В процессе проверки подлинности NTLM участвуют исключительно клиент и сервер IIS7. Однако доверенная третья сторона также имеет доступ к этому процессу аутентификации по протоколу Kerberos на основе билетов.
Это основополагающее различие между ними еще больше подчеркивается другими различиями, очевидными при сравнительном анализе.
Основные выводы
- NTLM — это протокол проверки подлинности Microsoft, использующий механизм запроса-ответа для проверки подлинности и используемый в средах Windows.
- Kerberos — это протокол сетевой аутентификации, в котором используется система билетов, широко используемая в системах на основе Unix и в кроссплатформенных средах.
- В то время как NTLM полагается на серию рукопожатий между клиентом и сервером, Kerberos использует доверенный сторонний сервер проверки подлинности для выдачи билетов для проверки подлинности.
NTLM против Kerberos
Учетные данные NTLM основаны на данных, полученных в процессе интерактивного входа в систему, и состоят из доменное имя, имя пользователя и односторонний хэш пароля пользователя. Керберос это компьютер сетевой безопасности протокол, который аутентифицирует запросы на обслуживание между двумя или более доверенными хостами в ненадежной сети, такой как Интернет.
Сравнительная таблица
| Параметры сравнения | NTLM | Kerberos |
|---|---|---|
| Определение | NTLM — это протокол проверки подлинности Microsoft, используемый в старых моделях Windows, а не в домене Active Directory. | Kerberos — это протокол проверки подлинности на основе билетов, используемый в последних моделях Windows. Эти компьютеры уже являются членами домена Active Directory. |
| Процесс аутентификации | В NTLM протокол аутентификации включает только клиента и сервер IIS7. | В протоколе аутентификации Kerberos участвуют клиент, сервер и доверенный сторонний партнер по билетам. Третья сторона — контроллер домена Active Directory. |
| Безопасность | NTLM менее безопасен, чем протокол Kerberos. | Протокол аутентификации Kerberos предлагает расширенную защиту для пользователей. Это значительно безопаснее, чем протокол NTLM. |
| Взаимная аутентификация | Функция взаимной аутентификации отсутствует в NTLM. | Функция взаимной аутентификации включена в Kerberos. |
| Делегирование и олицетворение | NTLM не поддерживает делегирование. Протокол NTML поддерживает только олицетворение. | Kerberos поддерживает как делегирование, так и олицетворение. |
| Вход со смарт-картой | Двухфакторный вход с использованием смарт-карт не допускается протоколами NTLM. | Двухфакторная процедура входа в систему с использованием смарт-карты разрешена протоколом Kerberos. |
| Совместимость | NTLM совместим со старыми моделями Windows, такими как Windows 95, 98, NT 4.0 и т. д. | Kerberos совместим со всеми последними моделями Windows, такими как Microsoft Windows 2000, XP и другими. |
Что такое НТЛМ?
Протокол NTLM — это проприетарный протокол проверки подлинности Windows, который использует систему «запрос-ответ» для проверки подлинности при входе в систему. Система NTLM преобладала на старых компьютерах с Windows, которые не были членами домена Active Directory.
После инициирования клиентом процесса аутентификации начинается трехстороннее рукопожатие между клиентом и сервером. Процесс начинается с того, что клиент отправляет сообщение с указанием имени своей учетной записи и возможностей шифрования.
Следовательно, сервер отвечает 64-бит одноразовый Этот ответ называется вызовом. Ответ клиента содержит это значение и его или ее пароль.
Безопасность, предлагаемая NTLM, уступает безопасности, обеспечиваемой более новыми версиями других протоколов аутентификации. Этот протокол аутентификации не использует трехстороннюю процедуры .
В результате он считается менее безопасным. Более того, этот старый протокол не поддерживает вход в систему с помощью смарт-карты, взаимную аутентификацию, делегирование полномочий и т. д.
Что такое Kerberos?
Kerberos — это протокол аутентификации Windows, совместимый с последними моделями, выпущенными брендом. Это протокол на основе билетов, который используется теми ПК с Windows, которые уже являются членами домена Active Directory.
УТП этого протокола заключается в том, что он может эффективно сократить общее количество паролей, необходимых пользователю для доступа к сети, до одного.
Этот безопасный, сложный и расширенный протокол аутентификации был разработан в Массачусетском технологическом институте. Он был принят в качестве стандартного протокола проверки подлинности для всех компьютеров, от модели Windows 2000 до более поздних моделей.
Kerberos включает в себя несколько внушительных спецификаций, таких как взаимная проверка подлинности и вход в систему с помощью смарт-карты.
Гарантия безопасности протокола Kerberos не имеет себе равных. Он использует третью сторону для аутентификации входа в систему. Это обеспечивает повышенную безопасность и минимизирует уязвимость конфиденциальных данных. Работая через централизованные центры обработки данных, Kerberos обеспечивает дополнительную стабильность и безопасность.
Основные различия между NTLM и Kerberos
- Основное различие между NTLM и Kerberos заключается в том, что NTLM — это протокол проверки подлинности Microsoft, основанный на запросе и ответе, который используется в более старых моделях Windows, не являющихся членами домена Active Directory. В то же время Kerberos — это протокол проверки подлинности на основе билетов, используемый в более новых вариантах модели Windows.
- Kerberos поддерживает вход со смарт-картой через протокол двухфакторной аутентификации. NTLM не поддерживает вход в систему с помощью смарт-карты.
- С точки зрения безопасности Kerberos имеет преимущество перед NTLM. NTLM сравнительно менее безопасен, чем Kerberos.
- Функция взаимной аутентификации доступна с Kerberos. Напротив, NTLM не предлагает пользователю эту функцию взаимной проверки подлинности.
- В то время как Kerberos поддерживает как делегирование, так и олицетворение, NTLM поддерживает только олицетворение.
- В процессе аутентификации по протоколу NTLM участвуют клиент и сервер. Однако надежная третья сторона имеет доступ к процессу аутентификации по протоколу Kerberos.
- В более ранних моделях Windows использовался протокол NTLM. Сюда входят такие версии, как Windows 95, 98, NT 4.0 и т. д. Протокол Kerberos предварительно установлен на более новых моделях, таких как Microsoft Windows 2000, XP и других последних моделях.
Последнее обновление: 15 июня 2023 г.
Я приложил столько усилий, чтобы написать этот пост в блоге, чтобы предоставить вам ценность. Это будет очень полезно для меня, если вы подумаете о том, чтобы поделиться им в социальных сетях или со своими друзьями/родными. ДЕЛИТЬСЯ ♥️
Сандип Бхандари имеет степень бакалавра вычислительной техники Университета Тапар (2006 г.). Имеет 20-летний опыт работы в сфере технологий. Он проявляет большой интерес к различным техническим областям, включая системы баз данных, компьютерные сети и программирование. Подробнее о нем можно прочитать на его био страница.
Акцент в статье на преимуществах безопасности Kerberos и совместимости с новыми моделями Windows является информативным и ценным. Он эффективно подчеркивает причины выбора Kerberos вместо NTLM в современных средах.
Я ценю, что статья углубляется в нюансы NTLM и Kerberos, обеспечивая всестороннее сравнение, имеющее практическую значимость. Это бесценное чтение для всех, кто работает со средами Windows.
Действительно, статья служит важным руководством для понимания сильных и слабых сторон как NTLM, так и Kerberos. Это отличный ресурс для ИТ-специалистов и экспертов по безопасности.
В статье критически анализируются сравнительные особенности NTLM и Kerberos, знакомя читателей со сложностями и нюансами, присущими этим протоколам аутентификации. Это незаменимая помощь для профессионалов, стремящихся расширить свои знания в этой области.
Действительно, Барри. Эта статья предлагает разумное описание NTLM и Kerberos, обогащая понимание ИТ-практиков и экспертов по безопасности, занимающихся защитой сетевых инфраструктур.
В этой статье дается подробное и четкое объяснение ключевых различий между NTLM и Kerberos, проливает свет на их функции безопасности и совместимость с различными моделями Windows. Это чрезвычайно информативно и полезно для людей, которые хотят больше узнать о протоколах аутентификации.
Подробная сравнительная таблица особенно полезна! В нем четко очерчены различия между NTLM и Kerberos, что делает его отличным ресурсом для всех, кто хочет глубже понять эти протоколы аутентификации.
Я полностью согласен! В статье эффективно сравниваются NTLM и Kerberos, что облегчает читателям понимание тонких нюансов каждого протокола. Это хорошо написано и познавательно.
Исследование взаимной аутентификации, делегирования и входа в систему с помощью смарт-карты, проведенное в статье, эффективно подчеркивает расширенные возможности Kerberos по сравнению с NTLM, предоставляя детальный взгляд на функции совместимости и безопасности этих протоколов аутентификации.
Я полностью согласен, Кимберли. Углубленное исследование в статье подчеркивает существенные различия между NTLM и Kerberos и предлагает ценные рекомендации для тех, кто ориентируется в динамичной среде аутентификации Windows.
В этой статье в ясной и доступной форме объясняются сложные концепции NTLM и Kerberos, что делает ее ценным ресурсом для тех, кто хочет углубить свое понимание протоколов аутентификации.
Я не мог не согласиться. Эта статья является отличным справочником как для профессионалов, так и для энтузиастов, желающих расширить свои знания о протоколах аутентификации.
Абсолютно, Моррис! Подробное описание процесса аутентификации и сравнительная таблица облегчают читателям эффективное понимание различий между NTLM и Kerberos.
В статье эффективно рассматриваются функциональность и совместимость NTLM и Kerberos, предлагая ценную информацию об их сильных сторонах и ограничениях. Это похвальный ресурс для тех, кто ищет глубокие знания протоколов аутентификации в средах Windows.
Я не могу не согласиться, Стефан. Тщательное исследование NTLM и Kerberos, проведенное в статье, дает читателям глубокое понимание ландшафта аутентификации, способствуя принятию обоснованных решений в ИТ-средах.
Безусловно, эта статья заполняет важнейший пробел в знаниях, предоставляя подробный анализ NTLM и Kerberos. Эту книгу необходимо прочитать всем, кто разбирается в сложностях протоколов безопасности корпоративного уровня.
Тщательное описание функциональных различий и парадигм безопасности NTLM и Kerberos в статье дает всестороннее понимание этих протоколов аутентификации и служит ценным образовательным инструментом как для профессионалов, так и для ученых.
Я согласен, Фиби. Всестороннее исследование NTLM и Kerberos, проведенное в статье, обеспечивает основу для понимания этих протоколов аутентификации, внося значительный вклад в академический и профессиональный дискурс в этой области.
Абсолютно, Фиби. Аналитическая строгость и научная глубина статьи делают ее незаменимым ресурсом для практиков и исследователей, изучающих тонкости механизмов аутентификации Windows.
Подробное описание процессов аутентификации, аспектов безопасности и совместимости, содержащееся в статье, делает ее незаменимым справочником для ИТ-специалистов и энтузиастов безопасности. Он эффективно устраняет пробелы в знаниях, предлагая ценную информацию о NTLM и Kerberos.
Абсолютно, Картер! Тщательный анализ статьи обеспечивает целостное понимание NTLM и Kerberos, позволяя читателям ясно и точно ориентироваться в тонкостях протоколов аутентификации Windows.
Я не могу не согласиться, Паула. Научный подход статьи к сравнению NTLM и Kerberos обогащает дискуссию о протоколах аутентификации, делая ее авторитетным ресурсом для профессионалов отрасли.
Хотя в статье и содержится подробное сравнение, похоже, Kerberos предпочтительнее NTLM с точки зрения безопасности и расширенных функций. Более сбалансированная точка зрения была бы оценена по достоинству.
Я понимаю твое беспокойство, Харрисон. Однако важно признать, что расширенные функции безопасности Kerberos действительно являются значительным преимуществом по сравнению с NTLM. В статье точно отражен этот аспект.
Как ИТ-специалист, я нашел эту статью исключительно полезной в объяснении операционных различий и аспектов безопасности NTLM и Kerberos. Это хорошо структурированный и полезный ресурс для всех, кто занимается сетевой безопасностью и системным администрированием.