Como desactivar a autenticação LM no Windows NT

Traduções de Artigos Traduções de Artigos
Artigo: 147706 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Anterior ao Windows NT 4.0 Service Pack 4 (SP4), Windows NT suportadas dois tipos de autenticação challenge/response:
  • Desafio/resposta LanManager (LM)
  • Windows NT challenge/response (também conhecido por contestação/resposta de NTLM)
Windows NT também suportada mecanismos de segurança de sessão fornecido para confidencialidade e integridade.

Para permitir acesso a servidores que suportam apenas a autenticação LM, clientes de Windows NT anteriores ao SP4 sempre utilize ambas, mesmo para servidores Windows NT que suportada a autenticação NTLM.

A autenticação LM não é tão forte como a autenticação do Windows NT para que alguns clientes poderão pretender desactivar a respectiva utilização, uma vez que um intruso escuta no tráfego de rede irá atacar o protocolo mais fraco. Um ataque bem sucedido pode comprometer a palavra-passe do utilizador.

A Microsoft desenvolveu um melhoramento para NTLM chamado NTLMv2 melhora significativamente a autenticação e mecanismos de segurança de sessão.

Além disso, a implementação de SSP (NTLM Security Service Provider) foi melhorada para permitir que clientes para controlar as variantes do NTLM são utilizados e para permitir que servidores controlar as variantes irão aceitar, definindo uma nova chave de registo correctamente. Também permite aos clientes e servidores exigir a negociação da confidencialidade (encriptação), integridade de mensagem, encriptação de 128 bits e segurança de sessão NTLMv2.

Estas alterações afectam os seguintes componentes do Windows NT: qualquer aplicação que utiliza o Microsoft chamada de procedimento remoto (RPC) ou que utiliza o SSP de NTLM, utilizar a segurança de autenticação e de sessão descrita mencionados. Os serviços estação de trabalho e servidor utilizam a autenticação, mas suportam os seus próprios segurança de sessão.

Fundo

LM autenticação não é tão forte como NTLM ou apenas uma vez que o algoritmo permite mais de 7 caracteres a ser atacado em blocos de carácter 7 palavras-passe. Isto limita a força da palavra-passe efectiva 7 caracteres retirados do conjunto de letras maiúsculas alfabético, numérico e caracteres de pontuação, bem como 32 caracteres ALT especiais. Os utilizadores, muitas vezes, não mesmo avail próprios de algo mais do que caracteres alfabéticos.

Em contraste, A autenticação NTLM tira partido de todos os 14 caracteres a palavra-passe e permite-letras minúsculas. Assim, mesmo que um intruso escuta no protocolo de autenticação do Windows NT pode atacá-lo da mesma forma como o protocolo de autenticação LM, demorará muito mais tempo para que o ataque tenha êxito. Se a palavra-passe suficientemente forte, demorará um único computador 200 MHz Pentium Pro uma média dos anos 2,200 para encontrar as chaves derivadas e 5,500 anos para localizar a palavra-passe propriamente dito (ou anos 2,2 e 5.5 anos com 1000 esses computadores, e assim sucessivamente).

Nota : Esta estimativa baseia-se a taxa em que o Labs RSA recente "DES Challenge" código testes teclas DES um 200 MHz Pentium Pro: 1.000.000/segundo; e o número de chaves DES: 2 ** 56 ou 7.2 * 10 ** 16. Para obter mais informações sobre o "DES Challenge", consulte o seguinte Web site:
http://www.rsa.com
Por outro lado, se uma palavra-passe não for suficientemente forte, uma pesquisa de dicionário pode encontrá-lo em segundos.

Uma forma possível de obter uma "suficientemente" palavra-passe segura é que ter, pelo menos, 11 caracteres de comprimento, com, pelo menos, 4 desses caracteres em maiúsculas, números ou pontuação. Mesmo se os restantes 7 caracteres texto em minúsculas aleatoriedade baixa com (por exemplo) 3 bits de aleatoriedade por carácter, isso dará mais do que espaço chave do DES 7.2 * 10 ** 16 combinações possíveis e a palavra-passe não serão dicionários.

No entanto, é o hardware aceleradores custos ? 250.000 foram incorporadas que pode encontrar a LM ou o NTLM chave derivada de palavra-passe em 3-6 dias independentemente quanto a palavra-passe. Estes números alteram como tecnologia obtém melhor. Para as estatísticas actuais e detalhes consulte o seguinte Web site:
http://www.eff.org
Com a chave derivada de palavra-passe de um utilizador não permite que um intruso iniciar sessão interactivamente mas, com o software especial, é suficiente para aceder a recursos de rede como esse utilizador.

Para apenas, o espaço de chave para chaves derivada de palavra-passe é de 128 bits. Isto torna a procura de ataques inviável, mesmo com aceleradores de hardware, se a palavra-passe for suficientemente forte.

Se o cliente e servidor estiverem a utilizar o SP4, A segurança de sessão NTLMv2 avançada será negociada. Fornece chaves separadas para integridade das mensagens e confidencialidade e entrada de cliente para o desafio para impedir ataques de texto seleccionado e utiliza o algoritmo MD5 HMAC (consulte RFC 2104) para verificar a integridade de mensagem.

Uma vez que a variante de datagrama do NTLM não é necessário um passo de negociação, utilização de outro negociada opções, tais como segurança de sessão NTLMv2 e encriptação de 128 bits para confidencialidade da mensagem, tem de ser configurado.

Mais Informação

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows


Controlo de segurança NTLM é a seguinte chave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
Nota : no Win9x, a chave de registo válidas é LMCompatibility enquanto no Windows NT estiver LMCompatibilityLevel.

Escolha de variantes de protocolo de autenticação utilizados e aceites é através do valor de chave seguinte:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
Nota : autenticação é utilizada para estabelecer uma sessão (nome de utilizador/palavra-passe). Segurança de sessão é utilizada quando é estabelecida uma sessão utilizando o tipo de apropriate de autenticação. Também devem ser tempos de sistema dentro de 30 mins um do outro. Autenticação pode falhar porque o servidor irá achar que o desafio do cliente expirou.

Controla a segurança mínima negociada para aplicações que utilizam NTLMSSP é a seguinte chave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
São os seguintes valores para esta chave:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - clientes

importante : para um cliente SP4 escolher o nível 3 ou superior, os controladores de domínio para domínios de conta do utilizador para todos os utilizadores que irão utilizar o cliente (doravante, "os utilizadores controladores de domínio") tem foram actualizados para SP4.

Se um cliente SP4 escolhe o nível 0, que é a predefinição, irá interagir com servidores anteriores exactamente como estava com o Service Pack 3 (SP3).

Se um cliente SP4 escolher o nível 1, irá interagir com servidores anteriores exactamente como estava no Service Pack 3 (SP3). Além disso, vai negociar a segurança de sessão NTLMv2 com SP4 servidores.

importante : quando utilizar o nível 1 ou superior, se a última alteração de palavra-passe provém do Windows para Workgroups ou uma resposta LanManager MS-DOS cliente 2.x ou anterior, os dados necessários para NTLM e autenticação NTLMv2 não estarão disponível no controlador de domínio e clientes SP4 não conseguir ligar a servidores SP4. A solução é utilizar o nível 0, ou sempre alterar as palavras-passe de um cliente Windows NT, Windows 95 ou Windows 98.

Se um cliente SP4 Escolher nível 2, irá não conseguir ligar a servidores que só suporte LM autenticação, como Windows 95, Windows 98, Windows for Workgroups e versões anteriores (doravante denominada "clientes de nível inferior LM/servidores"), a menos que tenham sido actualizados controladores de domínio dos utilizadores.

Se um cliente SP4 Escolher nível 3 ou superior, enviará sempre nova resposta de NTLMv2. Esta resposta pode ser transmitidos através de servidores de LM de nível inferior e SP3 ou servidores de Windows NT anteriores e respectivos controladores de domínio, desde que controladores de domínio os utilizadores foram actualizados para SP4. Por exemplo, se um cliente SP4 Escolher nível 3 ou superior, controladores de domínio dos utilizadores tem foram actualizados para SP4 bem. No entanto, esta resposta não funcionará com servidores de LM de nível inferior no modo de segurança de nível de partilha com palavras-passe não nulo. A solução é configurá-los para utilizar segurança de nível de utilizador.

LMCompatibilityLevel - servidores/DC

Se um servidor SP4 Escolher nível 4 ou superior, um utilizador com uma conta local nesse servidor não será conseguir ligar a partir de um cliente de LM de nível inferior utilizando essa conta local.

Se um controlador de domínio SP4 Escolher nível 4 ou superior, um utilizador com uma conta nesse domínio não poderá ligar a qualquer servidor membro de um cliente de LM de nível inferior utilizando a respectiva conta de domínio. Deste modo, o nível 4 significa que todos os utilizadores com contas num servidor ou domínio tem de estar a utilizar o Windows NT para ligar.

Se um servidor SP4 escolher o nível 5 ou posterior, um utilizador com uma conta local nesse servidor não poderá ligar a ele partir de um SP3 ou o cliente de Windows NT anterior utilizando essa conta local.

Os clientes SP4 escolher o nível 0 ou 1 continuarão a poder ligar a servidores SP4, mesmo com níveis 1 ou 3 configurado, mas serão utilizado o protocolo de Windows NT e o protocolo LM mais fraco. Poderão também ser ligar a servidores de nível inferior LM, mesmo se os controladores de domínio dos utilizadores não tenham sido actualizados.

Implementação

Devido a considerações acima, se é preferido para implementar NTLMv2, os seguintes passos devem ser retirados:
  1. Actualize os controladores de domínio onde são armazenadas as contas de todos os utilizadores que estão a utilizar apenas.
  2. Mesmo antes da actualização dos controladores de domínio estiver concluída, clientes e servidores podem ser actualizados para o SP4 e irão obter segurança avançada quando ligar SP4 SP4 definindo o nível 1.
  3. Depois de concluído o passo 1, sistemas individuais que já tenham sido actualizados para o SP4 podem iniciar a definir o nível 3 ou superior.
  4. Se os utilizadores em alguns domínio da conta nunca precisarem de aceder recursos a partir de clientes de nível inferior LM, controladores de domínio nesse domínio podem ter as respectivas nível definido como 4 e, depois de todos sistemas os utilizadores tem sido actualizados para SP4, controladores de domínio nesse domínio podem ter respectivo nível definido como 5.

NtlmMinClientSec e NtlmMinServerSec

Se o bit com valor 0 x 00000010 é definido o valor NtlmMinClientSec ou NtlmMinServerSec, a ligação falha se a integridade de mensagem não for negociada.

Se o bit com valor 0 x 00000020 é definido o valor NtlmMinClientSec ou NtlmMinServerSec, a ligação falhará se não for negociada confidencialidade da mensagem.

Se o bit com valor 0 x 00080000 é definido o valor NtlmMinClientSec ou NtlmMinServerSec, a ligação falha se a segurança de sessão NTLMv2 não for negociada.

Se o bit com valor 0 x 20000000 é definido o valor NtlmMinClientSec ou NtlmMinServerSec, a ligação falha se a encriptação de 128 bits não for negociada.

Nota : estas definições não irão garantir que o SSP de NTLM, na realidade, é utilizado por todas as aplicações ou esse integridade das mensagens ou confidencialidade irá, na realidade, ser utilizada por uma aplicação mesmo quando estes são negociados.

Resolução

Para resolver este problema, obtenha o service pack mais recente do Windows NT 4.0 ou Windows NT Server 4.0, Terminal Server Edition. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
152734Como obter o service pack mais recente do Windows NT 4.0


Depois de instalar o SP4, execute os seguintes passos para configurar o nível de compatibilidade LM em estações de trabalho do Windows NT e servidores:
  1. Execute o Editor de registo (Regedt32.exe).
  2. A partir da subárvore HKEY_LOCAL_MACHINE, vá para a seguinte chave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Clique em Adicionar valor no menu Editar.
  4. Adicione os seguintes valores:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. A partir da subárvore HKEY_LOCAL_MACHINE, vá para a seguinte chave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. Clique em Adicionar valor no menu Editar.
  7. Adicione os seguintes valores:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Clique em OK e saia do Editor de registo.
  9. Encerre e reinicie o Windows NT.

Propriedades

Artigo: 147706 - Última revisão: 16 de setembro de 2006 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows for Workgroups 3.2
  • Microsoft Windows 95
Palavras-chave: 
kbmt kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix KB147706 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 147706

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com