Como desabilitar a autenticação LM no Windows NT

Anterior ao Windows NT 4.0 Service Pack 4 (SP4), o Windows NT com suporte a dois tipos de autenticação de desafio/resposta:

• LanManager (LM) desafio/resposta
• Windows NT desafio/resposta (também conhecido como desafio/resposta NTLM)

Windows NT também suporte para mecanismos de segurança sessão fornecidas para confidencialidade e integridade.

Para permitir acesso aos servidores que oferecem suporte somente a autenticação LM, clientes do Windows NT anteriores ao SP4 sempre use ambos, mesmo para servidores Windows NT que suporte a autenticação NTLM.

Autenticação do LM não é tão forte quanto autenticação do Windows NT para que alguns clientes talvez queira desativar seu uso, pois um invasor espionagem no tráfego de rede será atacar o protocolo mais fraco. Um ataque bem-sucedido pode comprometer a senha do usuário.

A Microsoft desenvolveu um aperfeiçoamento NTLM chamada NTLMv2 que melhora significativamente a autenticação e mecanismos de segurança de sessão.

Além disso, a implementação de NTLM segurança Service Provider (SSP) foi aprimorada para permitir que os clientes controlem quais variantes do NTLM são usados e para permitir que servidores controlar quais variantes serão aceitas, definindo uma nova chave de registro corretamente. Ele também permite que clientes e servidores exigir a negociação da confidencialidade de mensagem (criptografia), integridade de mensagem, criptografia de 128 bits e segurança de sessão NTLMv2.

Essas alterações afetam os seguintes componentes de Windows NT: qualquer aplicativo que usa o Microsoft chamada de procedimento remoto (RPC) ou que usa o SSP do NTLM, usar a segurança de autenticação e sessão descrita aqui. Os serviços Workstation e Server usam a autenticação mas oferece suporte sua própria segurança da sessão.

Plano de fundo

Autenticação LM não é tão forte quanto NTLM ou somente porque o algoritmo permite que senhas com mais de 7 caracteres a ser atacado em blocos de caracteres de 7. Isso limita a força de senha efetiva para extraídos do conjunto de letras maiúsculas alfabético, numérico, de 7 caracteres e caracteres de pontuação, além de 32 caracteres ALT especiais. Os usuários geralmente não mesmo disponível próprios de qualquer coisa mais caracteres alfabéticos.

Por outro lado, A autenticação NTLM tira proveito de todos os 14 caracteres na senha e permite que letras minúsculas. Assim, mesmo que um invasor espionagem no protocolo de autenticação Windows NT poderá atacá-lo da mesma maneira como o protocolo de autenticação LM, levará muito mais tempo para o ataque seja bem-sucedida. Se a senha é segura o suficiente, ele levará um único computador 200 MHz Pentium Pro uma média de 2,200 anos para localizar as chaves derivadas de ele e 5,500 anos para localizar a própria senha (ou anos 2.2 e 5.5 anos com 1.000 computadores, e assim por diante).

Observação : essa estimativa se baseia a taxa na qual os laboratórios RSA recente "DES desafio" codificar testes teclas DES um 200 MHz Pentium Pro: 1.000.000/segundo; e o número de chaves de DES: 2 ** 56 ou 7.2 * 10 ** 16. Para obter mais informações sobre o "DES desafio", consulte o seguinte site: Por outro lado, se uma senha não é segura o suficiente, uma pesquisa de dicionário encontrará-lo em segundos.

Uma maneira possível de obter uma senha "forte o suficiente" é para que ele ter pelo menos 11 caracteres de comprimento, pelo menos 4 desses caracteres em maiúsculas, números ou pontuação. Mesmo se os 7 caracteres restantes são minúsculas aleatoriedade baixa texto com (digamos) 3 bits de aleatoriedade por caractere, isso dará mais de espaço da chave do DES de 7.2 * 10 ** 16 combinações possíveis e a senha não poderão ser em dicionários.

No entanto, é hardware aceleradores custos $ 250.000,00 foram criados que pode encontrar o LM ou NTLM chave derivada da senha em dias de 3 a 6 não importa o quanto a senha. Esses números alterar como a tecnologia fica melhor. Para as estatísticas atuais e detalhes consulte o seguinte site: Com a chave derivada de senha de um usuário não permite que um invasor fazer logon interativamente, mas com software especial, é suficiente para acessar recursos de rede como esse usuário.

Para somente, o espaço para chaves derivada de senha da chave é de 128 bits. Isso faz uma pesquisa de força bruta inviável, mesmo com aceleradores de hardware, se a senha for forte o suficiente.

Se tanto o cliente quanto o servidor estiverem usando o SP4, a segurança de sessão NTLMv2 avançada é negociada. Ele fornece chaves separadas para integridade de mensagem, confidencialidade e entrada de cliente para o desafio para impedir ataques escolhido texto sem formatação e faz uso do algoritmo HMAC-MD5 (consulte a RFC 2104) para verificação de integridade de mensagem.

Porque a variante de datagrama do NTLM não tem uma etapa de negociação, o uso de outra forma negociado opções, como segurança de sessão NTLMv2 e criptografia de 128 bits para confidencialidade de mensagem, deve ser configurado.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Controle de segurança NTLM é a seguinte chave do Registro: Observação : no Win9x, a chave do registro válido é LMCompatibility enquanto no Windows NT ele é LMCompatibilityLevel.

Opção de variantes de protocolo de autenticação usados e aceitos é através o seguinte valor de chave: Observação : autenticação é usada para estabelecer uma sessão (nome de usuário/senha). Segurança da sessão é usada depois que uma sessão é estabelecida usando o tipo de apropriate de autenticação. Também horários de sistema devem estar entre 30 min da outra. Autenticação pode falhar porque o servidor pensará que o desafio do cliente expirou.

Controle sobre a segurança mínima negociada para aplicativos usando NTLMSSP é a seguinte chave: Os seguintes valores são para essa chave:

LMCompatibilityLevel - clientes

importante : para um cliente do SP4 escolher o nível 3 ou superior, os controladores de domínio para domínios de conta do usuário para todos os usuários que usarão o cliente (daqui em diante, "os usuários controladores de domínio") devem foram atualizados para SP4.

Se um cliente SP4 escolhe nível 0, que é o padrão, ele irá interoperar com servidores anteriores exatamente como com o Service Pack 3 (SP3).

Se um cliente SP4 escolher nível 1, ele irá interoperar com servidores anteriores exatamente como no Service Pack 3 (SP3). Além disso, ele irá negociar a segurança de sessão NTLMv2 com servidores do SP4.

importante : ao usar o nível 1 ou superior, se a última alteração de senha veio de um Windows para Workgroups ou o MS-DOS LanManager cliente 2.x ou anterior, os dados necessários para NTLM e a autenticação NTLMv2 não estará disponível no controlador de domínio e clientes SP4 não poderão se conectar aos servidores do SP4. A solução alternativa é usar o nível 0, ou sempre alterar senhas de um cliente Windows NT, Windows 95 ou Windows 98.

Se um cliente SP4 escolher nível 2, ele não poderá se conectar a servidores que somente a suporte LM autenticação, como o Windows 95, Windows 98, Windows para Workgroups e versões anteriores (daqui em diante chamada de "nível inferior LM clientes/servidores"), a menos que controladores de domínio os usuários foram atualizados.

Se um cliente SP4 escolher nível 3 ou superior, ele sempre enviará a resposta NTLMv2 nova. Essa resposta pode passar por meio de servidores de LM de nível inferior e SP3 ou servidores Windows NT anteriores e seus controladores de domínio, desde que controladores de domínio os usuários foram atualizados para SP4. Por exemplo, se um cliente SP4 escolher nível 3 ou superior, controladores de domínio dos usuários devem foram atualizados para SP4 também. No entanto, essa resposta não funcionará com servidores de LM de nível inferior no modo de segurança de nível de compartilhamento com senhas não-nulo. A solução é configurá-los para usar segurança de nível de usuário.

LMCompatibilityLevel - servidores/controladores de domínio

Se um servidor SP4 escolher nível 4 ou superior, um usuário com uma conta local nesse servidor não poderão conectar-se a ele a partir de um cliente de LM de nível inferior usando essa conta local.

Se um controlador de domínio SP4 escolher nível 4 ou superior, um usuário com uma conta nesse domínio não poderão conectar-se a qualquer servidor membro de um cliente de LM de nível inferior usando sua conta de domínio. Portanto, nível 4 significa que todos os usuários com contas em um servidor ou domínio precisam estar usando o Windows NT para conectar-se.

Se um servidor SP4 escolher nível 5 ou superior, um usuário com uma conta local nesse servidor não poderão se conectar a ele de um SP3 ou cliente do Windows NT anterior usando essa conta local.

Clientes do SP4 escolher nível 0 ou 1 ainda poderá se conectar a servidores SP4, mesmo com níveis 1 ou 3 configurado, mas usará o protocolo do Windows NT e o protocolo mais fraco do LM. Eles também poderão se conectar a servidores LM de nível inferior, mesmo se controladores de domínio dos usuários não tiverem sido atualizadas.

Implantação

Devido a considerações acima, se é preferencial para implantar somente, as seguintes etapas devem ser levadas:

1. Atualize os controladores de domínio onde as contas para todos os usuários que precisam usar o NTLMv2 são armazenadas.
2. Mesmo antes da atualização dos controladores de domínio é concluída, clientes e servidores podem ser atualizados para o SP4 e irão obter maior segurança ao conectar-se SP4 ao SP4 definindo o nível 1.
3. Quando etapa for concluída, sistemas individuais que já tenham sido atualizados para o SP4 podem começar a definir o nível 3 ou posterior.
4. Se os usuários em alguns domínio de conta nunca precisarem acessar recursos de clientes de nível inferior LM, controladores de domínio do domínio podem ter seu nível definido para 4 e, depois que todos sistemas os usuários foi atualizados para o SP4, controladores de domínio do domínio podem ter seu nível definido como 5.
   

NtlmMinClientSec e NtlmMinServerSec

Se o bit com valor 0 x 00000010 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a integridade da mensagem não for negociada.

Se o bit com valor 0 x 00000020 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a confidencialidade da mensagem não for negociada.

Se o bit com valor 0 x 00080000 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a segurança de sessão NTLMv2 não for negociada.

Se o bit com valor 0 x 20000000 é definido no valor NtlmMinClientSec ou NtlmMinServerSec, a conexão falhará se a criptografia de 128 bits não for negociada.

Observação : estas configurações não garante que o SSP do NTLM, na verdade, é usado por cada aplicativo, ou que integridade de mensagem ou confidencialidade será realmente usada por um aplicativo, mesmo quando eles são negociados.

Para resolver esse problema, obtenha o service pack mais recente para o Windows NT 4.0 ou Windows NT Server 4.0, Terminal Server Edition. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Depois de instalar o SP4, siga estas etapas para configurar o nível de compatibilidade LM em servidores e estações de trabalho do Windows NT:

1. Execute o Editor do Registro (Regedt32.exe).
2. Da subárvore HKEY_LOCAL_MACHINE, vá para a seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
3. Clique em Adicionar valor no menu Editar.
4. Adicione os seguintes valores:

         Value Name: LMCompatibilityLevel
         Data Type: REG_DWORD
         Data:  0 (default) to 5 as defined above
   					

5. Da subárvore HKEY_LOCAL_MACHINE, vá para a seguinte chave:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
6. Clique em Adicionar valor no menu Editar.
7. Adicione os seguintes valores:

         Value Name: NtlmMinClientSec
         Data Type: REG_DWORD
         Data:  0 (default) or as defined above
   
         Value Name: NtlmMinServerSec
         Data Type: REG_DWORD
         Data:  0 (default) or as defined above
   					

8. Clique em OK e feche o Editor do Registro.
9. Desligue e reinicie o Windows NT.