วิธีการรับรองความถูกต้องของ LM การปิดใช้งานบน Windows NT

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 147706 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

ก่อนที่จะ Windows NT 4.0 Service Pack 4 (SP4), Windows NT สนับสนุนการรับรองความถูกต้องรองรับ/การตอบสนองสองชนิด:
  • รองรับ LanManager (LM) / ตอบสนอง
  • windows NT รองรับ/ตอบ (เรียกอีกอย่างว่า NTLM รองรับ/ตอบ)
นอกจากนี้ windows NT สนับสนุนกลไกการรักษาความปลอดภัยเซสชันที่ให้สำหรับความลับของข้อความและความถูกต้อง

เมื่อต้องการอนุญาตให้เข้าถึงเซิร์ฟเวอร์ที่สนับสนุนการรับรองความถูกต้องของ LM เท่านั้น ไคลเอนต์ Windows NT ก่อนที่จะ SP4 เสมอใช้ทั้งสองอย่าง แม้แต่กับเซิร์ฟเวอร์ของ Windows NT ซึ่งได้รับการสนับสนุนการรับรองความถูกต้องของ NTLM

การรับรองความถูกต้องของ lm ไม่ซับซ้อนการรับรองความถูกต้องของ Windows NT ดังนั้นลูกค้าบางอย่างอาจต้องการใช้งานของ การปิดใช้งานได้เนื่องจากการโจมตีลักลอบในการรับส่งข้อมูลเครือข่ายจะโจมตีโพรโทคอล weaker การโจมตีที่สำเร็จสามารถ compromise รหัสผ่านของผู้ใช้

Microsoft ได้พัฒนาขึ้นการเพิ่มประสิทธิภาพการ NTLM ที่เรียกว่า NTLMv2 ที่ปรับปรุงทั้งการรับรองความถูกต้องและเซสชันกลไกการรักษาความปลอดภัยมาก ขึ้น

นอกจากนี้ ใช้งานของแบบ NTLM ความปลอดภัยบริการผู้ให้บริการ (SSP) ได้ถูกปรับปรุงการอนุญาตให้ใช้งานไคลเอนต์เพื่อควบคุมว่าตัวแปรของ NTLM และอนุญาตให้เซิร์ฟเวอร์สามารถควบคุมตัวแปรที่ พวกเขาจะยอม รับ ด้วยการกำหนดคีย์รีจิสทรีใหม่อย่างเหมาะสม โปรแกรมยังอนุญาตให้ไคลเอนต์และเซิร์ฟเวอร์ต้องการการเจรจาความลับของข้อความ (การเข้ารหัสลับ), ความสมบูรณ์ของข้อความ เข้ารหัสแบบ 128 บิต และความปลอดภัยของเซสชัน NTLMv2

การเปลี่ยนแปลงเหล่านี้มีผลต่อคอมโพเนนต์ต่อไปนี้ของ Windows NT: โปรแกรมประยุกต์ใด ๆ ที่ใช้การเรียกขั้นตอนระยะไกลของ Microsoft (RPC) หรือที่ใช้ SSP NTLM ใช้การรับรองความถูกต้องและเซสชันของความปลอดภัยอธิบายนี้ บริการเวิร์กสเตชันและเซิร์ฟเวอร์ใช้การรับรองความถูกต้อง แต่สนับสนุนการรักษาความปลอดภัยเซสชันของตนเอง

background:

การรับรองความถูกต้องของ lm ไม่เข้มงวดเป็นแบบ NTLM หรือ NTLMv2 เนื่องจากอัลกอริทึมช่วยให้รหัสผ่านที่ยาวเกินอักขระ 7 การถูกโจมตีในกลุ่มอักขระที่ 7 วิธีนี้ช่วยจำกัดการความแรงของรหัสผ่านที่มีผลกับอักขระ 7 ลากจากชุดของข้อความตัวพิมพ์ใหญ่ตัว ตัว เลข และอักขระเครื่องหมายวรรคตอน และอักขระ ALT พิเศษ 32 ผู้ใช้มักจะไม่แม้ avail ของสิ่งที่มากกว่าอักขระพยัญชนะตัวเอง

ใน contrast การรับรองความถูกต้องของ NTLM ใช้ประโยชน์จาก 14 ตัวทั้งหมดในรหัสผ่าน และทำให้อักษรตัวพิมพ์เล็ก ซึ่ง ถึงแม้ว่าผู้โจมตีลักลอบบนโพรโทคอลการรับรองความถูกต้องของ Windows NT สามารถโจมตีดังกล่าวในแบบเดียวกับโพรโทคอลการรับรองความถูกต้องของ LM จะใช้ความยาวมากสำหรับการโจมตีให้สำเร็จ ถ้ารหัสผ่านรัดกุมพอ จะใช้คอมพิวเตอร์เครื่องเดียว 200 MHz Pentium Pro ค่าเฉลี่ยของปี 2,200 เพื่อค้นหาคีย์ที่มาจากการและปี 5,500 เพื่อค้นหาการรหัสผ่านของตัวเอง (หรือปี 2.2 และปี 5.5 1000 เช่นคอมพิวเตอร์ และดังนั้นกลับ)

หมายเหตุ:: ประเมินนี้จะขึ้นอยู่กับอัตรา Labs RSA ล่าสุด "รองรับ DES" ใช้รหัสการทดสอบคีย์ DES บน 200 แบบ MHz Pentium Pro: 1,000,000/สอง และหมายเลขของคีย์ DES: 2 ** 56 หรือ 7.2 * 10 ** 16 สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรอง "DES รับ" โปรดดูเว็บไซต์ต่อไปนี้:
http://www.rsa.com
ที่อื่นครอง ถ้ารหัสผ่านไม่ดีพอ การค้นหาพจนานุกรมสามารถค้นหาได้ในวินาที

วิธีหนึ่งที่สามารถรับรหัสผ่าน "รัดกุมเพียงพอ" คือเพื่อ ให้คุณมีอักขระอย่างน้อย 11 ยาว มีอย่างน้อย 4 เหล่านั้นเป็นตัวพิมพ์ใหญ่อักขระ หมายเลข หรือเครื่องหมายวรรคตอน แม้ว่าอักขระ 7 ที่เหลือเป็นข้อความตัวพิมพ์เล็ก randomness ที่ต่ำที่ มี 3 บิต (เปรียบ) ของ randomness ต่ออักขระ ซึ่งจะให้มากกว่าเนื้อที่ของ 7.2 คีย์ของ DES * 10 ** 16 ชุดที่เป็นไปได้ และรหัสผ่านจะไม่อยู่ในพจนานุกรม

อย่างไรก็ตาม ฮาร์ดแวร์ที่ได้ถูกสร้าง accelerators $ 250,000 การคำนวณต้นทุนที่สามารถค้นหา LM หรือ NTLM รหัสผ่านได้รับคีย์ในวันที่ 3-6 ไม่ว่ารหัสผ่านระยะเวลา ได้ These numbers change as technology gets better. For current statistics and details please see the following Web site:
http://www.eff.org
Having the password-derived key of a user does not allow an attacker to log on interactively but, with special software, it is sufficient to access network resources as that user.

For NTLMv2, the key space for password-derived keys is 128 bits. This makes a brute force search infeasible, even with hardware accelerators, if the password is strong enough.

If both client and server are using SP4, the enhanced NTLMv2 session security is negotiated. It provides separate keys for message integrity and confidentiality, and client input into the challenge to prevent chosen plain text attacks, and makes use of the HMAC-MD5 algorithm (see RFC 2104) for message integrity checking.

Because the datagram variant of NTLM does not have a negotiation step, use of otherwise negotiated options, such as NTLMv2 session security and 128- bit encryption for message confidentiality, has to be configured.

ข้อมูลเพิ่มเติม

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows


Control of NTLM security is through the following registry key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
หมายเหตุ:: On Win9x, the valid registry key is LMCompatibility while on Windows NT it is LMCompatibilityLevel.

Choice of the authentication protocol variants used and accepted is through the following value of that key:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
หมายเหตุ:: Authentication is used to establish a session (username/password). Session security is used once a session is established using the apropriate type of authentication. Also system times should be within 30 mins of one another. Authentication can fail because the server will think the challenge from the client has expired.

Control over the minimum security negotiated for applications using NTLMSSP is through the following key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
The following values are for this key:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - Clients

สิ่งสำคัญ: For an SP4 client to choose level 3 or greater, the domain controllers for the user's account domains for all users who will use the client (hereafter, "the users' domain controllers") MUST have been upgraded to SP4.

If an SP4 client chooses level 0, which is the default, it will interoperate with earlier servers exactly as it did with Service Pack 3 (SP3).

If an SP4 client chooses level 1, it will interoperate with earlier servers exactly as it did at Service Pack 3 (SP3). In addition, it will negotiate NTLMv2 session security with SP4 servers.

สิ่งสำคัญ: When using level 1 or greater, if the last password change came from a Windows for Workgroups or MS-DOS LanManager 2.x client or earlier, the data needed for NTLM and NTLMv2 authentication will not be available on the domain controller, and SP4 clients will not be able to connect to SP4 servers. The workaround is to use level 0, or always change passwords from a Windows NT, Windows 95, or Windows 98 client.

If an SP4 client chooses level 2, it will not be able to connect to servers that only support LM authentication, such as Windows 95, Windows 98, Windows for Workgroups and earlier (hereafter called "downlevel LM clients/servers"), unless the users' domain controllers have been upgraded.

If an SP4 client chooses level 3 or greater, it will always send the new NTLMv2 response. This response can pass through downlevel LM servers and SP3 or earlier Windows NT servers and their domain controllers as long as the users' domain controllers have been upgraded to SP4. For example, if an SP4 client chooses level 3 or greater, the users' domain controllers MUST have been upgraded to SP4 as well. However, this response will not work with downlevel LM servers in Share Level security mode with non-null passwords. The workaround is to configure them to use User Level security.

LMCompatibilityLevel - Servers/DCs

If an SP4 server chooses level 4 or greater, a user with a local account on that server will not be able to connect to it from a downlevel LM client using that local account.

ถ้าตัวควบคุมโดเมน SP4 เลือกระดับ 4 หรือมากกว่า ผู้ใช้ที่ มีแอคเคาท์ในโดเมนนั้นจะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์สมาชิกใด ๆ จากไคลเอนต์ LM downlevel โดยใช้บัญชีโดเมนของตนเอง หมายซึ่ง ระดับ 4 ถึง ว่า ผู้ใช้ทั้งหมดที่ มีบัญชีบนเซิร์ฟเวอร์หรือโดเมนจะต้องสามารถใช้ Windows NT เพื่อเชื่อมต่อ

ถ้าเซิร์ฟเวอร์ SP4 การเลือกระดับ 5 หรือมากกว่า ผู้ใช้ที่ มีบัญชีภายในเครื่องบนเซิร์ฟเวอร์นั้นจะไม่สามารถเชื่อมต่อดังกล่าวจาก SP3 หรือไคลเอนต์ Windows NT รุ่นก่อนหน้านี้โดยใช้บัญชีภายในนั้น

การกำหนดค่าไคลเอนต์ sp4 ที่ระดับที่เลือก 0 หรือ 1 จะยังคงสามารถเชื่อมต่อกับเซิร์ฟเวอร์ SP4 แม้แต่กับระดับ 1 หรือ 3 แต่จะใช้โพรโทคอล Windows NT และโพรโทคอล LM weaker พวกเขาจะยังสามารถเชื่อมต่อกับเซิร์ฟเวอร์ downlevel LM ถึงแม้ว่าตัวควบคุมโดเมนของผู้ใช้ไม่ได้ถูกปรับรุ่น

การปรับใช้

เนื่องจากการข้างต้นข้อควรพิจารณา ถ้าเป็นที่ต้องการปรับใช้ NTLMv2 ขั้นตอนต่อไปนี้ควรจะ:
  1. การปรับรุ่นตัวควบคุมโดเมนที่สถานที่จัดเก็บบัญชีผู้ใช้ทั้งหมดที่มีการใช้ NTLMv2
  2. แม้แต่ก่อนที่การปรับรุ่นของตัวควบคุมโดเมนที่เสร็จสมบูรณ์ ไคลเอนต์และเซิร์ฟเวอร์สามารถถูกปรับรุ่นเป็น SP4 และจะขอรับความปลอดภัยขั้นสูงได้เมื่อมีการเชื่อมต่อ SP4 SP4 โดยการตั้งค่าระดับ 1
  3. เมื่อขั้นตอนที่ 1 เสร็จสมบูรณ์ ระบบแต่ละที่มีอยู่ถูกปรับรุ่นเป็น SP4 สามารถเริ่มต้นการตั้งค่าระดับ 3 หรือมากกว่า
  4. ถ้าผู้ใช้ในโดเมนบางบัญชีไม่จำเป็นต้องเข้าถึงทรัพยากรจากไคลเอนต์ downlevel LM ตัวควบคุมโดเมนของโดเมนที่สามารถให้ระดับการตั้งค่าเป็น 4 และหลังจากที่ระบบของผู้ใช้เหล่านั้นทั้งหมดได้รับการปรับรุ่นไป SP4 ตัวควบคุมโดเมนของโดเมนที่สามารถให้ระดับการตั้งค่าเป็น 5

NtlmMinClientSec และ NtlmMinServerSec

ถ้ามีการตั้งค่าบิต ด้วยค่า 0x00000010 ในค่า NtlmMinClientSec หรือ NtlmMinServerSec การเชื่อมต่อจะล้มเหลวหากไม่มี negotiated ความสมบูรณ์ของข้อความ

ถ้ามีการตั้งค่าบิต ด้วยค่า 0x00000020 ในค่า NtlmMinClientSec หรือ NtlmMinServerSec การเชื่อมต่อจะล้มเหลวหากไม่มี negotiated ความลับของข้อความ

ถ้ามีการตั้งค่าบิต ด้วยค่า 0x00080000 ในค่า NtlmMinClientSec หรือ NtlmMinServerSec การเชื่อมต่อจะล้มเหลวถ้ามีการรักษาความปลอดภัยของเซสชัน NTLMv2 ไม่ได้ถูก negotiated

ถ้ามีการตั้งค่าบิต ด้วยค่า 0x20000000 ในค่า NtlmMinClientSec หรือ NtlmMinServerSec การเชื่อมต่อจะล้มเหลวหากไม่มี negotiated เข้ารหัสแบบ 128 บิต

หมายเหตุ:: ตั้งค่าเหล่านี้จะไม่รับประกันว่า SSP NTLM จริงถูกใช้ โดยโปรแกรมประยุกต์ทั้งหมด หรือความลับหรือข้อความแสดงข้อความนั้นจะถูกใช้จริง โดยโปรแกรมประยุกต์แม้ว่าจะมี negotiated

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ขอรับ service pack ล่าสุดสำหรับ Windows NT 4.0 หรือ Windows NT Server 4.0, Terminal Server Edition สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
152734วิธีการขอรับ service pack ล่าสุดของ Windows NT 4.0


หลังจากติดตั้ง SP4 ดำเนินการขั้นตอนต่อไปนี้เพื่อกำหนดค่าความเข้ากันได้ LM ระดับบนเวิร์กสเตชันของ Windows NT และเซิร์ฟเวอร์ต่อไปนี้:
  1. เรียกใช้ตัวแก้ไขรีจิสทรี (Regedt32.exe)
  2. จากทรีย่อย HKEY_LOCAL_MACHINE ไปคีย์ต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. คลิกเพิ่มค่าบนเมนู'แก้ไข'
  4. เพิ่มค่าต่อไปนี้:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. จากทรีย่อย HKEY_LOCAL_MACHINE ไปคีย์ต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. คลิกเพิ่มค่าบนเมนู'แก้ไข'
  7. เพิ่มค่าต่อไปนี้:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. คลิกตกลงแล้ว ออกจากตัวแก้ไขรีจิสทรี
  9. ชัตดาวน์เครื่อง แล้วรีสตาร์ท Windows NT

คุณสมบัติ

หมายเลขบทความ (Article ID): 147706 - รีวิวครั้งสุดท้าย: 6 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 95
Keywords: 
kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix kbmt KB147706 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:147706

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com