Windows NT LM 인증을 해제하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 147706 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

Windows NT 4.0 서비스 팩 4(SP4) 전에, Windows NT 두 종류의 챌린지/응답 인증 지원:
  • LM) LanManager 챌린지/응답
  • Windows NT 챌린지/응답 (알려진 NTLM 챌린지/응답)
또한 Windows NT 메시지 기밀성 및 무결성을 제공하는 세션 보안 메커니즘 지원되는.

LM 인증 지원하는 서버 액세스를 허용하도록 항상 SP4 이전의 Windows NT 클라이언트가 NTLM 인증을 지원하는 Windows NT 서버에 경우에도 모두 사용합니다.

LM 인증 같은 Windows NT 인증을 같은 강력한 아니므로 약한 프로토콜 네트워크 트래픽을 도청 공격자가 공격합니다 때문에 일부 고객은 해당 사용할 수 없도록 할 수 있습니다. 공격이 사용자의 암호가 손상될 수 있습니다.

Microsoft는 인증과 세션 보안 메커니즘 모두를 크게 개선하는 NTLMv2 라는 NTLM 위해 향상을 개발했습니다.

또한 구현 NTLM SSP (보안 서비스 공급자) 의 클라이언트가 NTLM 변형된 제어하는 데 사용되며 서버가 어떤 변형 제어할 수 있도록 이러한, 적절하게 새 레지스트리 키를 설정하여 수락할 수 있도록 향상되었습니다. 클라이언트와 서버가 메시지 기밀성(암호화), 메시지 무결성, 128비트 암호화 및 NTLMv2 세션 보안의 협상을 요구할 수 있습니다.

이러한 변경 내용은 다음 Windows NT 구성 요소가 영향을: 여기에 설명된 인증과 세션 보안 Microsoft 원격 프로시저 호출 (RPC) 사용하거나 NTLM SSP를 사용하는 모든 응용 프로그램 사용합니다. 워크스테이션 및 서버 서비스 인증을 사용할 수 있지만 자신의 세션 보안을 지원합니다.

배경

LM 인증 알고리즘을 암호를 7 문자 7 문자 청크에서 공격을 받을 수 있기 때문에 같은 강력한 NTLM 또는 NTLMv2 아닙니다. 효과적인 암호 강도를 7 문자 집합에서 대문자 알파벳, 숫자, 그리기 및 문장 부호 문자를 더한 32 특수 Alt 문자를 제한합니다. 사용자는 종종 경우에도 자체는 아무것도 영문자 넘는 중 avail 수행할지 않습니다.

반면, NTLM 인증 암호 모든 14문자 활용하여, 소문자 있습니다. 따라서 Windows NT 인증 프로토콜을 도청 공격자가 이를 LM 인증 프로토콜로 동일한 방식으로 공격할 수 있습니다 경우에도 공격을 성공하기 훨씬 오래 걸릴 것입니다. 암호가 강력하지 않은 경우 단일 200 MHz Pentium Pro 컴퓨터의 2,200 및 암호 자체를 찾으려면 5,500 년에서 파생된 키를 찾을 수 년간 평균 걸리는 (또는 2.2 연도 및 이러한 1,000 컴퓨터와 5.5 년 등).

참고: 이 예상은 최근 RSA 랩 "DES 챌린지" 테스트를 사용하여 200 DES 키 코드 속도를 기반으로 MHz Pentium Pro: 1,000,000/초; 및 DES 키 수를: 2 ** 56 또는 7.2 * 10 ** 16. "DES 챌린지"에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오.
http://www.rsa.com
반면, 사전 조회 암호가 강력하지 있지 않으면 초 단위로 찾을 수 있습니다.

"강력하지" 암호를 가져오는 중 한 가지 가능한 방법은 이러한 문자는 대문자, 숫자 또는 문장 중 최소한 4, 길이는 최소한 11 문자 수 있어야 합니다. 나머지 7자 임의성 문자 당 3 비트 (예를 들어) 소문자 낮은 임의성을 텍스트 경우에도 이 7.2 DES 프로그램의 키 공간 이상의 제공합니다 * 10 ** 16 가능한 조합 및 암호를 사전의 수 없습니다.

그러나 LM 또는 NTLM 암호 파생 키 3-6 일 기간을 암호 관계없이 찾을 수 $ 250,000 원가 계산 액셀러레이터 키가 빌드된 하드웨어입니다. 이러한 숫자를 변경할 기술을 더 나은 가져옵니다. 현재 통계 및 세부 정보 다음 웹 사이트를 참조하십시오.
http://www.eff.org
사용자 암호가 파생된 키를 가진 공격자는 대화형으로 로그온할 수는 있지만 특수 소프트웨어로 충분히 해당 사용자로 네트워크 리소스에 액세스할 수 있습니다.

NTLMv2에 대해 키 암호 파생 키 128 비트로 공간입니다. 이렇게 무작위 검색 불가능합니다, 심지어 하드웨어 가속기 함께 암호가 강력하지 않은 경우.

클라이언트 및 서버 SP4를 사용하는 경우 NTLMv2 세션 보안 강화 협상됩니다. 메시지 무결성 및 기밀성 및 선택한 일반 텍스트 공격을 방지하기 위해 챌린지 클라이언트 입력을 위한 별도의 키를 제공하며, 있게 중 HMAC MD5 알고리즘을 사용하여 (RFC 2104 참조) 메시지 무결성을 확인하는.

NTLM 데이터그램 변종 협상 단계가 없기 때문에 NTLMv2 세션 보안 및 메시지 기밀성 128비트 암호화를 구성해야 합니다 (예: 옵션, 그렇지 않으면 사용이 협상된.

추가 정보

중요한 이 섹션에서는, 메서드 또는 작업이 레지스트리 수정 방법을 알려 주는 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 이 단계를 주의 깊게 따라야 합니다. 추가 보호 기능을 수정하기 전에 레지스트리를 백업해야. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 백업 및 복원하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
322756백업 및 Windows 에서 레지스트리를 복원하는 방법


NTLM 보안 제어를 통해 다음 레지스트리 키는 다음과 같습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
참고: Windows NT에서 LMCompatibilityLevel 있는 동안 On Win9x LMCompatibility 유효한 레지스트리 키가 있습니다.

다음 해당 키 값을 통해 사용되는 및 허용되는 인증 프로토콜 변종 선택입니다:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
참고: 인증 (사용자 이름과 암호) 세션을 설정하는 데 사용됩니다. apropriate 형식의 인증 사용하지 세션이 설정된 세션 보안이 사용됩니다. 또한 시스템 시간이 서로 30 분 내에 있어야 합니다. 서버가 클라이언트로부터 챌린지가 만료된 생각할 때문에 인증이 실패할 수 있습니다.

NTLMSSP 사용하여 응용 프로그램에 대해 협상된 최소 보안 제어를 통해 다음 키는 다음과 같습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
이 키에 다음 값이 있습니다:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - 클라이언트

중요: 수준 3 또는 그 이상의 버전을 선택할 수 있는 SP4 클라이언트에 대해 (이하, "사용자의 도메인 컨트롤러") 클라이언트가 사용할 모든 사용자에 대해 사용자의 계정 도메인에 대한 도메인 컨트롤러를 SP4로 업그레이드한 합니다.

SP4 클라이언트 기본 수준 0을 선택하면 이전 서버를 정확히 서비스 팩 3 (SP3) 했던 것처럼 상호 운용됩니다.

수준 1 SP4 클라이언트 선택할 경우 정확한 서비스 팩 3 (SP3) 에서 수행한 것처럼 이전 서버를 상호 운용됩니다. 또한 SP4 서버가 NTLMv2 세션 보안을 협상합니다.

중요: 1 이상의 수준을 사용하면, 마지막 암호 변경에 대한 NTLM 필요한 데이터를 작업 또는 MS-DOS LanManager 2.x 클라이언트 또는 이전 버전의 Windows에서 제공된 및 NTLMv2 인증 도메인 컨트롤러에서 사용할 수 없습니다 있고 SP4 클라이언트가 SP4 서버에 연결할 수 없습니다. 해결 방법은 수준 0, 사용하거나 항상 Windows NT나 Windows 95, Windows 98 클라이언트에서 암호를 변경할 수 있습니다.

SP4 클라이언트 수준 2 선택하면 해당 사용자의 도메인 컨트롤러를 업그레이드한 않으면 (이하 "LM 하위 클라이언트/서버"), 해당 유일한 지원 LM 인증, Windows 95, Windows 98, 작업 및 이전 Windows 같은 서버에 연결할 수 없습니다.

수준 3 이상의 SP4 클라이언트 선택할 경우 항상 새 NTLMv2 응답을 보냅니다. 사용자의 도메인 컨트롤러를 SP4로 업그레이드한 아니라 이 응답 하위 LM 서버 및 SP3 또는 이전 Windows NT 서버 및 도메인 컨트롤러와 통해 전달할 수 있습니다. 수준 3 이상의 SP4 클라이언트 선택할 경우 예를 들어, 사용자의 도메인 컨트롤러는 SP4로 뿐만 아니라 업그레이드된 합니다. 그러나 이 응답 하위 LM 서버의 null이 아닌 암호 사용하여 공유 수준 보안 모드에서 작동하지 않습니다. 해결 방법은 사용자 수준 보안을 사용하도록 구성할 수 있습니다.

LMCompatibilityLevel - 서버/DC

SP4 서버 수준 4 또는 큰 경우 해당 서버에 대한 로컬 계정이 있는 사용자는 해당 로컬 계정을 사용하여 하위 LM 클라이언트에서 연결할 수 없습니다.

수준 4 또는 큰 SP4 도메인 컨트롤러를 선택할 경우 해당 도메인의 계정 가진 사용자는 자신의 도메인 계정을 사용하여 하위 LM 클라이언트에서 어떤 구성원 서버에도 연결할 수 수 없습니다. 따라서, 수준 4 서버 또는 도메인 계정 가진 모든 사용자가 Windows NT 연결하는 데 사용할 수 있음을 의미합니다.

SP4 서버 수준 5 개 이상 선택하면 해당 서버에 대한 로컬 계정이 있는 사용자는 SP3 또는 이전 Windows NT 클라이언트가 해당 로컬 계정을 사용하여 연결할 수 없습니다.

SP4 클라이언트가 선택하여 수준 0 또는 1 여전히 수준으로 경우에도 1 또는 3 SP4 서버에 연결할 수 있습니다 구성했으나 Windows NT 프로토콜과 약한 LM 프로토콜 사용하게 됩니다. 사용자의 도메인 컨트롤러를 업그레이드한 경우에도 사용자는 또한 LM 하위 서버에 연결할 수 있습니다.

배포

위의 고려 사항 때문에 NTLMv2, 배포하려면 기본 경우 다음 단계는 취해야 합니다.
  1. 계정을 NTLMv2를 사용하도록 모든 사용자에 대해 저장 위치를 도메인 컨트롤러를 업그레이드하십시오.
  2. 심지어 도메인 컨트롤러의 업그레이드를 완료하기 전에 클라이언트 및 서버 SP4로 업그레이드할 수 및 향상된 보안 수준 1 설정하여 SP4로 SP4 연결할 때 얻게 됩니다.
  3. 1 단계 완료될 때 이미 SP4로 업그레이드한 개별 시스템 수준 3 이상으로 설정하면 시작할 수 있습니다.
  4. 사용자는 일부 계정 도메인의 하위 수준 LM 클라이언트에서 리소스에 액세스할 필요가 있으면 해당 도메인의 도메인 컨트롤러를 해당 수준을 4로 설정되어 있을 수 있으며 모든 사용자의 시스템을 SP4로 업그레이드한 후 해당 도메인의 도메인 컨트롤러를 5로 설정한 해당 수준을 가질 수 있습니다.

NtlmMinClientSec 및 NtlmMinServerSec

0x00000010 값으로 비트 NtlmMinClientSec 또는 NtlmMinServerSec 값이 설정되어 있으면, 메시지 무결성이 협상되지 않으면 연결이 실패합니다.

0x00000020 값으로 비트 NtlmMinClientSec 또는 NtlmMinServerSec 값이 설정되어 있으면, 메시지 기밀성 협상되지 않으면 연결이 실패합니다.

NtlmMinClientSec 또는 NtlmMinServerSec 값이 비트 값이 0x00080000 설정된 경우 NTLMv2 세션 보안이 협상되지 않으면 연결이 실패합니다.

NtlmMinClientSec 또는 NtlmMinServerSec 값이 비트 0x20000000 값으로 설정되어 있으면, 128비트 암호화가 협상되지 않으면 연결이 실패합니다.

참고: 이 설정은 협상된 경우에도 때 해당 메시지 무결성이나 기밀성을 실제로 응용 프로그램에서 사용하는 또는 NTLM SSP 실제로 모든 응용 프로그램에서 사용하는 보장합니다.

해결 방법

이 문제를 해결하려면 Windows NT 4.0 또는 Windows NT Server 4.0, 터미널 서버 버전은 최신 서비스 팩을 구하십시오. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:
152734최신 Windows NT 4.0 서비스 팩을 구하는 방법


SP4를 설치한 후에 Windows NT 워크스테이션 및 서버에서 LM 호환성 수준을 구성하려면 다음 단계를 수행하십시오.
  1. 레지스트리 편집기 (Regedt32.exe)를 실행하십시오.
  2. HKEY_LOCAL_MACHINE 하위 트리를 다음 키로 이동하십시오.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. 편집 메뉴에서 값 추가 누릅니다.
  4. 다음 값 추가:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. HKEY_LOCAL_MACHINE 하위 트리를 다음 키로 이동하십시오.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. 편집 메뉴에서 값 추가 누릅니다.
  7. 다음 값 추가:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. 확인을 누른 다음 레지스트리 편집기를 종료하십시오.
  9. 종료 및 Windows NT 다시 시작하십시오.

속성

기술 자료: 147706 - 마지막 검토: 2006년 9월 16일 토요일 - 수정: 3.4
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows for Workgroups 3.2
  • Microsoft Windows 95
키워드:?
kbmt kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix KB147706 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com