Τρόπος απενεργοποίησης του ελέγχου ταυτότητας LM στα Windows NT

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 147706 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Πριν να τα Windows NT 4.0 Service Pack 4 (SP4), τα Windows NT υποστηρίζει δύο τύπους ελέγχου ταυτότητας πρόκλησης/απόκρισης:
  • Πρόκληση/απόκριση LanManager (LM)
  • Πρόκληση/απόκριση των Windows NT (γνωστή και ως πρόκλησης/απόκρισης NTLM)
Τα Windows NT υποστηρίζεται επίσης μηχανισμούς ασφαλείας περιόδου λειτουργίας που παρέχονται για εμπιστευτικότητα μηνύματος και ακεραιότητας.

Για να επιτρέψετε την πρόσβαση σε διακομιστές που υποστηρίζουν μόνο τον έλεγχο ταυτότητας LM, πριν να SP4 πάντα προγράμματα-πελάτες των Windows NT χρησιμοποιούν και τα δύο, ακόμα και σε διακομιστές των Windows NT που υποστηρίζεται έλεγχος ταυτότητας NTLM.

Τον έλεγχο ταυτότητας LM δεν είναι τόσο ισχυροί ως έλεγχος ταυτότητας των Windows NT ώστε ορισμένοι πελάτες μπορεί να θέλετε να απενεργοποιήσετε τη χρήση, επειδή ένας εισβολέας ωτακουστία κυκλοφορία δικτύου θα προσβάλλουν το πρωτόκολλο ασθενέστερο. Μια επιτυχημένη επίθεση μπορεί να θέσει σε κίνδυνο τον κωδικό πρόσβασης του χρήστη.

Microsoft έχει αναπτύξει μια βελτίωση για να κληθεί μόνο που βελτιώνει σημαντικά τον έλεγχο ταυτότητας και μηχανισμούς ασφαλείας περιόδου λειτουργίας NTLM.

Επιπλέον, η εφαρμογή από την υπηρεσία παροχής τ/Υ ασφαλείας NTLM (SSP) είναι βελτιωμένη για να επιτρέψετε σε προγράμματα-πελάτες να ελέγχουν το ποιες παραλλαγές του NTLM χρησιμοποιούνται και για να επιτρέψετε σε διακομιστές για να ελέγχουν το ποιες παραλλαγές θα δέχονται, ορίζοντας ένα νέο κλειδί μητρώου κατάλληλα. Επίσης, επιτρέπει στους υπολογιστές-πελάτες και διακομιστές, ώστε να απαιτεί τη διαπραγμάτευση των μηνυμάτων εχεμύθεια (κρυπτογράφηση), ακεραιότητα μηνύματος, κρυπτογράφηση 128-bit και ασφάλεια περιόδου NTLMv2.

Αυτές οι αλλαγές επηρεάζουν τα ακόλουθα στοιχεία των Windows NT: οποιαδήποτε εφαρμογή που χρησιμοποιεί Microsoft κλήση απομακρυσμένης διαδικασίας (RPC) ή που χρησιμοποιεί το SSP του NTLM, χρησιμοποιήστε τον έλεγχο ταυτότητας και την περίοδο λειτουργίας ασφαλείας που περιγράφεται στο παρόν. The Workstation and Server services use authentication but support their own session security.

Background

LM authentication is not as strong as NTLM or NTLMv2 because the algorithm allows passwords longer than 7 characters to be attacked in 7 character chunks. This limits the effective password strength to 7 characters drawn from the set of uppercase alphabetic, numeric, and punctuation characters, plus 32 special ALT characters. Users often do not even avail themselves of anything more than alphabetic characters.

In contrast, NTLM authentication takes advantage of all 14 characters in the password and allows lowercase letters. Thus, even though an attacker eavesdropping on the Windows NT authentication protocol can attack it in the same way as the LM authentication protocol, it will take far longer for the attack to succeed. If the password is strong enough, it will take a single 200 MHz Pentium Pro computer an average of 2,200 years to find the keys derived from it and 5,500 years to find the password itself (or 2.2 years and 5.5 years with 1,000 such computers, and so forth).

ΣΗΜΕΙΩΣΗ: This estimate is based on the rate at which the recent RSA Labs "DES Challenge" code tests DES keys on a 200 MHz Pentium Pro: 1,000,000/second; and the number of DES keys: 2**56 or 7.2*10**16. For more information about the "DES Challenge", please see the following Web site:
http://www.rsa.com
On the other hand, if a password is not strong enough, a dictionary lookup can find it in seconds.

One possible way of getting a "strong enough" password is to have it be at least 11 characters in length, with at least 4 of those characters uppercase, numbers, or punctuation. Even if the remaining 7 characters are lowercase low randomness text with (say) 3 bits of randomness per character, this will give more than DES's key space of 7.2*10**16 possible combinations, and the password will not be in dictionaries.

However, hardware accelerators costing $250,000 have been built that can find either the LM or NTLM password-derived key in 3-6 days no matter how long the password is. These numbers change as technology gets better. For current statistics and details please see the following Web site:
http://www.eff.org
Having the password-derived key of a user does not allow an attacker to log on interactively but, with special software, it is sufficient to access network resources as that user.

For NTLMv2, the key space for password-derived keys is 128 bits. This makes a brute force search infeasible, even with hardware accelerators, if the password is strong enough.

If both client and server are using SP4, the enhanced NTLMv2 session security is negotiated. It provides separate keys for message integrity and confidentiality, and client input into the challenge to prevent chosen plain text attacks, and makes use of the HMAC-MD5 algorithm (see RFC 2104) for message integrity checking.

Because the datagram variant of NTLM does not have a negotiation step, use of otherwise negotiated options, such as NTLMv2 session security and 128- bit encryption for message confidentiality, has to be configured.

Περισσότερες πληροφορίες

ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Control of NTLM security is through the following registry key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
ΣΗΜΕΙΩΣΗ: On Win9x, the valid registry key is LMCompatibility while on Windows NT it is LMCompatibilityLevel.

Choice of the authentication protocol variants used and accepted is through the following value of that key:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
ΣΗΜΕΙΩΣΗ: Authentication is used to establish a session (username/password). Session security is used once a session is established using the apropriate type of authentication. Also system times should be within 30 mins of one another. Authentication can fail because the server will think the challenge from the client has expired.

Control over the minimum security negotiated for applications using NTLMSSP is through the following key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
The following values are for this key:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - Clients

Σημαντικό: For an SP4 client to choose level 3 or greater, the domain controllers for the user's account domains for all users who will use the client (hereafter, "the users' domain controllers") MUST have been upgraded to SP4.

If an SP4 client chooses level 0, which is the default, it will interoperate with earlier servers exactly as it did with Service Pack 3 (SP3).

If an SP4 client chooses level 1, it will interoperate with earlier servers exactly as it did at Service Pack 3 (SP3). In addition, it will negotiate NTLMv2 session security with SP4 servers.

Σημαντικό: When using level 1 or greater, if the last password change came from a Windows for Workgroups or MS-DOS LanManager 2.x client or earlier, the data needed for NTLM and NTLMv2 authentication will not be available on the domain controller, and SP4 clients will not be able to connect to SP4 servers. The workaround is to use level 0, or always change passwords from a Windows NT, Windows 95, or Windows 98 client.

If an SP4 client chooses level 2, it will not be able to connect to servers that only support LM authentication, such as Windows 95, Windows 98, Windows for Workgroups and earlier (hereafter called "downlevel LM clients/servers"), unless the users' domain controllers have been upgraded.

If an SP4 client chooses level 3 or greater, it will always send the new NTLMv2 response. This response can pass through downlevel LM servers and SP3 or earlier Windows NT servers and their domain controllers as long as the users' domain controllers have been upgraded to SP4. For example, if an SP4 client chooses level 3 or greater, the users' domain controllers MUST have been upgraded to SP4 as well. However, this response will not work with downlevel LM servers in Share Level security mode with non-null passwords. The workaround is to configure them to use User Level security.

LMCompatibilityLevel - Servers/DCs

If an SP4 server chooses level 4 or greater, a user with a local account on that server will not be able to connect to it from a downlevel LM client using that local account.

Εάν ένας ελεγκτής τομέα του SP4 επιλέγει το επίπεδο 4 ή νεότερη έκδοση, ο χρήστης που διαθέτει λογαριασμό σε αυτόν τον τομέα δεν θα μπορούν να συνδεθούν σε οποιονδήποτε διακομιστή-μέλος από έναν υπολογιστή πελάτη προηγούμενης έκδοσης LM χρησιμοποιώντας το λογαριασμό τομέα τους. Έτσι, το επίπεδο 4 σημαίνει ότι όλοι οι χρήστες με λογαριασμούς σε ένα διακομιστή ή τομέα πρέπει να χρησιμοποιεί τα Windows NT για τη σύνδεση.

If an SP4 server chooses level 5 or greater, a user with a local account on that server will not be able to connect to it from an SP3 or earlier Windows NT client using that local account.

SP4 clients choosing level 0 or 1 will still be able to connect to SP4 servers, even with levels 1 or 3 configured, but will be using both the Windows NT protocol and the weaker LM protocol. They will also be able to connect to downlevel LM servers, even if the users' domain controllers have not been upgraded.

Deployment

Because of the above considerations, if it is preferred to deploy NTLMv2, the following steps should be taken:
  1. Upgrade the domain controllers where the accounts for all users that are to use NTLMv2 are stored.
  2. Even before the upgrade of the domain controllers is completed, clients and servers can be upgraded to SP4 and will obtain enhanced security when connecting SP4 to SP4 by setting level 1.
  3. When step 1 is completed, individual systems that have already been upgraded to SP4 can start setting level 3 or greater.
  4. If users in some account domain never need to access resources from downlevel LM clients, that domain's domain controllers can have their level set to 4, and after all of those users' systems have been upgraded to SP4, that domain's domain controllers can have their level set to 5.

NtlmMinClientSec and NtlmMinServerSec

If the bit with value 0x00000010 is set in the NtlmMinClientSec or NtlmMinServerSec value, the connection will fail if message integrity is not negotiated.

If the bit with value 0x00000020 is set in the NtlmMinClientSec or NtlmMinServerSec value, the connection will fail if message confidentiality is not negotiated.

If the bit with value 0x00080000 is set in the NtlmMinClientSec or NtlmMinServerSec value, the connection will fail if NTLMv2 session security is not negotiated.

If the bit with value 0x20000000 is set in the NtlmMinClientSec or NtlmMinServerSec value, the connection will fail if 128-bit encryption is not negotiated.

ΣΗΜΕΙΩΣΗ: These settings will not guarantee that the NTLM SSP is actually used by every application, or that message integrity or confidentiality will actually be used by an application even when they are negotiated.

Προτεινόμενη αντιμετώπιση

To resolve this problem, obtain the latest service pack for Windows NT 4.0 or Windows NT Server 4.0, Terminal Server Edition. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
152734How to obtain the latest Windows NT 4.0 service pack


After installing SP4, perform the following steps to configure LM Compatibility level on Windows NT workstations and servers:
  1. Εκτελέστε τον Επεξεργαστή Μητρώου (Registry Editor) (Regedt32.exe).
  2. Από το δευτερεύον δένδρο HKEY_LOCAL_MACHINE, μεταβείτε στο ακόλουθο κλειδί:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Click Add Value on the Edit menu.
  4. Add the following values:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. Από το δευτερεύον δένδρο HKEY_LOCAL_MACHINE, μεταβείτε στο ακόλουθο κλειδί:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. Click Add Value on the Edit menu.
  7. Add the following values:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Click OK and then quit Registry Editor.
  9. Shut down and restart Windows NT.

Ιδιότητες

Αναγν. άρθρου: 147706 - Τελευταία αναθεώρηση: Σάββατο, 18 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 95
Λέξεις-κλειδιά: 
kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix kbmt KB147706 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:147706

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com