Compartilhar via

Verificador de Aplicativos – Parar Códigos – NTLM

Os códigos de parada a seguir estão contidos neste conjunto de testes.

AcquireCredentialsHandle adquire a credencial NTLM explicitamente.

causa provável

AcquireCredentialsHandle é chamado direta ou indiretamente pelo aplicativo com pszPackage = 'NTLM'. 'Negociar' deve ser usado para corrigir esse problema. Um exemplo de chamada incorreta: AcquireCredentialsHandle( ... 'NTLM', // pszPackage ... ); Um exemplo de boa chamada: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage ... ); Consulte a ajuda para obter informações mais detalhadas sobre esse código de parada.

Informações exibidas pelo Verificador de Aplicativos
  • parâmetro 1 – Não usado.
  • parâmetro 2 – Não usado.
  • parâmetro 3 – Não usado.
  • parâmetro 4 – Não usado.

Informações Adicionais
  • Camada de Teste: NTLMCaller
  • Parar ID: ACH_EXPLICIT_NTLM_PACKAGE
  • Parar código: 5000000
  • severidade do : erro de 
  • erro único: não
  • relatório de erro : interrupção do 
  • Log no arquivo: sim
  • Criar backtrace: sim

AcquireCredentialsHandle prefere credenciais NTLM. Consulte Param1 para obter o valor de PackageList.

causa provável

AcquireCredentialsHandle é chamado direta ou indiretamente pelo aplicativo com pszPackage = 'Negotiate'. No entanto, o NTLM é preferencial na credencial fornecida (pAuthData). Um exemplo de chamada incorreta: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList é 'NTLM' ou 'NTLM, KERBEROS' etc. ... ); Um exemplo de boa chamada: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList = NULL ou NTLM é menos preferencial. ... ); Consulte a ajuda para obter informações mais detalhadas sobre esse código de parada.

Informações exibidas pelo Verificador de Aplicativos
  • Formato : – lista de pacotes : %.*hs%.*ws
  • parâmetro 1 – PackageList.
  • parâmetro 2 – Não usado.
  • parâmetro 3 – Não usado.
  • parâmetro 4 – Não usado.

Informações Adicionais
  • Camada de Teste: NTLMCaller
  • Parar ID: ACH_IMPLICITLY_USE_NTLM
  • Parar código: 5000001
  • severidade do : erro de 
  • erro único: não
  • relatório de erro : interrupção do 
  • Log no arquivo: sim
  • Criar backtrace: sim

AcquireCredentialsHandle usa erroneamente '-NTLM' para excluir a credencial NTLM. Consulte Param1 para obter o valor de PackageList.

causa provável

AcquireCredentialsHandle é chamado direta ou indiretamente pelo aplicativo com credencial fornecida (pAuthData), na qual '-NTLM' é usado erroneamente para excluir a credencial NTLM. '! O NTLM' deve ser usado para corrigir esse problema. Um exemplo de chamada incorreta: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList usa '-NTLM'. ... ); Um exemplo de boa chamada: AcquireCredentialsHandle( ... 'Negotiate', // pszPackage... pAuthData, // pAuthData, ((SEC_WINNT_AUTH_IDENTITY_EX*)pAuthData)->PackageList usa '! NTLM'. ... ); Consulte a ajuda para obter informações mais detalhadas sobre esse código de parada.

Informações exibidas pelo Verificador de Aplicativos
  • Formato : – PackageList: %.*hs%.*ws
  • parâmetro 1 – PackageList.
  • parâmetro 2 – Não usado.
  • parâmetro 3 – Não usado.
  • parâmetro 4 – Não usado.

Informações Adicionais
  • Camada de Teste: NTLMCaller
  • Parar ID: ACH_BAD_NTLM_EXCLUSION
  • Parar código: 5000002
  • severidade do : erro de 
  • erro único: não
  • relatório de erro : interrupção do 
  • Log no arquivo: sim
  • Criar backtrace: sim

InitializeSecurityContext usa destino NULL ou destino malformado para o serviço Kerberos. Consulte pszTargetName para obter o valor do destino.

causa provável

InitializeSecurityContext é chamado direta ou indiretamente pelo aplicativo com pszTargetName sendo NULL ou malformado, com o qual Kerberos não pode ser negociado. As diretrizes para corrigir esse problema para usar Kerberos são fornecidas como abaixo: (1) O serviço que o aplicativo cliente autentica deve ter seu SPN registrado exclusivamente em sua floresta; (2) O serviço deve ser executado sob a identidade, o usuário do domínio ou a conta de computador, com este SPN registrado; (3) InitializedSecuirtyContext deve ser chamado com esse SPN. Um exemplo de chamada incorreta: InitializeSecurityContext( ... NULL, // pszTargetName ... ); Outro exemplo de chamada incorreta: InitializeSecurityContext( ... '\\\\localhost', // pszTargetName ... ); Um exemplo de boa chamada: InitializeSecurityContext( ... 'myservice/mymachine.mydomain.com', // pszTargetName, myservice/mymachine.mydomain.com é um SPN registrado exclusivamente no qual o serviço é executado. ... ); Consulte a ajuda para obter informações mais detalhadas sobre esse código de parada.

Informações exibidas pelo Verificador de Aplicativos
  • Formato : – pszTargetName: %hs%ws
  • parâmetro 1 – Não usado.
  • parâmetro 2 – Não usado.
  • parâmetro 3 – Não usado.
  • parâmetro 4 – Não usado.

Informações Adicionais
  • Camada de Teste: NTLMCaller
  • Parar ID: ISC_MALFORMED_TARGET
  • Parar código: 5000003
  • severidade do : erro de 
  • erro único: não
  • relatório de erro : interrupção do 
  • Log no arquivo: sim
  • Criar backtrace: sim

O aplicativo cliente faz downgrade para usar a autenticação NTLM como resultado da negociação. Consulte pAuthData para obter mais detalhes. pAuthData mostra a credencial e o destino usados para essa negociação.

causa provável

O aplicativo cliente faz downgrade para usar a autenticação NTLM como resultado da negociação. Pode haver muitas razões para esse problema. As diretrizes para solucionar esse problema são fornecidas como abaixo: (1) Ative a camada do appverifier NTLMCaller se ela não estiver ativada. Essa camada capturará problemas conhecidos que podem causar o downgrade; (2) Se pszTargetName for um SPN, verifique se esse SPN está registrado exclusivamente na floresta (o SPN não pode estar ausente ou duplicado); (3) O SPN deve ser pesquisado pelo sistema cliente que executa o aplicativo cliente; (4) O serviço deve ser executado em uma identidade com sua credencial Kerberos disponível; (5) O cenário deve ser revisado por especialistas em segurança do Windows. Consulte a ajuda para obter informações mais detalhadas sobre esse código de parada.

Informações exibidas pelo Verificador de Aplicativos
  • Formato : – pAuthData: %ws \n\tUser: %hs%ws \n\tDomain: %hs%ws \npszTargetName: %hs%ws
  • parâmetro 1 – Não usado.
  • parâmetro 2 – Não usado.
  • parâmetro 3 – Não usado.
  • parâmetro 4 – Não usado.

Informações Adicionais
  • Camada de Teste: NTLMDowngrade
  • Parar ID: FALLBACK_TO_NTLM
  • Parar código: 5010000
  • severidade : aviso de 
  • erro único: não
  • relatório de erro : Nenhum
  • Log no arquivo: sim
  • Criar backtrace: sim

Consulte Também

Verificador de Aplicativos – Parar códigos e definições

Verificador de Aplicativos – Visão geral

Verificador de Aplicativos – Recursos

Verificador de Aplicativos – Testando aplicativos

Verificador de Aplicativos – Testes no Verificador de Aplicativos

Verificador de Aplicativos – Depuração do Verificador de Aplicativos para

Verificador de Aplicativos – Perguntas frequentes

  • Last updated on