Zakázanie overovania pomocou protokolu LM v systéme Windows NT

Preklady článku Preklady článku
ID článku: 147706 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Pred Windows NT 4.0 Service Pack 4 (SP4), systém Windows NT podporované dva druhy overenia výzvy/odpovede:
  • LanManager (LM) výzva/odpoveď
  • Systém Windows NT challenge/response (tiež známa ako výzva/odpoveď NTLM)
Windows NT tiež podporuje relácie bezpečnostné mechanizmy, ktorá je ustanovená dôvernosť správ a integrity.

Umožniť prístup na servery že len podpora LM overovania Windows NT klientmi pred SP4 vždy použitie oboch dokonca na servery systému Windows NT, podporované overenie pomocou štandardu NTLM.

Overovanie pomocou protokolu LM nie je taká silná ako overovania Windows NT authentication tak niektoré zákazníci chcieť zakázať jeho používanie, pretože útočníkovi naslouchání prevádzku v sieti budú útok slabšie protokolu. Úspešný útok môžete ohroziť hesla používateľa.

Microsoft vyvinula vylepšenie NTLM nazýva overovanie NTLMv2 výrazne zlepšuje proces overenia a zabezpečenia relácie mechanizmy.

Okrem toho vykonávanie služby poskytovateľa zabezpečenia NTLM (BPL) bolo vylepšené umožňuje klientom kontroly, ktoré sú varianty NTLM použité, a umožniť serverov na kontrolu, ktoré varianty budú akceptovať, tým Nastavenie nového kľúča databázy registry primerane. Umožňuje tiež klientov a servery, ktoré budú vyžadovať rokovanie o dôvernosť správ (šifrovanie), integrita správ, 128-bitové šifrovanie a zabezpečenie relácie NTLM, verzia 2.

Tieto zmeny sa prejavia nasledujúce súčasti Windows NT: každá žiadosť ktoré používa Microsoft vzdialené volanie procedúr (RPC) alebo, ktorá používa protokol NTLM SSP, pomocou overenia a zabezpečenia relácie opísaných v tomto dokumente. V Pracovnou stanicou a serverom služby použiť overovanie ale podporujú vlastné zabezpečenie relácie.

Pozadie

Overovanie pomocou protokolu LM nie je taká silná ako NTLM alebo overovanie NTLMv2 pretože algoritmus umožňuje heslá dlhšie ako 7 znaky napadnutá vo 7 znak kúsky. Toto limity účinné heslo silu 7 znaky vyvodiť z množiny veľké abecedné číselné a interpunkčné znaky, plus 32 špeciálne ALT znakov. Používatelia často nesmie dokonca využiť nic víc než abecedné znaky.

Naopak, overenie pomocou štandardu NTLM využíva všetky 14 znakov v heslo a umožňuje malé písmená. Tak e i keď útočník Naslouchání Windows NT authentication protocol môžu útok v rovnako ako LM overovací protokol bude trvať oveľa dlhšie útok na úspech. Ak heslo je dostatočne silný, bude mať jeden 200 MHz Pentium Pro počítač priemerne 2200 rokov nájsť kľúče odvodené z neho a 5500 rokov nájsť heslo sama (alebo 2.2 rokov a 5.5 rokov s 1000 takéto počítače a podobne).

POZNÁMKA: Tento odhad je založený na miera pri ktorej nedávne RSA Labs "DES Challenge"kód testy DES kľúče na 200 MHz Pentium Pro: 1000000 sekundu; a počet DES kľúča: 2 ** 56 alebo 7.2 * 10 ** 16. Ďalšie informácie o "DES Challenge", nájdete na nasledujúcej webovej lokalite:
http://www.RSA.com
Na druhej strane, ak heslo nie je dostatočne silný, slovník vyhľadávacieho môžete nájsť v sekundách.

Jeden možný spôsob, ako "dostatočne silný" heslo je to mať na najmenej 11 znakov v dĺžke, s aspoň 4 týchto znakov veľké písmená, čísla alebo interpunkčné znamienko. Dokonca aj vtedy, ak sú zvyšných 7 znaky malé nízke náhodnosti text s (povedzme) 3 bitov náhodnosti za charakter, to bude dať viac ako to DES kľúč priestor 7.2 * 10 ** 16 možné kombinácie a heslo nebude v slovníkoch.

Však bol postavený hardvéri urýchľovače stojí $250.000 že môže v 3 až 6 dní nezáleží na tom, ako nájsť LM alebo NTLM heslo-odvodené kľúč dlhé heslo je. Tieto čísla zmeniť ako technológia dostane lepšie. Súčasné štatistiky a podrobnosti nájdete na nasledujúcej webovej lokalite:
http://www.eff.org
S heslom-odvodené kľúč užívateľa neumožňuje útočníkovi prihlásiť na interaktívne, ale so špeciálnym softvérom je postačujúce pre prístup k sieťovým prostriedkom ako daného používateľa.

Pre overovanie NTLMv2, kľúča vesmíru pre heslo-odvodené kľúče je 128 bitov. To robí hrubou silou hľadanie nerealizovateľné, dokonca s hardvérom urýchľovače, ak heslo je dostatočne silné.

Ak klient a server pomocou SP4, posilnenej relácie NTLM, verzia 2 vyjedná. Poskytuje samostatné kľúče pre integrita správ a dôvernosť a klienta vstup do výzva na zabránenie vybraný obyčajný text útokov, a používa algoritmus HMAC-MD5 (pozri RFC 2104) správa integritu kontroly.

Pretože datagram variant NTLM nemá vyjednávanie krok, použite inak dohodnuté možnosti, ako napríklad zabezpečenie relácie NTLM, verzia 2 a 128- bitovým šifrovaním pre dôvernosť správ, musí byť nakonfigurovaný.

DALSIE INFORMACIE

Dôležité upozornenie Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows


Kontrolu NTLM bezpečnosti je prostredníctvom nasledujúci kľúč databázy registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
POZNÁMKA: Na Win9x, kľúč platné databázy registry je LMCompatibility v systéme Windows NT je síce LMCompatibilityLevel.

Výber variantmi protokolu overovania použiť a prijaté je prostredníctvom nasledujúce hodnotou tohto kľúča:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
POZNÁMKA: Overovanie sa používa na vytvorenie relácie (užívateľské meno a heslo). Zabezpečenie relácie používa sa po vytvorení relácie pomocou inými typ overenia. Systém krát by byť tiež v rámci 30 minút jeden druhého. Overovanie môže zlyhať, pretože server bude myslieť, že výzvu od klienta skončila.

Kontrolu nad minimálnej bezpečnosti dohodnuté pre aplikácie používajúce NTLMSSP je prostredníctvom nasledujúci kľúč:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Tieto hodnoty sú pre tento kľúč:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - klientov

DÔLEŽITÉ: Pre SP4 klient vybrať úroveň 3 alebo väčšia, radiče domény pre používateľské konto domény pre všetkých používateľov, ktorí budú používať klienta (ďalej "užívatelia radiče domény") musí mať bola inovovaná na SP4.

Ak SP4 klient rozhodne úrovne 0, ktorá je predvolená, bude spolupracovať s staršie servery presne tak, ako to urobil s balíkom Service Pack 3 (SP3).

Ak SP4 klient rozhodne úroveň 1, bude spolupracovať s staršie servery presne tak, ako to urobil v Service Pack 3 (SP3). Okrem toho bude vyjednávať Zabezpečenie relácie NTLM, verzia 2 s SP4 serverov.

DÔLEŽITÉ: Pri použití úroveň 1 alebo väčšia, ak posledná zmena hesla prišiel z Windows pre Workgroups alebo MS-DOS LanManager 2.x klienta alebo staršej, údaje potrebné na protokolu NTLM a overovanie NTLM, verzia 2 nebudú dostupné na radiči domény a SP4 klienti nebudú môcť pripojiť na servery SP4. Riešenie je na použitie úroveň 0 alebo vždy zmena hesiel z klienta systému Windows NT, Windows 95 alebo Windows 98.

Ak SP4 klient rozhodne úrovne 2, nebude môc pripoji na servery ktoré podporujú len overovania pomocou protokolu LM, ako napríklad Windows 95, Windows 98, Windows for Workgroups alebo novším (ďalej nazývané "downlevel LM klientmi/servermi"), pokiaľ boli modernizované radiče domén používateľov.

Ak SP4 klient rozhodne úroveň 3 alebo väčšia, bude sa vždy odosielať nové Odpoveď NTLM, verzia 2. Táto reakcia môže prejsť staršej verzie LM servery a SP3 alebo staršie servery systému Windows NT a ich radičov domén tak dlho, ako radiče domén používateľov boli inovované na SP4. Napríklad, ak SP4 klient si vyberá úroveň 3 alebo väčšia, radiče domén používateľov musí boli inovované na SP4 rovnako. Avšak, táto reakcia nebude fungovať pomocou protokolu LM serverov v režime podiel na úrovni zabezpečenia s nenulových heslá. Riešenie je na konfigurovanie ich používať zabezpečenie na úrovni používateľa.

LMCompatibilityLevel - servery/DCs

Ak SP4 server rozhodne úroveň 4 alebo vyššia, používateľ s lokálnym kontom na Tento server sa dokázal pripojiť zo staršej verzie LM klienta používa dané lokálne konto.

Ak sa k radiču domény SP4 rozhodne úroveň 4 alebo vyššia, používateľ s úvahy v tejto doméne nebude môc pripoji na žiaden ?lenský server zo staršej verzie LM klienta pomocou dané konto domény. Preto úroveň 4 znamená že všetci používatelia s kontami na serveri alebo domény pomocou systému Windows NT pripojiť.

Ak SP4 server rozhodne úroveň 5 alebo vyšší, používateľ s lokálnym kontom na Tento server sa nebude môcť pripojiť k to SP3 alebo staršiu Windows NT klienta pomocou dané lokálne konto.

SP4 klientom výber úrovne 0 alebo 1 bude stále môcť pripojiť k SP4 servery, dokonca s úrovňami 1 alebo 3 nakonfigurovaný, ale budú používať obe Protokol Windows NT a slabšie protokolu LM. Tiež budú môcť pripojiť na protokolu LM servery, aj ak radiče domén používateľov nie bola inovovaná.

Nasadenie

Z dôvodu vyššie uvedených úvah, ak sa to radšej nasadiť overovanie NTLMv2, mali by sa prijať tieto opatrenia:
  1. Inovujte radiče domény, kde sú uložené kontá pre všetkých užívateľov, ktorí používa overovanie NTLMv2.
  2. Ešte pred upgrade radiče domény je dokončený, klientmi a servermi môže byť inovovaný na SP4 a získa rozšíreného zabezpečenia pri pripájaní SP4 SP4 nastavením úrovne 1.
  3. Po dokončení kroku 1 jednotlivých systémov, ktoré už boli inovované na SP4 začať nastavením úrovne 3 alebo väčšia.
  4. Ak používatelia niektoré konto domény nikdy potrebujú prístup k zdrojom od starších LM klientov, že doménové radiče domén môžu mať ich úroveň nastavená na 4 a po všetkých tých užívateľov systémov boli inovované na SP4, že doménové radiče domény môže mať ich úroveň nastavená na 5.

Ako a NtlmMinServerSec

Ak je nastavený bit s hodnotou 0x00000010 v ako alebo NtlmMinServerSec hodnota, spojenie zlyhá, ak integrita správ je nie dohodnuté.

Ak je nastavený bit s hodnotou 0x00000020 v ako alebo NtlmMinServerSec hodnota, spojenie zlyhá, ak hlásenie dôvernosť nie je dohodnuté.

Ak je nastavený bit s hodnotou 0x00080000 v ako alebo NtlmMinServerSec hodnota, spojenie zlyhá, ak zabezpečenie relácie NTLM, verzia 2 nie je dohodnuté.

Ak je nastavený bit s hodnotou 0x20000000 v ako alebo NtlmMinServerSec hodnota, spojenie zlyhá, ak je 128-bitové šifrovanie nie dohodnuté.

POZNÁMKA: Tieto nastavenia bude nezaručuje, že protokol NTLM SSP je skutočne používajú každá prihláška alebo že integrita správ alebo dôvernosti sa skutočne použijú v žiadosti aj vtedy, keď sú dohodnuté.

RIESENIE

Chcete vyriešiť tento problém, Získajte najnovší balík service pack pre systém Windows NT 4.0 alebo Windows NT Server 4.0, Terminal Server Edition. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku databázy Microsoft Knowledge Base:
152734 Ako získať najnovší balík service pack pre systém Windows NT 4.0


Po inštalácii SP4, vykonajte nasledovné kroky na konfigurovanie LM Úroveň kompatibility na Windows NT pracovných staniciach a serveroch:
  1. Spustite Editor databázy Registry (Regedt32.exe).
  2. Z HKEY_LOCAL_MACHINE podstrom, prejdite na nasledujúci kľúč:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. V ponuke Úpravy kliknite na položku pridať hodnotu.
  4. Pridať nasledovné hodnoty:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. Z HKEY_LOCAL_MACHINE podstrom, prejdite na nasledujúci kľúč:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. V ponuke Úpravy kliknite na položku pridať hodnotu.
  7. Pridať nasledovné hodnoty:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Kliknite na tlačidlo OK a potom ukončite Editor databázy Registry.
  9. Vypnite a reštartujte systém Windows NT.

Vlastnosti

ID článku: 147706 - Posledná kontrola: 17. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 95
Kľúčové slová: 
kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix kbmt KB147706 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:147706

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com