Como desabilitar a autenticação LM no Windows NT

Traduções deste artigo Traduções deste artigo
ID do artigo: 147706 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Anterior ao Windows NT 4.0 Service Pack 4 (SP4), o Windows NT com suporte a dois tipos de autenticação de desafio/resposta:
  • LanManager (LM) desafio/resposta
  • Windows NT desafio/resposta (também conhecido como desafio/resposta NTLM)
Windows NT também suporte para mecanismos de segurança sessão fornecidas para confidencialidade e integridade.

Para permitir acesso aos servidores que oferecem suporte somente a autenticação LM, clientes do Windows NT anteriores ao SP4 sempre use ambos, mesmo para servidores Windows NT que suporte a autenticação NTLM.

Autenticação do LM não é tão forte quanto autenticação do Windows NT para que alguns clientes talvez queira desativar seu uso, pois um invasor espionagem no tráfego de rede será atacar o protocolo mais fraco. Um ataque bem-sucedido pode comprometer a senha do usuário.

A Microsoft desenvolveu um aperfeiçoamento NTLM chamada NTLMv2 que melhora significativamente a autenticação e mecanismos de segurança de sessão.

Além disso, a implementação de NTLM segurança Service Provider (SSP) foi aprimorada para permitir que os clientes controlem quais variantes do NTLM são usados e para permitir que servidores controlar quais variantes serão aceitas, definindo uma nova chave de registro corretamente. Ele também permite que clientes e servidores exigir a negociação da confidencialidade de mensagem (criptografia), integridade de mensagem, criptografia de 128 bits e segurança de sessão NTLMv2.

Essas alterações afetam os seguintes componentes de Windows NT: qualquer aplicativo que usa o Microsoft chamada de procedimento remoto (RPC) ou que usa o SSP do NTLM, usar a segurança de autenticação e sessão descrita aqui. Os serviços Workstation e Server usam a autenticação mas oferece suporte sua própria segurança da sessão.

Plano de fundo

Autenticação LM não é tão forte quanto NTLM ou somente porque o algoritmo permite que senhas com mais de 7 caracteres a ser atacado em blocos de caracteres de 7. Isso limita a força de senha efetiva para extraídos do conjunto de letras maiúsculas alfabético, numérico, de 7 caracteres e caracteres de pontuação, além de 32 caracteres ALT especiais. Os usuários geralmente não mesmo disponível próprios de qualquer coisa mais caracteres alfabéticos.

Por outro lado, A autenticação NTLM tira proveito de todos os 14 caracteres na senha e permite que letras minúsculas. Assim, mesmo que um invasor espionagem no protocolo de autenticação Windows NT poderá atacá-lo da mesma maneira como o protocolo de autenticação LM, levará muito mais tempo para o ataque seja bem-sucedida. Se a senha é segura o suficiente, ele levará um único computador 200 MHz Pentium Pro uma média de 2,200 anos para localizar as chaves derivadas de ele e 5,500 anos para localizar a própria senha (ou anos 2.2 e 5.5 anos com 1.000 computadores, e assim por diante).

Observação : essa estimativa se baseia a taxa na qual os laboratórios RSA recente "DES desafio" codificar testes teclas DES um 200 MHz Pentium Pro: 1.000.000/segundo; e o número de chaves de DES: 2 ** 56 ou 7.2 * 10 ** 16. Para obter mais informações sobre o "DES desafio", consulte o seguinte site:
http://www.rsa.com
Por outro lado, se uma senha não é segura o suficiente, uma pesquisa de dicionário encontrará-lo em segundos.

Uma maneira possível de obter uma senha "forte o suficiente" é para que ele ter pelo menos 11 caracteres de comprimento, pelo menos 4 desses caracteres em maiúsculas, números ou pontuação. Mesmo se os 7 caracteres restantes são minúsculas aleatoriedade baixa texto com (digamos) 3 bits de aleatoriedade por caractere, isso dará mais de espaço da chave do DES de 7.2 * 10 ** 16 combinações possíveis e a senha não poderão ser em dicionários.

No entanto, é hardware aceleradores custos $ 250.000,00 foram criados que pode encontrar o LM ou NTLM chave derivada da senha em dias de 3 a 6 não importa o quanto a senha. Esses números alterar como a tecnologia fica melhor. Para as estatísticas atuais e detalhes consulte o seguinte site:
http://www.eff.org
Com a chave derivada de senha de um usuário não permite que um invasor fazer logon interativamente, mas com software especial, é suficiente para acessar recursos de rede como esse usuário.

Para somente, o espaço para chaves derivada de senha da chave é de 128 bits. Isso faz uma pesquisa de força bruta inviável, mesmo com aceleradores de hardware, se a senha for forte o suficiente.

Se tanto o cliente quanto o servidor estiverem usando o SP4, a segurança de sessão NTLMv2 avançada é negociada. Ele fornece chaves separadas para integridade de mensagem, confidencialidade e entrada de cliente para o desafio para impedir ataques escolhido texto sem formatação e faz uso do algoritmo HMAC-MD5 (consulte a RFC 2104) para verificação de integridade de mensagem.

Porque a variante de datagrama do NTLM não tem uma etapa de negociação, o uso de outra forma negociado opções, como segurança de sessão NTLMv2 e criptografia de 128 bits para confidencialidade de mensagem, deve ser configurado.

Mais Informações

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows


Controle de segurança NTLM é a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
Observação : no Win9x, a chave do registro válido é LMCompatibility enquanto no Windows NT ele é LMCompatibilityLevel.

Opção de variantes de protocolo de autenticação usados e aceitos é através o seguinte valor de chave:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
Observação : autenticação é usada para estabelecer uma sessão (nome de usuário/senha). Segurança da sessão é usada depois que uma sessão é estabelecida usando o tipo de apropriate de autenticação. Também horários de sistema devem estar entre 30 min da outra. Autenticação pode falhar porque o servidor pensará que o desafio do cliente expirou.

Controle sobre a segurança mínima negociada para aplicativos usando NTLMSSP é a seguinte chave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Os seguintes valores são para essa chave:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - clientes

importante : para um cliente do SP4 escolher o nível 3 ou superior, os controladores de domínio para domínios de conta do usuário para todos os usuários que usarão o cliente (daqui em diante, "os usuários controladores de domínio") devem foram atualizados para SP4.

Se um cliente SP4 escolhe nível 0, que é o padrão, ele irá interoperar com servidores anteriores exatamente como com o Service Pack 3 (SP3).

Se um cliente SP4 escolher nível 1, ele irá interoperar com servidores anteriores exatamente como no Service Pack 3 (SP3). Além disso, ele irá negociar a segurança de sessão NTLMv2 com servidores do SP4.

importante : ao usar o nível 1 ou superior, se a última alteração de senha veio de um Windows para Workgroups ou o MS-DOS LanManager cliente 2.x ou anterior, os dados necessários para NTLM e a autenticação NTLMv2 não estará disponível no controlador de domínio e clientes SP4 não poderão se conectar aos servidores do SP4. A solução alternativa é usar o nível 0, ou sempre alterar senhas de um cliente Windows NT, Windows 95 ou Windows 98.

Se um cliente SP4 escolher nível 2, ele não poderá se conectar a servidores que somente a suporte LM autenticação, como o Windows 95, Windows 98, Windows para Workgroups e versões anteriores (daqui em diante chamada de "nível inferior LM clientes/servidores"), a menos que controladores de domínio os usuários foram atualizados.

Se um cliente SP4 escolher nível 3 ou superior, ele sempre enviará a resposta NTLMv2 nova. Essa resposta pode passar por meio de servidores de LM de nível inferior e SP3 ou servidores Windows NT anteriores e seus controladores de domínio, desde que controladores de domínio os usuários foram atualizados para SP4. Por exemplo, se um cliente SP4 escolher nível 3 ou superior, controladores de domínio dos usuários devem foram atualizados para SP4 também. No entanto, essa resposta não funcionará com servidores de LM de nível inferior no modo de segurança de nível de compartilhamento com senhas não-nulo. A solução é configurá-los para usar segurança de nível de usuário.

LMCompatibilityLevel - servidores/controladores de domínio

Se um servidor SP4 escolher nível 4 ou superior, um usuário com uma conta local nesse servidor não poderão conectar-se a ele a partir de um cliente de LM de nível inferior usando essa conta local.

Se um controlador de domínio SP4 escolher nível 4 ou superior, um usuário com uma conta nesse domínio não poderão conectar-se a qualquer servidor membro de um cliente de LM de nível inferior usando sua conta de domínio. Portanto, nível 4 significa que todos os usuários com contas em um servidor ou domínio precisam estar usando o Windows NT para conectar-se.

Se um servidor SP4 escolher nível 5 ou superior, um usuário com uma conta local nesse servidor não poderão se conectar a ele de um SP3 ou cliente do Windows NT anterior usando essa conta local.

Clientes do SP4 escolher nível 0 ou 1 ainda poderá se conectar a servidores SP4, mesmo com níveis 1 ou 3 configurado, mas usará o protocolo do Windows NT e o protocolo mais fraco do LM. Eles também poderão se conectar a servidores LM de nível inferior, mesmo se controladores de domínio dos usuários não tiverem sido atualizadas.

Implantação

Devido a considerações acima, se é preferencial para implantar somente, as seguintes etapas devem ser levadas:
  1. Atualize os controladores de domínio onde as contas para todos os usuários que precisam usar o NTLMv2 são armazenadas.
  2. Mesmo antes da atualização dos controladores de domínio é concluída, clientes e servidores podem ser atualizados para o SP4 e irão obter maior segurança ao conectar-se SP4 ao SP4 definindo o nível 1.
  3. Quando etapa for concluída, sistemas individuais que já tenham sido atualizados para o SP4 podem começar a definir o nível 3 ou posterior.
  4. Se os usuários em alguns domínio de conta nunca precisarem acessar recursos de clientes de nível inferior LM, controladores de domínio do domínio podem ter seu nível definido para 4 e, depois que todos sistemas os usuários foi atualizados para o SP4, controladores de domínio do domínio podem ter seu nível definido como 5.

NtlmMinClientSec e NtlmMinServerSec

Se o bit com valor 0 x 00000010 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a integridade da mensagem não for negociada.

Se o bit com valor 0 x 00000020 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a confidencialidade da mensagem não for negociada.

Se o bit com valor 0 x 00080000 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a segurança de sessão NTLMv2 não for negociada.

Se o bit com valor 0 x 20000000 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a criptografia de 128 bits não for negociada.

Observação : estas configurações não garante que o SSP do NTLM, na verdade, é usado por cada aplicativo, ou que integridade de mensagem ou confidencialidade será realmente usada por um aplicativo, mesmo quando eles são negociados.

Resolução

Para resolver esse problema, obtenha o service pack mais recente para o Windows NT 4.0 ou Windows NT Server 4.0, Terminal Server Edition. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
152734Como obter o service pack mais recente do Windows NT 4.0


Depois de instalar o SP4, siga estas etapas para configurar o nível de compatibilidade LM em servidores e estações de trabalho do Windows NT:
  1. Execute o Editor do Registro (Regedt32.exe).
  2. Da subárvore HKEY_LOCAL_MACHINE, vá para a seguinte chave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Clique em Adicionar valor no menu Editar.
  4. Adicione os seguintes valores:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. Da subárvore HKEY_LOCAL_MACHINE, vá para a seguinte chave:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  6. Clique em Adicionar valor no menu Editar.
  7. Adicione os seguintes valores:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Clique em OK e feche o Editor do Registro.
  9. Desligue e reinicie o Windows NT.

Propriedades

ID do artigo: 147706 - Última revisão: sábado, 16 de setembro de 2006 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows para Workgroups 3.2
  • Microsoft Windows 95
Palavras-chave: 
kbmt kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix KB147706 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 147706

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com