Deaktivieren der LM-Authentifizierung in Windows NT

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 147706 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D147706
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
147706 How to disable LM authentication on Windows NT


Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Vor Windows NT 4.0 Service Pack 4 (SP4) unterstützte Windows NT zwei Arten der Herausforderung/Rückmeldung-Authentifizierung:
  • LanManager (LM) Herausforderung/Rückmeldung
  • Windows NT Herausforderung/Rückmeldung (auch bezeichnet als NTLM Herausforderung/Rückmeldung)
Windows NT unterstützte außerdem Sitzungssicherheit-Mechanismen, die die Vertraulichkeit und Integrität von Nachrichten gewährleisteten.

Um den Zugriff auf Server zu ermöglichen, die nur LM-Authentifizierung unterstützen, verwenden Windows NT-Clients vor SP4 immer beide Arten der Authentifizierung, auch bei Windows NT-Servern, die NTLM-Authentifizierung unterstützen.

Da die LM-Authentifizierung nicht so streng wie die Windows NT-Authentifizierung ist, kann es für einige Benutzer wünschenswert sein, sie zu deaktivieren, da ein Angreifer, der den Netzverkehr belauscht, voraussichtlich das weniger strenge Protokoll attackieren würde. Bei einem erfolgreichen Angriff könnte das Benutzerkennwort gefährdet sein.

Microsoft hat eine Erweiterung für NTLM mit der Bezeichnung NTLMv2 entwickelt, die sowohl die Authentifizierung als auch die Sitzungssicherheit-Mechanismen erheblich verbessert.

Außerdem wurde die Implementierung des NTLM SSP (Security Service Provider) dahingehend erweitert, dass Clients nun kontrollieren können, welche Variablen von NTLM verwendet werden, und dass Server kontrollieren können, welche Variablen sie akzeptieren, indem ein neuer Registrierungsschlüssel entsprechend gesetzt wird. Zudem wird es Clients und Servern ermöglicht, die Aushandlung von Nachrichtenvertraulichkeit (Verschlüsselung), Nachrichtenintegrität, 128-Bit-Verschlüsselung und NTLMv2-Sitzungssicherheit zu verlangen.

Diese Änderungen betreffen die folgenden Windows NT-Komponenten: Alle Anwendungen, die Microsoft Remoteprozeduraufruf (RPC) oder NTLM SSP nutzen, verwenden die hier beschriebene Authentifizierung und Sitzungssicherheit. Die Arbeitsstations- und Serverdienste verwenden die Authentifizierung, verwenden jedoch ihre eigene Sitzungssicherheit.

Hintergrund

Die LM-Authentifizierung ist nicht so streng wie NTLM oder NTLMv2, weil der Algorithmus zulässt, dass Kennwörter mit mehr als 7 Zeichen in 7-Zeichen-Abschnitten attackiert werden. Dadurch wird die wirksame Kennwortsicherheit auf 7 Zeichen beschränkt, die sich aus Großbuchstaben des Alphabets, numerischen und Satzzeichen sowie 32 ALT-Sonderzeichen zusammensetzen können. Dazu kommt, dass Benutzer häufig nur von Zeichen des Alphabets Gebrauch machen.

Dagegen nutzt die NTLM-Authentifizierung alle 14 Zeichen des Kennworts und ermöglicht zudem die Eingabe von Kleinbuchstaben. Auch wenn ein Angreifer, der das Windows NT-Authentifizierungsprotokoll belauscht, dieses auf die gleiche Weise wie das LM-Authentifizierungsprotokoll attackieren kann, würde es viel länger dauern, bis ein solcher Angriff erfolgreich wäre. Wenn das Kennwort streng genug gewählt wurde, würde es mit einem Pentium Pro-Computer mit 200 MHz durchschnittlich 2.200 Jahre dauern, die aus dem Kennwort abgeleiteten Schlüssel zu finden, und 5.500 Jahre, das Kennwort selbst zu finden (bzw. 2,2 Jahre und 5,5 Jahre bei 1.000 Computern dieses Typs, etc.).

Hinweis: Diese Schätzung basiert auf der Rate, mit der der neueste "DES Challenge"-Code von RSA Labs DES-Schlüssel auf einem Pentium Pro mit 200 MHz testet: 1.000.000/Sekunde; Anzahl der DES-Schlüssel: 2**56 oder 7,2*10**16. Weitere Informationen zu "DES Challenge" finden Sie auf der folgenden Website:
http://www.rsasecurity.com/node.asp?id=2438
Andererseits kann ein Kennwort, das nicht streng genug gewählt wurde, mit Hilfe eines Wörterbuchs innerhalb von Sekunden herausgefunden werden.

Ein "ausreichend strenges" Kennwort sollte aus mindestens 11 Zeichen bestehen, von denen mindestens 4 Zeichen aus Großbuchstaben, Zahlen oder Satzzeichen bestehen. Selbst wenn die restlichen 7 Zeichen aus Text in Kleinbuchstaben mit niedriger Arbitrarität (zum Beispiel 3 Bit pro Zeichen) bestehen, ergibt dies eine Anzahl von möglichen Kombinationen, die über den DES-Schlüsselbereich von 7,2*10**16 Kombinationen hinausgeht, und das Kennwort findet sich nicht in Wörterbüchern.

Es gibt allerdings Hardwarebeschleuniger, deren Kosten in der Größenordnung von ca. 250.000 ? liegen, die einen von einem LM- oder NTLM-Kennwort abgeleiteten Schlüssel unabhängig von der Länge des Kennworts in 3-6 Tagen herausfinden. Diese Zeiträume verringern sich mit fortschreitender technischer Entwicklung. Aktuelle statistische Zahlen und Details finden Sie auf folgender Website:
http://www.eff.org/
Ein Angreifer, der den von einem Kennwort abgeleiteten Schlüssel eines Benutzers herausgefunden hat, kann sich nicht interaktiv anmelden, diese Informationen reichen jedoch aus, mit Hilfe spezieller Software als dieser Benutzer auf Netzwerkressourcen zuzugreifen.

Bei NTLMv2 beträgt der Schlüsselbereich für von Kennwörtern abgeleitete Schlüssel 128 Bit. Dies verhindert effektiv die Kennwortsuche mit reiner Rechnerleistung, selbst mit Hardwarebeschleunigern, wenn das Kennwort streng genug gewählt wurde.

Wenn sowohl Client als auch Server SP4 verwenden, wird die erweiterte NTLMv2-Sitzungssicherheit ausgehandelt. Diese bietet separate Schlüssel für die Nachrichtenintegrität und -vertraulichkeit sowie Clienteingabe bei der Herausforderung, um ausgewählte Nur-Text-Angriffe zu verhindern. Außerdem nutzt NTLMv2 den HMAC-MD5-Algorithmus (siehe RFC 2104), um die Nachrichtenintegrität zu überprüfen.

Da die Datagrammvariable von NTLM keinen Aushandlungsschritt beinhaltet, muss die Verwendung anderweitig ausgehandelter Optionen, wie NTLMv2-Sitzungssicherheit und 128-Bit-Verschlüsselung für Nachrichtenvertraulichkeit, konfiguriert werden.

Weitere Informationen

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.


Die Steuerung der NTLM-Sicherheit erfolgt über den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
Hinweis: Unter Win9x heißt der gültige Registrierungsschlüssel LMCompatibility, unter Windows NT LMCompatibilityLevel.

Die Auswahl der verwendeten und akzeptierten Authentifizierungsprotokollvariablen erfolgt über den folgenden Wert dieses Schlüssels:
   Wert: LMCompatibilityLevel
   Werttyp: REG_DWORD - Zahl
   Gültiger Bereich: 0-5
   Standard: 0
   Beschreibung: Dieser Parameter gibt den zu verwendenden Authentifizierungstyp an


   Level 0 - LM- und NTLM-Rückmeldung senden; nie NTLMv2-Sitzungssicherheit verwenden

   Stufe 1 - NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt
   Stufe 2 - Nur NTLM-Authentifizierung senden
   Stufe 3 - Nur NTLMv2-Authentifizierung senden
   Stufe 4 - DC lehnt LM-Authentifizierung ab
   Stufe 5 - DC lehnt LM- und NTLM-Authentifizierung ab (akzeptiert nur NTLMv2)
				
Hinweis: Die Authentifizierung dient zum Einrichten einer Sitzung (Benutzername/Kennwort). Die Sitzungssicherheit wird verwendet, wenn eine Sitzung über den entsprechenden Authentifizierungstyp eingerichtet wurde. Die Systemzeiten sollten zudem höchstens 30 Minuten voneinander abweichen, da sonst die Authentifizierung fehlschlagen kann, weil der Server annimmt, dass die Client-Herausforderung die Zeit überschritten hat.

Die Steuerung der für Anwendungen über NTLMSSP ausgehandelten minimalen Sicherheit erfolgt über den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Dieser Schlüssel weist die folgenden Werte auf:
   Wert: NtlmMinClientSec
   Werttyp: REG_DWORD - Zahl
   Gültiger Bereich: das logische 'oder' eines der folgenden Werte:
      0x00000010
      0x00000002
      0x00080000
      0x20000000
   Standard: 0

   Wert: NtlmMinServerSec
   Werttyp: REG_DWORD - Zahl
   Gültiger Bereich: wie NtlmMinClientSec
   Standard: 0
   Beschreibung: Dieser Parameter gibt die zu verwendende minimale Sicherheit an
      0x00000010  Nachrichtenintegrität
      0x00000020  Nachrichtenvertraulichkeit
      0x00080000  NTLMv2-Sitzungssicherheit
      0x20000000  128-Bit-Verschlüsselung
				

LMCompatibilityLevel - Clients

Wichtig: Damit ein SP4-Client Stufe 3 oder höher wählen kann, MÜSSEN die Domänencontroller für die Kontodomänen des Benutzers bei allen Benutzern, die den Client verwenden (im Folgenden als "Benutzer-Domänencontroller" bezeichnet), auf SP4 aktualisiert worden sein.

Wenn ein SP4-Client die Standardstufe 0 wählt, erfolgt die Interaktion mit früheren Servern exakt wie unter Service Pack 3 (SP3).

Wenn ein SP4-Client die Standardstufe 1 wählt, erfolgt die Interaktion mit früheren Servern exakt wie unter Service Pack 3 (SP3). Zusätzlich wird mit SP4-Servern NTLMv2-Sitzungssicherheit ausgehandelt.

Wichtig: Wenn bei Verwendung von Stufe 1 oder höher die letzte Kennwortänderung über einen Windows für Workgroups oder MS-DOS LanManager 2.x-Client (oder früher) erfolgte, stehen die für NTLM- und NTLMv2-Authentifizierung erforderlichen Daten auf dem Domänencontroller nicht zur Verfügung, und SP4-Clients können keine Verbindung zu SP4-Servern herstellen. Um dies zu umgehen, verwenden Sie Stufe 0 oder ändern Sie Kennwörter immer über einen Windows NT-, Windows 95- oder Windows 98-Client.

Wenn ein SP4-Client Stufe 2 wählt, kann er keine Verbindung zu Servern herstellen, die nur LM-Authentifizierung unterstützen, wie Windows 95, Windows 98, Windows für Workgroups und früher (im Folgenden als "Vorgänger-LM-Clients/Server" bezeichnet), sofern die Benutzer-Domänencontroller nicht aktualisiert wurden.

Wenn ein SP4-Client Stufe 3 oder höher wählt, sendet er immer die neue NTLMv2-Rückmeldung. Diese Rückmeldung kann über Vorgänger-LM-Server und "SP3 oder früher" Windows NT-Server und ihre Domänencontroller erfolgen, sofern die Benutzer-Domänencontroller auf SP4 aktualisiert wurden. Wenn beispielsweise ein SP4-Client Stufe 3 oder höher wählt, MUSS der Benutzer-Domänencontroller ebenfalls auf SP4 aktualisiert worden sein. Diese Rückmeldung funktioniert jedoch nicht mit Vorgänger-LM-Servern im Freigabeebenen-Sicherheitsmodus mit Nicht-Null-Kennwörtern. Um dies zu umgehen, sollten diese Server auf die Verwendung von Benutzerebenen-Sicherheit konfiguriert werden.

LMCompatibilityLevel - Server/Domänencontroller

Wenn ein SP4-Server Stufe 4 oder höher wählt, kann ein Benutzer mit einem lokalen Konto auf diesem Server keine Verbindung von einem Vorgänger-LM-Client herstellen, der dieses lokale Konto verwendet.

Wenn ein SP4-Domänencontroller Stufe 4 oder höher wählt, kann ein Benutzer mit einem Konto in dieser Domäne keine Verbindung zu einem Mitgliedsserver von einem Vorgänger-LM-Client herstellen, der dieses Domänenkonto verwendet. Stufe 4 bedeutet also, dass alle Benutzer mit Konten auf einem Server oder einer Domäne Windows NT für die Verbindungsherstellung verwenden müssen.

Wenn ein SP4-Server Stufe 5 oder höher wählt, kann ein Benutzer mit einem lokalen Konto auf diesem Server keine Verbindung von einem "SP3 oder früher" Windows NT-Client herstellen, der dieses lokale Konto verwendet.

SP4-Clients, die Stufe 0 oder 1 wählen, können weiterhin die Verbindung zu SP4-Servern (selbst mit konfigurierter Stufe 1 oder 3) herstellen, müssen jedoch sowohl das Windows NT-Protokoll als auch das weniger strenge LM-Protokoll verwenden. Sie können zudem die Verbindung zu Vorgänger-LM-Servern herstellen, selbst wenn die Benutzer-Domänencontroller nicht aktualisiert wurden.

Bereitstellung

Aufgrund der oben angestellten Überlegungen sollte bei einem Einsatz von NTLMv2 folgendermaßen vorgegangen werden:
  1. Aktualisieren Sie die Domänencontroller, auf denen die Konten aller Benutzer gespeichert sind, die NTLMv2 verwenden sollen.
  2. Clients und Server können noch vor der Aktualisierung der Domänencontroller auf SP4 aktualisiert werden, um erweiterte Sicherheit bei der Verbindung von SP4 zu SP4 mit gesetzter Stufe 1 zu nutzen.
  3. Wenn Schritt 1 abgeschlossen ist, können einzelne Systeme, die bereits auf SP4 aktualisiert wurden, mit Stufe 3 oder höher beginnen.
  4. Wenn Benutzer in einigen Kontodomänen nie auf Ressourcen von Vorgänger-LM-Clients zugreifen müssen, können die Domänencontroller dieser Domäne auf Stufe 4 gesetzt werden; nachdem alle Systeme dieser Benutzer auf SP4 aktualisiert wurden, können die Domänencontroller dieser Domäne auf Stufe 5 gesetzt werden.

NtlmMinClientSec und NtlmMinServerSec

Wenn das Bit mit dem Wert 0x00000010 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine Nachrichtenintegrität ausgehandelt wird.

Wenn das Bit mit dem Wert 0x00000020 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine Nachrichtenvertraulichkeit ausgehandelt wird.

Wenn das Bit mit dem Wert 0x00080000 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine NTLMv2-Sitzungssicherheit ausgehandelt wird.

Wenn das Bit mit dem Wert 0x20000000 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine 128-Bit-Verschlüsselung ausgehandelt wird.

Hinweis: Diese Einstellungen garantieren nicht, dass NTLM SSP tatsächlich von jeder Anwendung verwendet wird, oder dass Nachrichtenintegrität oder -vertraulichkeit, selbst wenn sie ausgehandelt wurde, tatsächlich von einer Anwendung verwendet wird.

Lösung

Installieren Sie das neueste Service Pack für Windows NT 4.0 oder Windows NT Server 4.0, Terminal Server Edition, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
152734 Bezugsquellen für das aktuelle Windows NT 4.0 Service Pack



Führen Sie nach der Installation von SP4 die folgenden Schritte durch, um die LM-Kompatibilitätsstufe auf Windows NT-Arbeitsstationen und -Servern zu konfigurieren:
  1. Starten Sie den Registrierungseditor (regedt32.exe).
  2. Öffnen Sie in der Teilstruktur HKEY_LOCAL_MACHINE den folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  4. Fügen Sie die folgenden Werte hinzu:
    Wertname: LMCompatibilityLevel
          Datentyp: REG_DWORD
          Wert:  0 (Standard) bis 5 wie oben definiert
    					
  5. Öffnen Sie in der Teilstruktur HKEY_LOCAL_MACHINE den folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  7. Fügen Sie die folgenden Werte hinzu:
     Wertname: NtlmMinClientSec
          Datentyp: REG_DWORD
          Wert:  0 (Standard) oder wie oben definiert
    
          Name: NtlmMinServerSec
          Datentyp: REG_DWORD
          Wert:  0 (Standard) oder wie oben definiert
    					
  8. Klicken Sie auf OK und beenden Sie den Registrierungseditor.
  9. Beenden und starten Sie Windows NT neu.

Eigenschaften

Artikel-ID: 147706 - Geändert am: Freitag, 7. April 2006 - Version: 3.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows für Workgroups 3.2
  • Microsoft Windows 95
Keywords: 
kbqfe kbhotfixserver kbbug kberrmsg kbfea kbfile kbfix KB147706
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com