Comment activer l’authentification NTLM 2

  • Article

Cet article explique comment activer l’authentification NTLM 2.

Applicabilité : Windows 10 - Toutes les éditions
Numéro de la base de connaissances d’origine : 239869

Résumé

Historiquement, Windows NT prend en charge deux variantes d’authentification de défi/réponse pour les connexions réseau :

  • Défi/réponse du Gestionnaire lan (LM)
  • Défi/réponse Windows NT (également appelé défi/réponse NTLM version 1) La variante LM permet l’interopérabilité avec la base installée des clients et serveurs Windows 95, Windows 98 et Windows 98 Deuxième Édition. NTLM offre une sécurité améliorée pour les connexions entre les clients et les serveurs Windows NT. Windows NT prend également en charge le mécanisme de sécurité de session NTLM qui assure la confidentialité des messages (chiffrement) et l’intégrité (signature).

Les améliorations récentes apportées au matériel informatique et aux algorithmes logiciels ont rendu ces protocoles vulnérables aux attaques publiées à grande échelle pour obtenir des mots de passe utilisateur. Dans le cadre de ses efforts continus pour fournir des produits plus sécurisés à ses clients, Microsoft a développé une amélioration, appelée NTLM version 2, qui améliore considérablement les mécanismes d’authentification et de sécurité de session. NTLM 2 est disponible pour Windows NT 4.0 depuis la publication du Service Pack 4 (SP4), et il est pris en charge en mode natif dans Windows 2000. Vous pouvez ajouter la prise en charge de NTLM 2 à Windows 98 en installant les extensions clientes Active Directory.

Après avoir mis à niveau tous les ordinateurs basés sur Windows 95, Windows 98, Windows 98 Deuxième édition et Windows NT 4.0, vous pouvez améliorer considérablement la sécurité de votre organization en configurant les clients, les serveurs et les contrôleurs de domaine pour utiliser uniquement NTLM 2 (pas LM ou NTLM).

Plus d’informations

Lorsque vous installez les extensions clientEs Active Directory sur un ordinateur exécutant Windows 98, les fichiers système qui fournissent la prise en charge de NTLM 2 sont également installés automatiquement. Ces fichiers sont Secur32.dll, Msnp32.dll, Vredir.vxd et Vnetsup.vxd. Si vous supprimez l’extension du client Active Directory, les fichiers système NTLM 2 ne sont pas supprimés, car les fichiers fournissent à la fois des fonctionnalités de sécurité renforcées et des correctifs liés à la sécurité.

Par défaut, le chiffrement de sécurité de session NTLM 2 est limité à une longueur de clé maximale de 56 bits. La prise en charge facultative des clés 128 bits est automatiquement installée si le système respecte États-Unis réglementations d’exportation. Pour activer la prise en charge de la sécurité de session 128 bits NTLM 2, vous devez installer Microsoft Internet Explorer 4.x ou 5 et mettre à niveau vers la prise en charge de la connexion sécurisée 128 bits avant d’installer l’extension cliente Active Directory.

Pour vérifier la version de votre installation :

  1. Utilisez windows Explorer pour localiser le fichier Secur32.dll dans le dossier %SystemRoot%\System.
  2. Cliquez avec le bouton droit sur le fichier, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Version . La description de la version 56 bits est « Services de sécurité Microsoft Win32 (version d’exportation) ». La description de la version 128 bits est « Services de sécurité Microsoft Win32 (États-Unis et Canada uniquement) ».

Avant d’activer l’authentification NTLM 2 pour les clients Windows 98, vérifiez que tous les contrôleurs de domaine pour les utilisateurs qui se connectent à votre réseau à partir de ces clients exécutent Windows NT 4.0 Service Pack 4 ou version ultérieure. (Les contrôleurs de domaine peuvent exécuter Windows NT 4.0 Service Pack 6 si le client et le serveur sont joints à différents domaines.) Aucune configuration de contrôleur de domaine n’est requise pour prendre en charge NTLM 2. Vous devez configurer les contrôleurs de domaine uniquement pour désactiver la prise en charge de l’authentification NTLM 1 ou LM.

Activation de NTLM 2 pour les clients Windows 95, Windows 98 ou Windows 98 Deuxième Édition

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour activer un client Windows 95, Windows 98 ou Windows 98 Deuxième Édition pour l’authentification NTLM 2, installez le client des services d’annuaire. Pour activer NTLM 2 sur le client, procédez comme suit :

  1. Démarrez l’Rédacteur du Registre (Regedit.exe).

  2. Recherchez et cliquez sur la clé suivante dans le Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Créez une clé de Registre LSA dans la clé de Registre répertoriée ci-dessus.

  4. Dans le menu Édition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : LMCompatibility
    Type de données : REG_DWORD
    Valeur : 3
    Plage valide : 0,3
    Description : ce paramètre spécifie le mode d’authentification et la sécurité de session à utiliser pour les connexions réseau. Cela n’affecte pas les ouvertures de session interactives.

    • Niveau 0 - Envoyer une réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLM 2. Les clients utilisent l’authentification LM et NTLM, et n’utilisent jamais la sécurité de session NTLM 2 . Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.

    • Niveau 3 - Envoyer la réponse NTLM 2 uniquement. Les clients utilisent l’authentification NTLM 2 et la sécurité de session NTLM 2 si le serveur la prend en charge . Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.

    Remarque

    Pour activer NTLM 2 pour les clients Windows 95, installez le client DFS (Distributed File System), WinSock 2.0 Update et Microsoft DUN 1.3 pour Windows 2000.

  5. Quittez l’Éditeur du Registre.

Remarque

Pour Windows NT 4.0 et Windows 2000, la clé de Registre est LMCompatibilityLevel, et pour les ordinateurs Windows 95 et Windows 98, la clé d’inscription est LMCompatibility.

Pour référence, la plage complète de valeurs pour la valeur LMCompatibilityLevel qui sont prises en charge par Windows NT 4.0 et Windows 2000 est la suivante :

  • Niveau 0 - Envoyer une réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLM 2. Les clients utilisent l’authentification LM et NTLM, et n’utilisent jamais la sécurité de session NTLM 2 ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 1 : utilisez la sécurité de session NTLM 2 si elle est négociée. Les clients utilisent l’authentification LM et NTLM, et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 2 - Envoyer une réponse NTLM uniquement. Les clients utilisent uniquement l’authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 3 - Envoyer la réponse NTLM 2 uniquement. Les clients utilisent l’authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 4 : les contrôleurs de domaine refusent les réponses LM. Les clients utilisent l’authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine refusent l’authentification LM (autrement dit, ils acceptent NTLM et NTLM 2).
  • Niveau 5 : les contrôleurs de domaine refusent les réponses LM et NTLM (acceptent uniquement NTLM 2). Les clients utilisent l’authentification NTLM 2, la sécurité de session NTLM 2 si le serveur la prend en charge ; Les contrôleurs de domaine refusent l’authentification NTLM et LM (ils acceptent uniquement NTLM 2). Un ordinateur client ne peut utiliser qu’un seul protocole pour communiquer avec tous les serveurs. Vous ne pouvez pas le configurer, par exemple, pour utiliser NTLM v2 pour se connecter à des serveurs Windows 2000, puis pour utiliser NTLM pour se connecter à d’autres serveurs. Ce comportement est voulu par la conception même du produit.

Vous pouvez configurer la sécurité minimale utilisée pour les programmes qui utilisent le fournisseur de support de sécurité (SSP) NTLM en modifiant la clé de Registre suivante. Ces valeurs dépendent de la valeur LMCompatibilityLevel :

  1. Démarrez l’Rédacteur du Registre (Regedit.exe).

  2. Recherchez la clé suivante dans le Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Dans le menu Édition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : NtlmMinClientSec
    Type de données : REG_WORD
    Valeur : l’une des valeurs ci-dessous :

    • 0x00000010 - Intégrité des messages
    • 0x00000020 - Confidentialité des messages
    • 0x00080000 - Sécurité de session NTLM 2
    • chiffrement 0x20000000-128 bits
    • 0x80000000- chiffrement 56 bits

  4. Quittez l’Éditeur du Registre.

Si un programme client/serveur utilise le SSP NTLM (ou utilise l’appel de procédure distante sécurisée [RPC], qui utilise le SSP NTLM) pour assurer la sécurité de session d’une connexion, le type de sécurité de session à utiliser est déterminé comme suit :

  • Le client demande tout ou partie des éléments suivants : intégrité des messages, confidentialité des messages, sécurité de session NTLM 2 et chiffrement 128 bits ou 56 bits.
  • Le serveur répond en indiquant les éléments de l’ensemble demandé qu’il souhaite.
  • L’ensemble obtenu est dit avoir été « négocié ».

Vous pouvez utiliser la valeur NtlmMinClientSec pour que les connexions client/serveur négocient une qualité donnée de sécurité de session ou échouent. Toutefois, vous devez noter les éléments suivants :

  • Si vous utilisez 0x00000010 pour la valeur NtlmMinClientSec, la connexion n’aboutit pas si l’intégrité du message n’est pas négociée.
  • Si vous utilisez 0x00000020 pour la valeur NtlmMinClientSec, la connexion échoue si la confidentialité des messages n’est pas négociée.
  • Si vous utilisez 0x00080000 pour la valeur NtlmMinClientSec, la connexion échoue si la sécurité de session NTLM 2 n’est pas négociée.
  • Si vous utilisez 0x20000000 pour la valeur NtlmMinClientSec, la connexion n’aboutit pas si la confidentialité des messages est utilisée, mais que le chiffrement 128 bits n’est pas négocié.