理解Windows验证 增强系统安全性

　　概述：　　　　彻底地理解Windows验证方法将使你能解决问题并增强网络安全。看，这是你需要知道的。　　　　如果你正有关于登录到多变的、完全地安全的网络的问题，解决方法大概就是允许设备间适当的端口和协议来验证，然而，理解开始用户验证的事件序列是很重要的。　　　　WinLogon过程　　　　WinLogon的第一阶段是[Ctrl][Alt][Delete]，Windows默认安全警告序列（Security Attention Sequence,SAS）。这个序列发信号通知操作系统有人尝试登录。　　　　当SAS初始化后，所有用户模式应用程序中断直到安全操作完成或取消。这个用户模式应用程序的暂停是重要的安全特性。当用启输入口令时，按键记录程序或木马病毒被禁用并防止记录击键。　　　　WinLogon过程是本地安全授权（Local Security Authority，LSA）中用于Windows操作系统登录过程的一部分。　　　　要完成这个过程，操作系统作登录服务器验证用户凭证，并且依据验证类型，如果客户机和服务间的适当的的端口和协议没有打开，登录可能失败。　　　　NT局域网管理器（NT LAN Manager，NTLM）被WinLogon过程用作默认验证方法；它使用客户机和域控制器（domain controller，DC）间的三个端口：　　　　UDP 137 - UDP 137 (NetBIOS Name)　　　　《endurer注：137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。》　　　　UDP 138 - UDP 138 (NetBIOS Netlogon and Browsing)　　　　《endurer注：138/UDP--NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它用于网络登录和浏览。》　　　　1024-65535/TCP - TCP 139 (NetBIOS Session)　　　　《endurer注：139/TCP--NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它用于服务器消息块(SMB)、文件共享和打印。》　　　　Logon authentications will succeed with these ports open between your clients and their domain controllers.　　　　随着客户机和域控制器间的端口打开，登录验证将成功。　　　　Windows默认验证相当缺乏安全　　　　在默认情况下，Windows NT和Windows 2000机器的验证方法是设置局域网管理器（LAN Manager，LM），这个管理器使用非常弱的安全算法来传送和存储每个用户口令哈稀（hash）。　　　　微软已经对所有的验证方法升级了四次。当前NT客户机和NT/Win2K服务器间的验证标准是NTLMv2。然而，如果你没有改变NT/Win2K客户机和服务器上的下列注册表键下的LMCompatabilityLevel值，在默认情况下你仍会使用LM方法—它极大地降低了整个网络的安全性。　　　　确认你已经设置只使用NTLMv2，并且Reg_Dword被设置为至少级别3。这迫使客户机只发送NTLMv2验证。（关于这个改变的更多信息，请阅读微软件知道库文章 147706.）　　　　作者注　　　　编辑系统注册表是危险的。在做注册表编辑前，请确认备份了注册表，这样如果出现错误，你可以恢复它。　　　　做了这个改变后，你还需要迫使系统移除LM hash。运行Regedt32.exe回到同一个注册表键，在编辑菜单，点击增加键，增加的键名为NoLMHash，类型区留空。（关于这个注册表改变的更多信息，请阅读微软件知道库文章299656.）　　　　这个新注册表键将迫使NT和Win2K移除LM hash，这将减少口令破解者的攻击。然而，你做的注册表修改不会生效，直到用户改变他或她的口令并且新的hash被创建。　　　　现在你除去了LM hash，网络正使用NTLMv2于客户机验证，基于Windows的网络安全验证的下一步是升级客户机和服务器去利用Kerberos，最新的Windows验证方法。　　　　什么是Kerberos for NT　　　　没有什么“Kerberos for NT”。如果仍将运行NT客户机，你能安装活动目录（Active Directory，AD）客户机，并使它们活动目录感知，但非Kerberos-enabled。活动目录客户机安装了活动目录服务接口（Active Directory Service Interfaces，ADSI），提供位置感知到NT计算机，这样它们可以发现最新的域控制器，让NT使用Win2K的Dfs（ 分布式文件系统　或　深度优先搜索）和 活动目录Windows地址本（AD Windows Address Book）。　　　　NT机器将只使用NTLM来验证，不管它们是否与NT或win2K服务器通信。要允许客户机和服务器安全通信，确信适当的端口打开了，并检验客户机和服务器已设置使用NTLMv2。