理解Windows驗證 增強系統安全性

　　概述：　　　　徹底地理解Windows驗證方法將使你能解決問題並增強網絡安全。看，這是你需要知道的。　　　　如果你正有關於登錄到多變的、完全地安全的網絡的問題，解決方法大概就是允許設備間適當的端口和協議來驗證，然而，理解開始用戶驗證的事件序列是很重要的。　　　　WinLogon過程　　　　WinLogon的第一階段是[Ctrl][Alt][Delete]，Windows默認安全警告序列（Security Attention Sequence,SAS）。這個序列發信號通知操作系統有人嘗試登錄。　　　　當SAS初始化後，所有用戶模式應用程序中斷直到安全操作完成或取消。這個用戶模式應用程序的暫停是重要的安全特性。當用啟輸入口令時，按鍵記錄程序或木馬病毒被禁用並防止記錄擊鍵。　　　　WinLogon過程是本地安全授權（Local Security Authority，LSA）中用於Windows操作系統登錄過程的一部分。　　　　要完成這個過程，操作系統作登錄服務器驗證用戶憑證，並且依據驗證類型，如果客戶機和服務間的適當的的端口和協議沒有打開，登錄可能失敗。　　　　NT局域網管理器（NT LAN Manager，NTLM）被WinLogon過程用作默認驗證方法；它使用客戶機和域控制器（domain controller，DC）間的三個端口：　　　　UDP 137 - UDP 137 (NetBIOS Name)　　　　《endurer注：137/UDP--NetBIOS名稱服務器,網絡基本輸入/輸出系統(NetBIOS)名稱服務器(NBNS)協議是TCP/IP上的NetBIOS(NetBT)協議族的一部分，它在基於NetBIOS名稱訪問的網絡上提供主機名和地址映射方法。》　　　　UDP 138 - UDP 138 (NetBIOS Netlogon and Browsing)　　　　《endurer注：138/UDP--NetBIOS數據報,NetBIOS數據報是TCP/IP上的NetBIOS(NetBT)協議族的一部分，它用於網絡登錄和浏覽。》　　　　1024-65535/TCP - TCP 139 (NetBIOS Session)　　　　《endurer注：139/TCP--NetBIOS會話服務,NetBIOS會話服務是TCP/IP上的NetBIOS(NetBT)協議族的一部分，它用於服務器消息塊(SMB)、文件共享和打印。》　　　　Logon authentications will succeed with these ports open between your clients and their domain controllers.　　　　隨著客戶機和域控制器間的端口打開，登錄驗證將成功。　　　　Windows默認驗證相當缺乏安全　　　　在默認情況下，Windows NT和Windows 2000機器的驗證方法是設置局域網管理器（LAN Manager，LM），這個管理器使用非常弱的安全算法來傳送和存儲每個用戶口令哈稀（hash）。　　　　微軟已經對所有的驗證方法升級了四次。當前NT客戶機和NT/Win2K服務器間的驗證標准是NTLMv2。然而，如果你沒有改變NT/Win2K客戶機和服務器上的下列注冊表鍵下的LMCompatabilityLevel值，5自學網，在默認情況下你仍會使用LM方法—它極大地降低了整個網絡的安全性。　　　　確認你已經設置只使用NTLMv2，並且Reg_Dword被設置為至少級別3。這迫使客戶機只發送NTLMv2驗證。（關於這個改變的更多信息，請閱讀微軟件知道庫文章 147706.）　　　　作者注　　　　編輯系統注冊表是危險的。在做注冊表編輯前，請確認備份了注冊表，這樣如果出現錯誤，你可以恢復它。　　　　做了這個改變後，你還需要迫使系統移除LM hash。運行Regedt32.exe回到同一個注冊表鍵，在編輯菜單，點擊增加鍵，增加的鍵名為NoLMHash，類型區留空。（關於這個注冊表改變的更多信息，請閱讀微軟件知道庫文章299656.）　　　　這個新注冊表鍵將迫使NT和Win2K移除LM hash，這將減少口令破解者的攻擊。然而，你做的注冊表修改不會生效，直到用戶改變他或她的口令並且新的hash被創建。　　　　現在你除去了LM hash，網絡正使用NTLMv2於客戶機驗證，基於Windows的網絡安全驗證的下一步是升級客戶機和服務器去利用Kerberos，最新的Windows驗證方法。　　　　什麼是Kerberos for NT　　　　沒有什麼“Kerberos for NT”。如果仍將運行NT客戶機，你能安裝活動目錄（Active Directory，AD）客戶機，並使它們活動目錄感知，但非Kerberos-enabled。活動目錄客戶機安裝了活動目錄服務接口（Active Directory Service Interfaces，ADSI），提供位置感知到NT計算機，這樣它們可以發現最新的域控制器，讓NT使用Win2K的Dfs（ 分布式文件系統　或　深度優先搜索）和 活動目錄Windows地址本（AD Windows Address Book）。　　　　NT機器將只使用NTLM來驗證，不管它們是否與NT或win2K服務器通信。要允許客戶機和服務器安全通信，確信適當的端口打開了，並檢驗客戶機和服務器已設置使用NTLMv2。 ，5自學網