許してしまう可能性がある。これら3つの認証方法はWindows 2000以前の互換性のために用意されている。

LM認証

Windows NT以前のLANManagerで採用されていた方法。Windows9xでネットワーク接続するときに利用されていた。後継のNTLM認証のベースとなっている。

LM認証v1

Windows NTから採用された方式。

LM認証v2

Windows NT4  SP4から採用された方式。アルゴリズムは一緒。パスワードをハッシュする時の暗号化レベルを128bitに拡張している。

Kerberos認証

Windows 2000から採用された方式。チャレンジレスポンス方式は暗号化しているとはいえパスワードをネットワーク上でやり取りしているためにネットワークキャプチャなどによりパケットをモニタリングしパスワードが破られる可能性がある。Kerberos認証ではパスワードのやり取りをしないためにNTLM認証より安全である。

互換性維持のためにWindows 2000以降でもNTLM認証は利用できる。またドメイン外のクライアントの認証をする際にもNTLM認証は利用される。

チャレンジレスポンス方式の詳細については以下で詳しい

セキュリティプロトコル(NTLM の基本)

またNTLM認証の危険性については以下で記載されている。

認証パスワードの基礎知識

OSで利用するセキュリティポリシーの設定については以下が詳しい。

Tips03.Windowsネットワーク ~ログオン認証~

Kerberos認証

Kerberos認証ではトラブルが起きるとデバックが難しい。これはKerberos認証がもつ安全性の高さとのトレードオフでもある。それでもいくつか利用できる方法があるので、紹介する。

Kerberos Authentication Tester

このツールではURLを入力して接続すると認証情報について表示をしてくれる。Kerberos認証がされると認証時に生成されたチケット情報も取得できる。また現在自分が持っているサイト毎のチケットも確認できる。

こちらでは日本語で紹介している。

netdiag

Windows 2008では利用できないが、Windows 2003環境であればnetdiagでKerberosについて設定確認ができる。

netdiag /debug /l /test:kerberos /test:ldap

Windowsログオン認証について詳細に知りたい場合には以下の2つの資料が役に立つ。

Windows Logon Forensics

Logon and Authentication Technologies

 

 

メタ情報

inarticle



メタ情報

inarticle



-IT, Windows

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

PowershellでWindowsイベントを操作する

PowershellはWindows7およびWindows2008R2には標準で実装されている。これを利用してCUIベースでのイベントログの操作が可能になる。 イベントのログ形式は2つに分かれる。Wi …

no image

vagrant 1.6.4でsshインタフェースにprivate_networkを指定するとエラーになる

vagrantではprivate networkを指定して、sshからアクセスできる。 vagrant1.6.4 Windows版ではprivate networkを指定するとなぜかエラーがでる。 c …

no image

dhcp relay

Alcatel Omniswitchでdhcp relayを設定する手順 dhcp relayの設定は3つに分かれる。 udp-relayサービスを有効にする dhcpリレーを有効にする vlanにd …

no image

10 thing you know about UPS

http://www.techrepublic.com/article/10-things-you-should-know-about-deploying-a-ups/ Related posts:P …

no image

cmderでとりあえず覚えておくショートカット

ctrl + @  : cmderを最小化<->画面呼び出し ctrl + t : 新しいtab呼び出し画面表示 ctrl + tab : タブの移動 ctrl + w : タブを閉じる …

2014年5月
« 4月   6月 »
 1234
567891011
12131415161718
19202122232425
262728293031  

side bar top



アーカイブ

カテゴリー