Disattivazione dell'autenticazione LM in Windows NT

Traduzione articoli Traduzione articoli
Identificativo articolo: 147706 - Visualizza i prodotti a cui si riferisce l?articolo.


IMPORTANTE: in questo articolo vengono fornite informazioni su come modificare il Registro di configurazione. Prima di modificare il Registro di configurazione, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di configurazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Prima di Windows NT 4.0 Service Pack 4 (SP4), in Windows NT erano supportati due tipi di autenticazione challenge/response:
  • LanManager (LM) challenge/response
  • Windows NT challenge/response (detta anche NTLM challenge/response)
Windows NT supportava anche meccanismi di protezione delle sessioni che assicuravano la riservatezza e l'integritÓ dei messaggi.

Per consentire l'accesso ai server che supportano solo l'autenticazione LM, i client Windows NT con service pack precedenti alla versione SP4 utilizzano sempre entrambi i metodi, anche per server Windows NT che supportavano l'autenticazione NTLM.

PoichÚ l'autenticazione LM non Ŕ potente come l'autenticazione Windows NT, pu˛ essere opportuno disattivarne l'utilizzo per impedire attacchi da parte di utenti malintenzionati che sfruttino il protocollo pi¨ debole. Un attacco potrebbe compromettere la sicurezza della password dell'utente.

Microsoft ha sviluppato un miglioramento per NTLM denominato NTLMv2, che migliora significativamente i meccanismi di autenticazione e protezione delle sessioni.

╚ stata anche migliorata l'implementazione del provider NTLM SSP (Security Service Provider) per consentire ai client di controllare le varianti di NTLM utilizzate e per consentire ai server di controllare le varianti accettate, impostando appositamente una nuova chiave di registro. Consente inoltre ai client e ai server di richiedere la negoziazione della riservatezza dei messaggi (crittografia), dell'integritÓ dei messaggi, della crittografia a 128 bit e della protezione delle sessioni NTLMv2.

Queste modifiche influiscono sui seguenti componenti di Windows NT: Qualsiasi applicazione che utilizza la chiamata di procedura remota (RPC) Microsoft o che utilizza il provider NTLM SSP utilizzerÓ i meccanismi di autenticazione e protezione delle sessioni qui descritti. I servizi Workstation e Server utilizzano l'autenticazione ma supportano meccanismi propri per la protezione della sessione.

Premessa

L'autenticazione LM non Ŕ potente come quella NTLM o NTLMv2 perchÚ l'algoritmo consente l'attacco delle password con pi¨ di 7 caratteri in blocchi da 7 caratteri. L'efficacia delle password Ŕ pertanto limitata a 7 caratteri tratti dal set di caratteri alfanumerici e dei segni di interpunzione, cui si aggiungono 32 caratteri speciali dati dalla combinazione con il tasto ALT. Gli utenti generalmente utilizzano soltanto i caratteri alfabetici.

L'autenticazione NTLM, invece, si avvale di tutti i 14 caratteri nella password e consente l'utilizzo delle lettere minuscole. Per questo motivo, anche se Ŕ comunque soggetta ad attacchi da parte di utenti malintenzionati attraverso il protocollo di autenticazione di Windows NT cosý come accade per il protocollo LM, occorrerÓ molto pi¨ tempo perchÚ l'attacco abbia esito positivo. Se la password Ŕ abbastanza complessa, un computer con processore Pentium da 200 MHz impiegherÓ mediamente 2200 anni per trovare le chiavi derivanti da essa e 5500 per individuare la password vera e propria oppure 2,2 anni e 5,5 anni con 1000 computer di questo tipo e cosý via.

NOTA: questa stima Ŕ basata sulla velocitÓ utilizzata dal codice "DES Challenge" di RSA Labs per la verifica delle chiavi DES in un computer con processore Pentium da 200 MHz (1.000.000/secondo) e sul numero di chiavi DES (2**56 oppure 7,2*10**16). Per ulteriori informazioni su "DES Challenge", visitare il seguente sito Web (informazioni in lingua inglese):
http://www.rsasecurity.com/
Se invece la password non Ŕ sufficientemente complessa, pu˛ essere individuata in pochi secondi mediante la ricerca in un dizionario.

Per creare una password "solida" Ŕ possibile utilizzare pi¨ di 11 caratteri, 4 dei quali saranno lettere maiuscole, numeri o segni di interpunzione. Anche se i restanti 7 caratteri fossero caratteri minuscoli che costituiscono un testo a bassa casualitÓ con, ad esempio, 3 bit di casualitÓ per carattere, si otterrebbero pi¨ delle 7,2*10**16 possibili combinazioni dello spazio delle chiavi di DES e la password non sarebbe presente nei dizionari.

Ciononostante, sono stati costruiti acceleratori hardware da 250.000 dollari in grado di trovare la chiave derivante dalla password LM o NTLM in 3-6 giorni, indipendentemente dalla lunghezza della password. Questi dati cambiano man mano che evolve la tecnologia. Per statistiche aggiornate e ulteriori dettagli, visitare il seguente sito Web (informazioni in lingua inglese):
http://www.eff.org/
L'individuazione della chiave derivata dalla password di un utente non consente di effettuare un accesso interattivo ma, mediante un software speciale, Ŕ sufficiente per accedere alla risorse di rete con i privilegi di tale utente.

Per il protocollo NTLMv2, la spazio per le chiavi derivate dalle password Ŕ di 128 bit. Questo rende impossibile una ricerca "brute force", anche con gli acceleratori hardware, se la password Ŕ abbastanza solida.

Se sia il client che il server utilizzano il Service Pack 4, viene negoziata la protezione della sessione NTLMv2 avanzata. Fornisce chiavi separate per l'integritÓ e la riservatezza dei messaggi e l'input del client nella richiesta (challenge) per prevenire attacchi di tipo "chosen plain text", e utilizza l'algoritmo HMAC-MD5 (vedere RFC 2104) per la verifica dell'integritÓ dei messaggi.

Dato che la variante del datagramma di NTLM non prevede una fase di negoziazione, Ŕ necessario configurare l'utilizzo di opzioni negoziate altrimenti, quali la protezione delle sessioni NTLMv2 e la crittografia a 128 bit per la riservatezza dei messaggi.

Informazioni

AVVISO: l'errato utilizzo dell'editor del registro di configurazione pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del registro di configurazione. L'utilizzo dell'editor del registro di configurazione Ŕ a rischio e pericolo dell'utente.


Il controllo della protezione NTLM avviene attraverso la seguente chiave di registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
NOTA: la chiave di registro valida in Win9x Ŕ LMCompatibility, mentre in Windows NT Ŕ LMCompatibilityLevel.

La scelta delle varianti del protocollo di autenticazione utilizzate e accettate avviene mediante il seguente valore della chiave:
   Valore: LMCompatibilityLevel
   Tipo valore: REG_DWORD - Numero
   Intervallo valido: 0-5
   Predefinito: 0
   Descrizione: Questo parametro specifica il tipo di autenticazione da
   utilizzare.

   Livello 0 - Invia risposta LM e risposta NTLM; non utilizzare mai la protezione di sessione
             NTLMv2
   Livello 1 - Usa la protezione di sessione NTLMv2 se negoziata
   Livello 2 - Invia solo l'autenticazione NTLM
   Livello 3 - Invia solo l'autenticazione NTLMv2
   Livello 4 - DC rifiuta l'autenticazione LM
   Livello 5 - DC rifiuta l'autenticazione LM e NTLM (accetta solo NTLMv2)
				
NOTA: l'autenticazione viene utilizzata per stabilire una sessione (nome utente/password). La protezione della sessione viene utilizzata una volta stabilita una sessione impiegando il tipo di autenticazione appropriato. Inoltre, i tempi di sistema non devono essere superiori a 30 minuti l'uno dall'altro. L'autenticazione pu˛ avere esito negativo poichÚ il server considera scaduta la richiesta del client.

Il controllo della protezione minima negoziata per le applicazioni che utilizzano NTLMSSP avviene attraverso la seguente chiave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
I valori di questa chiave sono i seguenti:
   Valore: NtlmMinClientSec
   Tipo valore: REG_DWORD - Numero
   Intervallo valido: 'or' logico o uno qualsiasi dei seguenti valori:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Predefinito: 0

   Valore: NtlmMinServerSec
   Tipo valore: REG_DWORD - Numero
   Intervallo valido: come per NtlmMinClientSec
   Predefinito: 0
   Descrizione: Questo parametro specifica la protezione minima da utilizzare.
      0x00000010  IntegritÓ dei messaggi
      0x00000020  Riservatezza dei messaggi
      0x00080000  Protezione della sessione NTLMv2
      0x20000000  Crittografia a 128 bit
				

LMCompatibilityLevel - Client

IMPORTANTE: AffinchÚ un client SP4 scelga il livello 3 o un livello superiore, i controller di dominio per i domini account dell'utente per tutti gli utenti che utilizzano il client (da ora in avanti definiti "controller di dominio dell'utente") DEVONO essere stati aggiornati al Service Pack 4.

Se un client SP4 sceglie il livello 0, ossia il livello predefinito, interagirÓ con i server precedenti nello stesso modo in cui questo avveniva con il Service Pack 3 (SP3).

Se un client SP4 sceglie il livello 1, interagirÓ con i server precedenti nello stesso modo in cui questo avveniva con il Service Pack 3 (SP3). Inoltre, negozierÓ la protezione della sessione NTLMv2 con i server SP4.

IMPORTANTE: quando viene utilizzato il livello 1 o un livello superiore, se l'ultimo cambio di password Ŕ stato effettuato con un client con Windows per Workgroup o MS-DOS LanManager 2.x o versioni precedenti, i dati necessari per l'autenticazione NTLM e NTLMv2 non saranno disponibili sul controller di dominio e i client SP4 non saranno in grado di connettersi ai server SP4. Per risolvere il problema, Ŕ necessario utilizzare il livello 0 oppure cambiare sempre le password su un client con Windows NT, Windows 95 o Windows 98.

Se un client SP4 sceglie il livello 2, non sarÓ in grado di connettersi ai server che supportano solo l'autenticazione LM, quali Windows 95, Windows 98, Windows per Workgroup e versioni precedenti (da ora in avanti definiti "client/server LM di livello inferiore"), a meno che non sia stato effettuato l'aggiornamento dei controller di dominio degli utenti.

Se un client SP4 sceglie il livello 3 o un livello superiore, invierÓ sempre la nuova risposta NTLMv2. Questa password pu˛ passare attraverso i server LM di livello inferiore e SP3 o i server Windows NT meno recenti e relativi controller di dominio, purchÚ i controller di dominio degli utenti siano stati aggiornati al Service Pack 4. Se ad esempio un client SP4 sceglie il livello 3 o un livello superiore, anche i controller di dominio degli utenti DEVONO essere stati aggiornati al Service Pack 4. Questa risposta, tuttavia, non funzionerÓ con i server LM di livello inferiore in modalitÓ di protezione a livello di condivisione con password non nulle. Per risolvere il problema, configurarle utilizzando la protezione a livello di utente.

LMCompatibilityLevel - Server/DC

Se un server SP4 sceglie il livello 4 o un livello superiore, un utente con un account locale su tale server non sarÓ in grado di connettersi a esso da un client LM di livello inferiore utilizzando tale account locale.

Se un controller di dominio SP4 sceglie il livello 4 o un livello superiore, un utente con un account in tale dominio non sarÓ in grado di connettersi a un server membro da un client LM di livello inferiore utilizzando il proprio account di dominio. Il livello 4, pertanto, richiede che tutti gli utenti con account in un server o dominio utilizzino Windows NT per la connessione.

Se un server SP4 sceglie il livello 5 o un livello superiore, un utente con un account locale su tale server non sarÓ in grado di connettersi ad esso da un client SP3 o da un client Windows NT precedente utilizzando tale account locale.

I client SP4 che scelgono il livello 0 oppure 1 saranno comunque in grado di connettersi ai server SP4, anche con i livelli 1 oppure 3 configurati, ma utilizzeranno sia il protocollo Windows NT che il protocollo LM pi¨ debole. Potranno inoltre effettuare la connessione ai server LM di livello inferiore anche se non sono stati aggiornati i controller di dominio degli utenti.

Distribuzione

Tenendo conto di quanto detto finora, se Ŕ preferibile distribuire NTLMv2, attenersi alla seguente procedura:
  1. Aggiornare i controller di dominio in cui sono memorizzati gli account di tutti gli utenti che devono utilizzare NTLMv2.
  2. Anche prima del completamento dell'aggiornamento dei controller di dominio, i client e i server possono essere aggiornati al Service Pack 4 e otterranno una maggiore protezione durante la connessione da SP4 a SP4 impostando il livello 1.
  3. Al termine del passaggio 1, i singoli sistemi giÓ aggiornati al Service Pack 4 possono iniziare a impostare il livello 3 o un livello superiore.
  4. Se gli utenti in un dominio di account non richiedono mai l'accesso alle risorse da client LM di livello inferiore, nei controller di tale dominio Ŕ possibile impostare il livello su 4, impostandolo poi su 5 quando sarÓ stato effettuato l'aggiornamento dei sistemi di tutti quegli utenti al Service Pack 4.

NtlmMinClientSec e NtlmMinServerSec

Se il bit con valore 0x00000010 Ŕ impostato sul valore NtlmMinClientSec o NtlmMinServerSec, la connessione avrÓ esito negativo se non viene negoziata l'integritÓ del messaggio.

Se il bit con valore 0x00000020 Ŕ impostato nel valore NtlmMinClientSec o NtlmMinServerSec, la connessione avrÓ esito negativo se non viene negoziata la riservatezza del messaggio.

Se il bit con valore 0x00080000 Ŕ impostato nel valore NtlmMinClientSec o NtlmMinServerSec, la connessione avrÓ esito negativo se non viene negoziata la protezione della sessione NTLMv2.

Se il bit con valore 0x20000000 Ŕ impostato nel valore NtlmMinClientSec o NtlmMinServerSec, la connessione avrÓ esito negativo se non viene negoziata la crittografia a 128 bit.

NOTA: queste impostazioni non garantiscono l'effettivo utilizzo del provider NTLM SSP da parte di tutte le applicazioni, nÚ che tutte le applicazioni utilizzino l'integritÓ o la riservatezza dei messaggi anche se non vengono negoziate.

Risoluzione

Per risolvere il problema, ottenere il service pack pi¨ recente di Windows NT 4.0 o Windows NT Server 4.0, Terminal Server Edition. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
152734 Download del service pack pi¨ recente per Windows NT 4.0



Dopo avere installato il Service Pack 4, attenersi alla procedura indicata di seguito per configurare il livello LM Compatibility sulle workstation e sui server con Windows NT:
  1. Eseguire l'editor del Registro di configurazione (Regedt32.exe).
  2. Dalla sottostruttura HKEY_LOCAL_MACHINE passare alla chiave seguente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Scegliere Aggiungi valore dal menu Modifica.
  4. Aggiungere i seguenti valori:
          Nome valore: LMCompatibilityLevel
          Tipo dati: REG_DWORD
          Dati:  da 0 (predefinito) a 5, secondo le indicazioni sopra riportate
    					
  5. Dalla sottostruttura HKEY_LOCAL_MACHINE passare alla chiave seguente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. Scegliere Aggiungi valore dal menu Modifica.
  7. Aggiungere i seguenti valori:
          Nome valore: NtlmMinClientSec
          Tipo dati: REG_DWORD
          Dati:  0 (predefinito) o secondo le indicazioni sopra riportate
    
          Nome valore: NtlmMinServerSec
          Tipo dati: REG_DWORD
          Dati:  0 (predefinito) o secondo le indicazioni sopra riportate
    					
  8. Scegliere OK e chiudere l'editor del registro di configurazione.
  9. Arrestare e riavviare Windows NT.

ProprietÓ

Identificativo articolo: 147706 - Ultima modifica: martedý 18 ottobre 2005 - Revisione: 3.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows per Workgroup 3.2
  • Microsoft Windows 95
Chiavi:á
kberrmsg kbbug kbfix kbqfe kbfile kbfea kbhotfixserver KB147706
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com