Vypnutí ověřování LM v systému Windows NT

Překlady článku Překlady článku
ID článku: 147706 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Před systémem Windows NT 4.0 Service Pack 4 (SP4), Windows NT podporován dvě druhy ověřování výzvou a odpovědí:
  • Výzva a odezva LanManager (LM)
  • Výzva a odpověď systému Windows NT (také označované jako NTLM typu výzva a odpověď)
Systém Windows NT také podporovány mechanismy zabezpečení relace, které podle zpráva důvěrnosti a integrity.

Povolit přístup k serverům, že pouze ověřování LM odborné pomoci systému Windows NT klienty před SP4 vždy používat, i pro servery Windows NT, podporováno ověřování NTLM.

Není tak pevné jako ověřování systému Windows NT tak některé ověřování LM Zákazníci pravděpodobně chtít zakázat její užívání, protože útočník v odposlouchávání síťové přenosy budou útoku slabší protokolu. Úspěšný útok může ohrožení hesla uživatele.

Společnost Microsoft vyvinula rozšíření NTLM, nazývané NTLM verze 2 výrazně zlepšuje ověřování a zabezpečení relace mechanismy.

Kromě implementace zprostředkovatele pro služby zabezpečení NTLM (SSP) Vylepšené umožnit klientům ovládání, které jsou varianty NTLM použít a povolit serverům varianty, které přijímají, pomocí ovládacího prvku nastavení nového klíče registru správně. Umožňuje klientům a serverům požadovat vyjednávání důvěrnosti zprávy (šifrování) integrity zprávy, 128bitového šifrování a zabezpečení relace NTLM verze 2.

Tyto změny mají vliv následující součásti systému Windows NT: libovolné aplikace který používá Microsoft vzdáleného volání procedur (RPC) nebo která používá NTLM SSP Použijte ověřování a zabezpečení relace, které jsou popsané zde. Na Ověřování pomocí služby Workstation a Server, ale podporují vlastní relace zabezpečení.

Pozadí

Ověřování LM není tak pevné jako NTLM nebo ověřování NTLMv2 protože algoritmus umožňuje hesla delší než 7 znaků k útoku na 7 znakem bloky. Toto nastavení omezuje účinná hesla síla 7 znaků nakreslených ze sady velká písmena abecedy, numerické a interpunkce Plus 32 speciální znaky ALT. Uživatelé často není ani využít nic více než abecední znaky.

Na rozdíl od ověřování NTLM využívá všech 14 znaků heslo a malá písmena. Proto i když útočník naslouchání protokolu ověřování systému Windows NT můžete útoku v stejným způsobem jako ověřovací protokol LM, bude trvat mnohem déle útok úspěšný. Pokud je dostatečně silné heslo, bude trvat jeden 200 MHz Pentium Pro počítač průměrně 2,200 let najít klíče odvozené z a 5,500 let vyhledejte heslo sám (nebo 2.2 let a 5.5 let s 1 000 těchto počítačů a tak dále).

POZNÁMKA:: Tento odhad je založen na rychlost, kterou nedávné RSA Labs "DES Výzva"kód testuje klíče DES na 200 MHz Pentium Pro: 1,000,000/druhé; a počet klíčů DES: 2 ** 56 nebo 7.2 * 10 ** 16. Další informace o "DES Challenge", naleznete na následujícím webu:
http://www.RSA.com
Na druhé straně, pokud heslo není dostatečně silné vyhledávacího slovníku najdete ji v sekundách.

Jedním možným způsobem získání "dostatečně silné" heslo je ji na nejméně 11 znaků, s nejméně 4 znaky velká písmena, čísla nebo interpunkční znaménko. I v případě, že jsou zbývající 7 znaků. malá nízké náhodnosti text s (například) 3 bity náhodnosti za znak, získáte více než DES daného klíče místo 7.2 * 10 ** 16 možných kombinace a heslo, nebude ve slovnících.

Hardwarové akcelerátory ocenění $ 250 000 jsou však součástí která mohou v 3-6 dnů bez ohledu na to, jak najděte LM nebo NTLM heslo odvozené klíče heslo je dlouhý. Tato čísla se získává lepší technologie mění. Aktuální statistické údaje a podrobnosti naleznete na následujícím webu:
http://www.eff.org
S klíč odvozen heslo uživatele neumožňuje útočníkovi přihlášení na interaktivní však pomocí speciálního softwaru je dostatečná pro přístup k síťové prostředky jako daný uživatel.

Protokol NTLMv2 je klíče prostor pro heslo odvozené klíče 128 bitů. Díky hledání hrubou silou nemožné i s hardwarové akcelerátory, pokud je dostatečně silné heslo.

Používáte klienta a server SP4, rozšířené relace NTLMv2 zabezpečení je vyjednáno. Poskytuje různé klíče pro integritu zpráv a důvěrnost a klient vstup do challenge zabránit zvolené útoky na prostý text, a díky použití algoritmu HMAC-MD5 (viz dokument RFC 2104) pro kontrolu integrity zprávy.

Protože není krok vyjednávání variantu datagram protokolu NTLM, použití z jinak vyjednávací možnosti, například zabezpečení relace NTLM verze 2 a 128- bit šifrování pro důvěrnost zpráv, musí být nakonfigurována.

Další informace

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows


Kontrola zabezpečení NTLM je pomocí následujícího klíče registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
POZNÁMKA:: Na Win9x je platné registru klíč registru LMCompatibility v systému Windows NT je LMCompatibilityLevel.

Výběr varianty ověřování protokol používá a přijal je prostřednictvím následující hodnota tohoto klíče:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
POZNÁMKA:: Ověřování se používá k vytvoření relace (uživatelské jméno a heslo). Relace zabezpečení používá se po vytvoření relace pomocí odpovídajícího typu ověřování. Také časy systému by měla být do 30 minut jeden. Ověření selhat, protože server bude považovat že Challenge od klienta vypršela.

Kontrolu nad minimální zabezpečení pro aplikace používající NTLMSSP je prostřednictvím následujícího klíče:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Pro tento klíč, jsou následující hodnoty:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - klienti

DŮLEŽITÉ: Pro klienta SP4 zvolit úroveň 3 nebo vyšší řadiče domény pro uživatelský účet domény pro všechny uživatele, kteří budou používat klienta (dále jen, "uživatelů řadičů domény") musí byly inovovány na aktualizaci SP4.

Pokud se rozhodne klientem SP4 úroveň 0, což je výchozí nastavení, bude spolupracovat s starší servery, stejně jako s aktualizací Service Pack 3 (SP3).

Klientem SP4 vybere-li úroveň 1, ji bude spolupracovat s starší servery stejně jako v aktualizaci Service Pack 3 (SP3). Kromě toho bude vyjednávat Zabezpečení relace NTLM verze 2 s aktualizací SP4 servery.

DŮLEŽITÉ: Při použití úrovně 1 nebo vyšší, je-li poslední změny hesla pochází ze systému Windows pro pracovní skupiny nebo MS-DOS LanManager klienta 2.x nebo starší, údaje potřebné pro ověřování NTLM a NTLM verze 2 nebude k dispozici v řadiči domény, a SP4 klienti nebudou moci připojit k serverům s aktualizací SP4. Řešením je použít úroveň 0 nebo změnit hesla vždy z klienta se systémem Windows NT, Windows 95 nebo Windows 98.

Pokud klientovi SP4 vybere úroveň 2, nebude moci připojit k serverům podporují ověřování LM, jako je například systém Windows 95, Windows 98, Windows for Workgroups a starší (dále jen "starších LM Klienti a servery"), pokud byly inovovány řadiče domény uživatelů.

Pokud klientovi SP4 vybere úroveň 3 nebo vyšší, vždy odešle nový Odpovědi NTLM verze 2. Tato odpověď může projít servery starších verzí LM a Aktualizace SP3 nebo starší servery Windows NT a stejně dlouhý jako řadiče domény řadiče domény uživatelů byly inovovány na aktualizaci SP4. Například pokud SP4 klient vybere úroveň 3 nebo vyšší, musí řadiče domény uživatelů byly inovovány na aktualizaci SP4 také. Avšak tato odpověď nemusí fungovat s nižší úrovně LM servery v režimu sdílení úroveň zabezpečení s jinou hodnotu než null hesla. Řešením je nakonfigurovat k použití uživatelská úroveň zabezpečení.

LMCompatibilityLevel - servery/DCs

Pokud server SP4 vybírá úroveň 4 nebo vyšší, uživatel s místním účtem na server nebude moci připojit z klienta starší verze LM pomocí místního účtu.

Pokud vybere řadič domény aktualizací SP4 úroveň 4 nebo vyšší, uživatel s účet v doméně nebude moci připojit k žádnému členskému serveru z klienta starší verze LM pomocí účtu domény. Tedy znamená úroveň 4 zda mají všichni uživatelé s účty na serveru nebo v doméně systému Windows používat NT připojit.

Pokud server SP4 vybere úroveň 5 nebo vyšší, uživatel s místním účtem na server nebude moci připojit k němu z aktualizací SP3 nebo nižší Klient systému Windows NT pomocí místního účtu.

Klienti SP4 výběr úrovně 0 nebo 1 bude možné se připojit k aktualizaci SP4 servery, dokonce i s úrovní 1 nebo 3, které jsou nakonfigurovány, ale používat i Protokol systému Windows NT a slabší protokol LM. Budou také moci připojení na servery nižší úrovně LM, i v případě řadičů domény uživatelů nebyla upgradována.

Nasazení

Z důvodu výše uvedené úvahy, pokud je dáváte přednost nasazení NTLMv2, by měly být provedeny následující kroky:
  1. Inovujte řadiče domény, kde jsou uloženy na účty pro všechny uživatele, které chcete použít ověřování NTLMv2.
  2. Ještě dříve, než dokončení inovace řadičů domény klienty a servery mohou být inovovány na aktualizaci SP4 a získá rozšířeného zabezpečení při připojování SP4 na aktualizaci SP4 nastavením úrovně 1.
  3. Po dokončení kroku 1 jednotlivých systémů, které již byly inovovány na aktualizaci SP4, můžete spustit nastavení úrovně 3 nebo vyšší.
  4. Pokud uživatelé v některé domény účtu nikdy potřebují přístup k prostředkům z klientů nižší úrovně LM, řadičů domény v dané doméně může mít jejich úroveň nastavena na 4 a po všech těchto uživatelů systémů byly inovovány na aktualizaci SP4, řadiče domény v dané doméně může mít jejich úroveň nastaven na hodnotu 5.

Klíče a NtlmMinServerSec

Pokud je v NtlmMinClientSec nastavena bit s hodnotou 0x00000010 nebo Hodnota NtlmMinServerSec, připojení se nezdaří, je-li integritu zpráv není vyjednáno.

Pokud je v NtlmMinClientSec nastavena bit s hodnotou 0x00000020 nebo Hodnota NtlmMinServerSec, připojení se nezdaří, pokud důvěrnost zpráv je vyjednáno.

Pokud je v NtlmMinClientSec nastavena bit s hodnotou 0x00080000 nebo Hodnota NtlmMinServerSec, připojení se nezdaří, pokud zabezpečení relace NTLM verze 2 je vyjednáno.

Pokud je v NtlmMinClientSec nastavena bit s hodnotou 0x20000000 nebo Hodnota NtlmMinServerSec, připojení se nezdaří, pokud je 128bitové šifrování není vyjednáno.

POZNÁMKA:: Toto nastavení není zaručeno, že NTLM SSP skutečně používané každé žádosti nebo že integrity zprávy nebo důvěrnost skutečně použije aplikaci i v případě, že jsou domluvena.

Řešení

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows NT 4.0 nebo Windows NT Server 4.0, Terminal Server Edition. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
152734 Jak získat nejnovější aktualizaci service pack pro systém Windows NT 4.0


Po instalaci aktualizace SP4, proveďte následující kroky konfigurace LM Úroveň kompatibility v systému Windows NT pracovní stanice a servery:
  1. Spusťte Editor registru (Regedt32.exe).
  2. Z podstromu HKEY_LOCAL_MACHINE přejděte na následující klíč:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu.
  4. Přidejte následující hodnoty:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. Z podstromu HKEY_LOCAL_MACHINE přejděte na následující klíč:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. V nabídce Úpravy klepněte na příkaz Přidat hodnotu.
  7. Přidejte následující hodnoty:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Klepněte na tlačítko OK a potom ukončete Editor registru.
  9. Vypnutí a restartování systému Windows NT.

Vlastnosti

ID článku: 147706 - Poslední aktualizace: 23. dubna 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 95
Klíčová slova: 
kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix kbmt KB147706 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:147706

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com