Windows NT'de LM kimlik doğrulaması nasıl devre dışı bırakılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Makale çevirileri Makale çevirileri
Makale numarası: 147706 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Windows NT 4.0 Service Pack 4 öncesinde (SP4), Windows NT sınama/yanıt kimlik doğrulaması iki tür desteklenen:
  • LanManager (LM) talep/tepkisi
  • Windows NT sınama/yanıt (olarak da bilinen NTLM sınama/yanıt)
Windows NT, oturumun güvenlik mekanizmaları, ileti gizliliği ve bütünlük için sağlanan de desteklenir.

Yalnızca LM kimlik doğrulamasını destekleyen sunuculara erişim izni vermek için <a0></a0>, her ikisini de bile, NTLM kimlik doğrulaması desteklenen Windows NT sunucuları için her zaman SP4'den önceki Windows NT istemcileri kullanın.

LM kimlik doğrulaması Windows NT kimlik doğrulaması gibi güçlü değildir, bu nedenle, saldırganın ağ trafiğini gizlice dinleme daha zayıf bir protokol saldırmak, çünkü bazı müşteriler kullanımı, devre dışı bırakmak isteyebilirsiniz. Saldırının başarılı olabilmesi için kullanıcının parolasını olumsuz etkileyebilir.

Microsoft, NTLM, NTLMv2 kimlik doğrulama ve oturum güvenlik mekanizmaları önemli ölçüde artıran.) adı verilen için bir geliştirme geliştirmiştir.

Buna ek olarak, NTLM güvenlik hizmeti sağlayıcısı (SSP) uygulaması, istemciler, NTLM hangi türevlerini denetlemek için kullanılır ve hangi türevlerini denetlemek sunucuları izin vermek için uygun şekilde yeni bir kayıt defteri anahtarını ayarlayarak kabul izin vermek için geliştirilmiştir. Ayrıca, istemciler ve sunucular, ileti gizliliği (şifreleme), ileti bütünlüğü, 128 bit şifreleme ve NTLMv2 oturum güvenliği anlaşma istemesine olanak sağlar.

Bu değişiklikler Windows NT aşağıdaki bileşenleri etkiler: NTLM SSP, kullanan ya da Microsoft Uzak yordam çağrısı (RPC) kullanan herhangi bir uygulama açıklanan güvenlik kimlik doğrulama ile oturum adı kullanın. Workstation ve Server hizmetleri kimlik doğrulaması kullanır, ancak kendi oturum güvenliği destekler.

Arka plan

Algoritma 7 karakter parçalar saldırıya için 7 karakterden uzun parolalar verdiğinden LM kimlik doğrulaması NTLM veya NTLMv2 güçlü değildir. Bu, 7 karakter kümesini büyük alfabetik, sayısal, çizilen ve noktalama işaretleri ve özel ALT 32 karakter için etkili bir parola gücü sınırlar. Kullanıcılar genellikle bile herhangi bir şey birden çok alfabetik karakterler olarak kendilerini avail değil.

Buna ek olarak, NTLM kimlik doğrulaması parolayı tüm 14 karakter yararlanır ve küçük harfler sağlar. Böylece, saldırganın Windows NT kimlik doğrulama protokolüne gizlice dinleme, LM kimlik doğrulama iletişim kuralı olarak aynı şekilde saldırabilir olsa bile, saldırının başarılı olması ne kadar daha uzun sürer. Yeterince sağlam parola ise, bu tek 200 MHz Pentium Pro bilgisayar ortalama 2,200 ve parola kendisini bulmak için 5,500 yılları türetilmiş anahtar bulmak için yıl sürer (veya 2, 2 yıllık ve 5.5 yılları bilgisayarlarla 1.000 gibi vb.).

Not: Bu tahmin en son "DES Challenge" RSA Labs sınamaları DES anahtarlarının bir 200 kod hızını esas MHz Pentium Pro: 1,000/ikinci; ve DES tuş sayısını: 2 ** 56 veya 7.2 * 10 ** 16. "DES itirazı" daha fazla bilgi için lütfen aşağıdaki Microsoft Web sitesine bakın:
http://www.rsa.com
Yeterince sağlam bir parola yoksa, diğer yandan, bir sözlük arama, saniye cinsinden bulabilirsiniz.

"Yeterince sağlam" Parola alma bir olası için en az 11 karakter uzunluğu (en az 4 bu karakterler büyük harf, sayı veya noktalama olması yoludur. Kalan 7 karakter (deyin) 3 bit rastgelelik her karakter, küçük harf düşük rastgelelik metinle bile, bu anahtar alanı 7.2 DES'ın birden fazla sağlayacaktır * 10 ** 16 olası bileşimleri ve parolayı sözlükte olur.

Ancak LM veya NTLM parola türetilmiş anahtar 3-6 gün olarak ne kadar süreyle parolayı ne olursa olsun bulabilir ve $ 250,000 maliyetlendirme hızlandırıcıları yerleşik donanım olur. Bu numaralar, teknoloji daha iyi alır gibi değiştirin. Lütfen, geçerli istatistiklerini ve ayrıntıları için aşağıdaki Web sitesine bakın:
http://www.eff.org
Bir kullanıcının parolasını türetilmiş anahtar sahip bir saldırgan, etkileşimli oturum açma izin vermiyor ancak özel bir yazılım bir kullanıcı olarak ağ kaynaklarına erişmek için yeterli olacaktır.

NTLMv2 için parola türetilen bir anahtar için anahtar alanı 128 bittir. Bu arama kaba kuvvet çiftteki, hatta donanım hızlandırıcıları ile yeterince sağlam bir parola ise sağlar.

SP4 hem istemci hem de sunucu kullanıyorsanız, Gelişmiş NTLMv2 oturum güvenliğini arasında uzlaşmaya varılır. Seçilen düz metin saldırıları önlemek için özel bilgi talebi istemci girişlerini ileti bütünlüğü ve gizliliği için ayrı anahtarları sağlar ve yapar HMAC-MD5 algoritması kullanır (bkz: RFC 2104) için ileti bütünlüğü denetleniyor.

NTLM datagramı türevini bir anlaşma adım olmadığından, NTLMv2 oturum güvenliği ve 128 bit şifreleme ileti gizliliği, gibi yapılandırılacak başka kullanımını seçenekleri, anlaşma.

Daha fazla bilgi

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme


NTLM Güvenlik denetimi aşağıdaki kayıt defteri anahtarı şöyledir:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
Not: Windows NT'DE olduğu LMCompatibilityLevel açık Win9x'ı tıklatın, geçerli kayıt defteri anahtarının LMCompatibility olan.

Bu anahtara aşağıdaki değeri ile kabul edildi ve kullanılan kimlik doğrulama iletişim kuralı türevlerini seçimdir:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
Not: kimlik doğrulaması (kullanıcı adı/parola) oturumu kurmak için kullanılır. Oturum güvenliği, kimlik doğrulama apropriate türü kullanarak oturum kurulduktan sonra kullanılır. Sistem zamanları da bir başka 30 dakika içinde olması gerekir. Sunucu istemciden itirazı doldu düşündüğünüz için kimlik doğrulaması başarısız olabilir.

NTLMSSP kullanan uygulamalar için üzerinde anlaşılan en az güvenliği üzerinde denetimi ile aşağıdaki anahtarı şudur:
Hkey_local_machıne\system\currentcontrolset\control\lsa\msv1_0
Bu anahtar için aşağıdaki değerleri şunlardır:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - istemcileri

ÖNEMLI: 3 veya daha büyük bir düzey seçmek bir SP4 istemcisi için istemci (bundan böyle, "Kullanıcıların etki alanı denetleyicileri") kullanan tüm kullanıcılar için kullanıcı hesabının etki alanı için etki alanı denetleyicilerinin SP4'e yükseltilmiş olan GEREKIR.

Varsayılan değer, 0, düzey bir SP4 istemci seçerse, Service Pack 3 (SP3) gibi önceki sunucularıyla birlikte.

Bir SP4 istemcisinin, Düzey 1 seçerse, Service Pack 3 (SP3) gibi önceki sunucularıyla birlikte. Buna ek olarak, SP4 sunucularla NTLMv2 oturum güvenliği anlaşması.

ÖNEMLI: düzeyi 1 veya daha büyük kullanarak başlattığınızda, son parola değişikliği, bir Windows for Workgroups veya MS-DOS LanManager 2.x ağ istemcisi veya önceki sürümlerinde, NTLM için gerekli veri gelen NTLMv2 kimlik doğrulamasını etki alanı denetleyicisinde kullanılamaz ve SP4 istemcilerinin SP4 sunucularına bağlanmak gideremez ve çözemez. Düzey 0'ı kullanın veya her zaman bir Windows NT, Windows 95 veya Windows 98 istemciden parolaları geçici çözümü var.

Düzey 2 bir SP4 istemci seçerse kullanıcıların etki alanı denetleyicilerine yükseltilen sürece sunucuları için (bundan böyle "LM alt düzey istemci/sunucu" olarak adlandırılır), yalnızca <a1>Destek</a1> LM kimlik gibi <a1>Windows</a1> 95, Windows 98, Windows for Workgroups ve önceki bağlanabiliyor olmayacak.

Düzey 3 veya daha büyük bir SP4 istemci seçer, her zaman yeni NTLMv2 yanıtı gönderir. SP4'e yükseltilmiş olan kullanıcıların etki alanı denetleyicilerinin sürece bu yanıt, alt düzey LM sunucuları ve SP3 veya daha önceki bir Windows NT sunucuları ile kendi etki alanı denetleyicilerinin iletebilirsiniz. Düzey 3 veya daha büyük bir SP4 istemci seçer, örneğin, kullanıcıların etki alanı denetleyicilerinin SP4'e de yükseltilmiş GEREKIR. Ancak, bu yanıtı boş parolaları paylaşım düzeyi güvenlik modunda, alt düzey LM sunucularıyla çalışmayacak. Geçici kullanıcı düzeyi güvenlik kullanacak biçimde yapılandırmaktır.

LMCompatibilityLevel - Servers/DC

Düzey 4 veya daha büyük bir SP4 sunucu seçerse, bu sunucuda yerel hesabı olan bir kullanıcı, yerel hesap kullanarak bir alt düzey LM istemciden bağlanmak gideremez ve çözemez.

Bir <a0>SP4</a0> etki alanı denetleyicisi Düzey 4 veya daha büyük seçerse, o etki alanında hesabı olan bir kullanıcı, etki alanı hesaplarını kullanarak bir alt düzey LM istemciden herhangi bir üye sunucuya bağlanmak gideremez ve çözemez. Bu nedenle, Düzey 4, tüm kullanıcıların hesaplarında, sunucu veya etki alanı ile bağlanmak için Windows NT kullanıyor olmanız gerektiği anlamına gelir.

Bir SP4 sunucu 5 veya daha yüksek bir düzeye seçerse, bir kullanıcının bu sunucuda yerel hesabı olan bir SP3 veya daha önceki Windows NT istemcisi, bu bir yerel hesap kullanarak bağlanmak gideremez ve çözemez.

Seçme düzeyi 0 veya 1 sunucuları (SP4), düzeyleriyle bile 1 veya 3 bağlanabiliyor olmaya devam eder, SP4 istemcilerinin yapılandırdınız, ancak Windows NT iletişim kuralı hem de daha zayıf LM protokolünü kullanacak. Ayrıca kullanıcıların etki alanı denetleyicilerinin değil yükseltilmiş olsa bile, LM alt düzey sunuculara bağlanabilir olacaktır.

Dağıtım

Yukarıdaki konuları nedeniyle, NTLMv2 dağıtmak için tercih ederseniz aşağıdaki adımları alınması gereken:
  1. NTLMv2 kullanılacak olan tüm kullanıcıların hesaplarını depolandığı etki alanı denetleyicilerine yükseltme.
  2. Bile etki alanı denetleyicilerinin yükseltme tamamlanmadan, istemcilerle sunucular SP4'e yükseltilmesi ve Gelişmiş güvenlik, SP4 SP4'e bağlanılırken, Düzey 1 ayarlayarak alacaktır.
  3. 1. Adım tamamlandığında, SP4'e yükseltilmiş olan bağımsız sistemlere 3 veya daha fazla düzeyini ayarlama başlatabilirsiniz.
  4. Bazı hesap etki alanındaki kullanıcıların hiçbir zaman LM alt düzey istemciler kaynaklara erişmek gerekirse, bu etki alanının etki alanı denetleyicilerinin düzeylerini 4'e ayarlanmış olabilir ve tüm kullanıcıların bu sistemleri SP4'e yükselttikten sonra bu etki alanının etki alanı denetleyicilerinin düzeylerini 5 olarak ayarlayın olabilir.

NtlmMinClientSec ve NtlmMinServerSec

<a1>Değer</a1> 0x00000010 kill bitini NtlmMinServerSec ya da NtlmMinClientSec değeri olarak ayarlanmışsa, ileti bütünlüğü üzerinde anlaşılmazsa bağlantı başarısız.

<a1>Değer</a1> 0x00000020 kill bitini NtlmMinServerSec ya da NtlmMinClientSec değeri olarak ayarlanmışsa, ileti gizliliği üzerinde anlaşılmazsa bağlantı başarısız.

<a1>Değer</a1> 0x00080000 kill bitini NtlmMinServerSec ya da NtlmMinClientSec değeri olarak ayarlanırsa, NTLMv2 oturum güvenliği üzerinde anlaşılmazsa bağlantı başarısız.

<a1>Değer</a1> 0x20000000 kill bitini NtlmMinServerSec ya da NtlmMinClientSec değeri olarak ayarlanırsa, 128 bit şifreleme üzerinde anlaşılmazsa bağlantı başarısız.

Not: Bu ayarlar NTLM SSP gerçekte her bir uygulama tarafından kullanılan veya hatta anlaşan, ileti bütünlüğü veya gizlilik gerçekte bir uygulama tarafından kullanılacak garanti değil.

Çözüm

Bu sorunu gidermek için <a0></a0>, Windows NT 4.0 veya Windows NT Server 4.0 Terminal Server Edition için en son hizmet paketini edinin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
152734En son Windows NT 4.0 hizmet paketi nasıl elde edilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)


SP4 yüklendikten sonra Windows NT iş istasyonlarında ve sunucularda LM Uyumluluk düzeyi yapılandırmak için aşağıdaki adımları gerçekleştirin:
  1. Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) çalıştırın.
  2. HKEY_LOCAL_MACHINE alt, aşağıdaki anahtara gidin:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Düzen menüsünde, değer Ekle'yi tıklatın.
  4. Aşağıdaki değerleri ekleyin:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. HKEY_LOCAL_MACHINE alt, aşağıdaki anahtara gidin:
    Hkey_local_machıne\system\currentcontrolset\control\lsa\msv1_0
  6. Düzen menüsünde, değer Ekle'yi tıklatın.
  7. Aşağıdaki değerleri ekleyin:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Tamam'ı tıklatın ve sonra da Kayıt Defteri Düzenleyicisi'nden çıkın.
  9. Windows NT'yi kapatıp yeniden başlatın.

Özellikler

Makale numarası: 147706 - Last Review: 16 Eylül 2006 Cumartesi - Gözden geçirme: 3.4
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows for Workgroups 3.2
  • Microsoft Windows 95
Anahtar Kelimeler: 
kbmt kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix KB147706 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:147706

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com