web-dev-qa-db-ja.com

同じネットワーク上の2つのWindowsPC間で同じ名前と認証が機能するのはなぜですか?

私の実験

  • そこで、2台のコンピューターで簡単なネットワークを構築しました。同じワークグループの両方。
  • コンピューター1でパスワード「A」を使用してローカルユーザー「A」を作成しました。
  • 次に、コンピューター2で、同じ名前のLOCALユーザー「A」と同じパスワード「A」を作成しました。

私の観察

  • 私が気付いたのは、コンピューター2で「A」としてログインすると、コンピューター1で「A」としてネットワークアクセスが許可されることです。 'A'共有フォルダをブローするとき。

私の考え

  • これは皮肉なことです。名前は同じですが、実際には2台の異なるコンピューター上の2人の異なるローカルユーザーです。
  • これは私にとってセキュリティ上の問題になる可能性があります。偶然にも、ある人がコンピューター2で同じユーザー名とパスワードを持っていて、コンピューター1へのアクセスが誤って与えられた場合はどうなりますか?

私の質問:

  • このユーザー名とパスワードの共有は何と呼ばれますか?
  • 同じネットワーク上の2つのWindowsPC間で同じ名前と認証が機能するのはなぜですか?
  • 2台のコンピューター間で同一のローカルユーザー名とパスワードを共有することを有効/無効にするにはどうすればよいですか?

これはDCOM呼び出し中にも機能することにも気づきました。

答えてくれてありがとう

5
user1034912

---これは非常に高レベルの要約の概要です。ここでは技術的なことは何も期待しないでください---

始めましょう:

このユーザー名とパスワードの共有は何と呼ばれますか?

「設計による」...より具体的には、「パススルー認証」。

同じネットワーク上の2つのWindowsPC間で同じ名前と認証が機能するのはなぜですか?

これが設計されているためです。 Windowsがネットワークリソースにアクセスしようとし、リソースが認証を必要とする場合、Windowsは現在のユーザー名とパスワードを介して送信します。次に、受信側のコンピューターがこれを認証し、成功または失敗を返します。 (これは本当に、本当に単純化されています、それは実際にはあなたのパスワードをブロードキャストしませんが、私はKISSに行きます)。

2台のコンピューター間で同一のローカルユーザー名とパスワードを共有することを有効/無効にするにはどうすればよいですか?

正直なところ、これはあなたが望むものではありません。主な理由は、ユーザーがユーザー名とパスワードを資格情報ボックスに入力し、以前と同じアクセス権を取得するためです。代わりに、共有/リソースにセキュリティを適用して、アクセスしたい人だけがアクセスできるようにする必要があります。

4
Mark Henderson

ログイン後、Winボックスはパスワードを取得し、そのLMハッシュとNTハッシュをカーネルメモリに保存して、ワークグループとNT4ドメインでこのSSO機能を使用できるようにします。 (Active Directoryドメインでは、パスワードの入力時に取得されたKerberos TGTも保存されます。)ユーザースペースプログラムはこれらのハッシュを直接使用できませんが、カーネルにSMB保存されたパスワード/チケットを使用するサーバー、またはIMAPやHTTPなどの他のプロトコルのアプリ/サービスに代わってNTLMチャレンジレスポンス操作またはKerberos認証を実行するサーバー。また、Windowsはローカル認証とNTLMの両方にMD4ハッシュを使用します。 、ただし、これは重要ではありません。必要に応じて、プレーンテキストのパスワードをメモリに保持することもできます。これが説明されることを願っています。

1
Danila Ladner