Authentifizierungsprotokolle bei Windows Server 2003

Vorwort
Windows Server 2003 bietet die Möglichkeit der Authentifizierung für zahlreiche Clientbetriebssysteme. Da diese Betriebssysteme
verschiedene Ebenen von Authentifizierungsprotokollen unterstützen, unterstützt Windows Server 2003 seinerseits zwei primäre
Protokolle: NTLM und Kerberos

Das NTLM-Authentifizierungsprotokoll verwendet einen Anfrage/Antwort Mechanismus zur Authentifizierung von Benutzern und
Computern unter Windows ME und früheren Betriebssystemen sowie von Computern unter Windows 2000, die nicht Mitglied einer
Domäne sind. Der Benutzern wird aufgefordert (dies ist die Anfrage), eine private Information, die allein ihm vorbehalten ist, zu übermitteln
(dies ist die Antwort). Windows Server 2003 unterstützt die folgenden drei Methoden der anfrage/Antwort Authentifizierung.

• LAN-Manager (LM).
  Wurde von IBM und Microsoft gemeinsam für den Einsatz in OS2 und Windows für Workgroups, Windows
  95, Windows 98 und Windows ME entwickelt. Es handelt sich hierbei um die am wenigsten sichere Form der Abfrage/Antwort
  Authentifizierung, denn sie ist anfällig für Lauschangriffe, und Server, die Benutzer mithilfe der LM Authentifizierung authentifizieren
  müssen die Anmeldeinformationen in einem LM Hash speichern.
  
• NTLM Version 1.
  Diese Form der Abfrage/Antwort Authentifizierung ist sicherer als LM. Sie wird zur Verbindung mit Servern unter
  Windows NT mit Service Pack 3 oder früher verwendet. NTLMv1 verwendet zur Sicherung des Protokolls eine 56Bit Verschlüsselung.
  Server, die Benutzer mit einer Variante der NTLM Authentifizierung authentifizieren, müsen die Anmeldeinformationen in einem
  NT-Hash speichern.
  
• NTLM Version 2.
  Dies ist die sicherste Form der Abfrage/Antwort Authentifizierung, die derzeit verfügbar ist. Sie umfasst
  einen sicheren Kanal zum Schutz des Authentifizierungsprozesses. Sie wird zur Verbindung mit Servern unter Windows 2000
  Windows XP oder Windows NT mit Service Pack 4 oder höher verwendet. NLTMv2 verwendet zur Sicherung des Protokolls
  eine 128-Bit Verschlüsselung.

Kerberos ist das Standardauthentifizierungsprotokoll für Windows Server 2003, Windows 2000 und Windows XP Professional. Kerberos
wurde mit dem Ziel entwickelt, sicherer und in großen, heterogenen Netzwerken besser skalierbar zu sein als NTLM. Kerberos
bietet im Vergleich zu NLTM folgende Vorteile:

• Effizienz
  Wenn ein Server einen Client authentifizieren muss, kann der Server die Anmeldeinformationen des Clients überprüfen, ohne
  einen Domänencontroller zu kontaktieren zu müssen.
  
• Gegenseitige Authentifizierung
  Kerberos ermöglicht nicht nur eine Authentifizierung des Clients am Server, sondern auch umgekehrt eine Authentifizierung
  des Servers beim Client.
  
• Delegierte Authentifizierung
  Ermöglicht es Diensten, die Identität von Clients anzunehmen, wenn sie in deren Namen auf Ressourcen zugreifen.
  
• Vereinfachte Verwaltung von Vertrauensstellung
  Kerberos kann transitive Vertrauensstellungen zwischen Domänen innerhalb der gleichen Gesamtstruktur sowie Domänen
  herstellen, die an eine Gesamtstrukturvertrauensstellung angebunden sind.
  
• Interoperabilität
  Kerberos basiert auf den Standards der IETF (Internet Engineering Task Force) und ist aus diesem Grund kompatibel mit
  anderen IETF kompatiblen Kerberos Bereichen.

Erstellt von: Haßlinger Stefan
Im: Jahr 2006