Makale numaras�: 147706 - Son G�zden Ge�irme: 16 Eyl�l 2006 Cumartesi - G�zden ge�irme: 3.4

Windows NT'de LM kimlik do�rulamas� nas�l devre d�� b�rak�l�r (Bu ba�lant�, bir k�sm� veya tamam� �ngilizce olan i�eri�e i�aret edebilir.)

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Sistem �pucuBu makale, kulland��n�zdan farkl� bir i�letim sistemine y�neliktir. Sizinle ilgili olmayabilecek makale i�eri�i devre d�� b�rak�ld�.

�zet

Windows NT 4.0 Service Pack 4 �ncesinde (SP4), Windows NT s�nama/yan�t kimlik do�rulamas� iki t�r desteklenen:

LanManager (LM) talep/tepkisi
Windows NT s�nama/yan�t (olarak da bilinen NTLM s�nama/yan�t)

Windows NT, oturumun g�venlik mekanizmalar�, ileti gizlili�i ve b�t�nl�k i�in sa�lanan de desteklenir.

Yaln�zca LM kimlik do�rulamas�n� destekleyen sunuculara eri�im izni vermek i�in <a0></a0>, her ikisini de bile, NTLM kimlik do�rulamas� desteklenen Windows NT sunucular� i�in her zaman SP4'den �nceki Windows NT istemcileri kullan�n.

LM kimlik do�rulamas� Windows NT kimlik do�rulamas� gibi g��l� de�ildir, bu nedenle, sald�rgan�n a� trafi�ini gizlice dinleme daha zay�f bir protokol sald�rmak, ��nk� baz� m��teriler kullan�m�, devre d�� b�rakmak isteyebilirsiniz. Sald�r�n�n ba�ar�l� olabilmesi i�in kullan�c�n�n parolas�n� olumsuz etkileyebilir.

Microsoft, NTLM, NTLMv2 kimlik do�rulama ve oturum g�venlik mekanizmalar� �nemli �l��de art�ran.) ad� verilen i�in bir geli�tirme geli�tirmi�tir.

Buna ek olarak, NTLM g�venlik hizmeti sa�lay�c�s� (SSP) uygulamas�, istemciler, NTLM hangi t�revlerini denetlemek i�in kullan�l�r ve hangi t�revlerini denetlemek sunucular� izin vermek i�in uygun �ekilde yeni bir kay�t defteri anahtar�n� ayarlayarak kabul izin vermek i�in geli�tirilmi�tir. Ayr�ca, istemciler ve sunucular, ileti gizlili�i (�ifreleme), ileti b�t�nl��, 128 bit �ifreleme ve NTLMv2 oturum g�venli�i anla�ma istemesine olanak sa�lar.

Bu de�i�iklikler Windows NT a�a��daki bile�enleri etkiler: NTLM SSP, kullanan ya da Microsoft Uzak yordam �a�r�s� (RPC) kullanan herhangi bir uygulama a��klanan g�venlik kimlik do�rulama ile oturum ad� kullan�n. Workstation ve Server hizmetleri kimlik do�rulamas� kullan�r, ancak kendi oturum g�venli�i destekler.

�ste

Arka plan

Algoritma 7 karakter par�alar sald�r�ya i�in 7 karakterden uzun parolalar verdi�inden LM kimlik do�rulamas� NTLM veya NTLMv2 g��l� de�ildir. Bu, 7 karakter k�mesini b�y�k alfabetik, say�sal, �izilen ve noktalama i�aretleri ve �zel ALT 32 karakter i�in etkili bir parola g�c� s�n�rlar. Kullan�c�lar genellikle bile herhangi bir �ey birden �ok alfabetik karakterler olarak kendilerini avail de�il.

Buna ek olarak, NTLM kimlik do�rulamas� parolay� t�m 14 karakter yararlan�r ve k��k harfler sa�lar. B�ylece, sald�rgan�n Windows NT kimlik do�rulama protokol�ne gizlice dinleme, LM kimlik do�rulama ileti�im kural� olarak ayn� �ekilde sald�rabilir olsa bile, sald�r�n�n ba�ar�l� olmas� ne kadar daha uzun s�rer. Yeterince sa�lam parola ise, bu tek 200 MHz Pentium Pro bilgisayar ortalama 2,200 ve parola kendisini bulmak i�in 5,500 y�llar� t�retilmi� anahtar bulmak i�in y�l s�rer (veya 2, 2 y�ll�k ve 5.5 y�llar� bilgisayarlarla 1.000 gibi vb.).

Not: Bu tahmin en son "DES Challenge" RSA Labs s�namalar� DES anahtarlar�n�n bir 200 kod h�z�n� esas MHz Pentium Pro: 1,000/ikinci; ve DES tu� say�s�n�: 2 ** 56 veya 7.2 * 10 ** 16. "DES itiraz�" daha fazla bilgi i�in l�tfen a�a��daki Microsoft Web sitesine bak�n:

http://www.rsa.com (http://www.rsa.com)

Yeterince sa�lam bir parola yoksa, di�er yandan, bir s�zl�k arama, saniye cinsinden bulabilirsiniz.

"Yeterince sa�lam" Parola alma bir olas� i�in en az 11 karakter uzunlu�u (en az 4 bu karakterler b�y�k harf, say� veya noktalama olmas� yoludur. Kalan 7 karakter (deyin) 3 bit rastgelelik her karakter, k��k harf d��k rastgelelik metinle bile, bu anahtar alan� 7.2 DES'�n birden fazla sa�layacakt�r * 10 ** 16 olas� bile�imleri ve parolay� s�zl�kte olur.

Ancak LM veya NTLM parola t�retilmi� anahtar 3-6 g�n olarak ne kadar s�reyle parolay� ne olursa olsun bulabilir ve $ 250,000 maliyetlendirme h�zland�r�c�lar� yerle�ik donan�m olur. Bu numaralar, teknoloji daha iyi al�r gibi de�i�tirin. L�tfen, ge�erli istatistiklerini ve ayr�nt�lar� i�in a�a��daki Web sitesine bak�n:

http://www.eff.org (http://www.eff.org)

Bir kullan�c�n�n parolas�n� t�retilmi� anahtar sahip bir sald�rgan, etkile�imli oturum a�ma izin vermiyor ancak �zel bir yaz�l�m bir kullan�c� olarak a� kaynaklar�na eri�mek i�in yeterli olacakt�r.

NTLMv2 i�in parola t�retilen bir anahtar i�in anahtar alan� 128 bittir. Bu arama kaba kuvvet �iftteki, hatta donan�m h�zland�r�c�lar� ile yeterince sa�lam bir parola ise sa�lar.

SP4 hem istemci hem de sunucu kullan�yorsan�z, Geli�mi� NTLMv2 oturum g�venli�ini aras�nda uzla�maya var�l�r. Se�ilen d�z metin sald�r�lar� �nlemek i�in �zel bilgi talebi istemci giri�lerini ileti b�t�nl�� ve gizlili�i i�in ayr� anahtarlar� sa�lar ve yapar HMAC-MD5 algoritmas� kullan�r (bkz: RFC 2104) i�in ileti b�t�nl�� denetleniyor.

NTLM datagram� t�revini bir anla�ma ad�m olmad��ndan, NTLMv2 oturum g�venli�i ve 128 bit �ifreleme ileti gizlili�i, gibi yap�land�r�lacak ba�ka kullan�m�n� se�enekleri, anla�ma.

�ste

Daha fazla bilgi

�nemli Bu b�l�m, y�ntem veya g�rev kay�t defterini nas�l s�yleyin ad�mlar� i�erir. Ancak kay�t defterini hatal� olarak de�i�tirirseniz �nemli sorunlar olu�abilir. Bu nedenle, bu ad�mlar� dikkatlice uygulad��n�zdan emin olun. Ek koruma i�in, kay�t defterini de�i�tirmeden �nce yedeklemeyi unutmay�n. Bir sorun olu�ursa kay�t defterini daha sonra geri y�kleyebilirsiniz. Kay�t defterini yedekleme ve geri y�kleme hakk�nda daha fazla bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

322756� (http://support.microsoft.com/kb/322756/ ) Windows'da kay�t defterini yedekleme ve geri y�kleme

NTLM G�venlik denetimi a�a��daki kay�t defteri anahtar� ��yledir:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA

Not: Windows NT'DE oldu�u LMCompatibilityLevel a��k Win9x'� t�klat�n, ge�erli kay�t defteri anahtar�n�n LMCompatibility olan.

Bu anahtara a�a��daki de�eri ile kabul edildi ve kullan�lan kimlik do�rulama ileti�im kural� t�revlerini se�imdir:

   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)

Not: kimlik do�rulamas� (kullan�c� ad�/parola) oturumu kurmak i�in kullan�l�r. Oturum g�venli�i, kimlik do�rulama apropriate t�r� kullanarak oturum kurulduktan sonra kullan�l�r. Sistem zamanlar� da bir ba�ka 30 dakika i�inde olmas� gerekir. Sunucu istemciden itiraz� doldu d��nd��n�z i�in kimlik do�rulamas� ba�ar�s�z olabilir.

NTLMSSP kullanan uygulamalar i�in �zerinde anla��lan en az g�venli�i �zerinde denetimi ile a�a��daki anahtar� �udur:

Hkey_local_mach�ne\system\currentcontrolset\control\lsa\msv1_0

Bu anahtar i�in a�a��daki de�erleri �unlard�r:

   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption

�ste

LMCompatibilityLevel - istemcileri

�NEMLI: 3 veya daha b�y�k bir d�zey se�mek bir SP4 istemcisi i�in istemci (bundan b�yle, "Kullan�c�lar�n etki alan� denetleyicileri") kullanan t�m kullan�c�lar i�in kullan�c� hesab�n�n etki alan� i�in etki alan� denetleyicilerinin SP4'e y�kseltilmi� olan GEREKIR.

Varsay�lan de�er, 0, d�zey bir SP4 istemci se�erse, Service Pack 3 (SP3) gibi �nceki sunucular�yla birlikte.

Bir SP4 istemcisinin, D�zey 1 se�erse, Service Pack 3 (SP3) gibi �nceki sunucular�yla birlikte. Buna ek olarak, SP4 sunucularla NTLMv2 oturum g�venli�i anla�mas�.

�NEMLI: d�zeyi 1 veya daha b�y�k kullanarak ba�latt��n�zda, son parola de�i�ikli�i, bir Windows for Workgroups veya MS-DOS LanManager 2.x a� istemcisi veya �nceki s�r�mlerinde, NTLM i�in gerekli veri gelen NTLMv2 kimlik do�rulamas�n� etki alan� denetleyicisinde kullan�lamaz ve SP4 istemcilerinin SP4 sunucular�na ba�lanmak gideremez ve ��zemez. D�zey 0'� kullan�n veya her zaman bir Windows NT, Windows 95 veya Windows 98 istemciden parolalar� ge�ici ��z�m� var.

D�zey 2 bir SP4 istemci se�erse kullan�c�lar�n etki alan� denetleyicilerine y�kseltilen s�rece sunucular� i�in (bundan b�yle "LM alt d�zey istemci/sunucu" olarak adland�r�l�r), yaln�zca <a1>Destek</a1> LM kimlik gibi <a1>Windows</a1> 95, Windows 98, Windows for Workgroups ve �nceki ba�lanabiliyor olmayacak.

D�zey 3 veya daha b�y�k bir SP4 istemci se�er, her zaman yeni NTLMv2 yan�t� g�nderir. SP4'e y�kseltilmi� olan kullan�c�lar�n etki alan� denetleyicilerinin s�rece bu yan�t, alt d�zey LM sunucular� ve SP3 veya daha �nceki bir Windows NT sunucular� ile kendi etki alan� denetleyicilerinin iletebilirsiniz. D�zey 3 veya daha b�y�k bir SP4 istemci se�er, �rne�in, kullan�c�lar�n etki alan� denetleyicilerinin SP4'e de y�kseltilmi� GEREKIR. Ancak, bu yan�t� bo� parolalar� payla��m d�zeyi g�venlik modunda, alt d�zey LM sunucular�yla �al��mayacak. Ge�ici kullan�c� d�zeyi g�venlik kullanacak bi�imde yap�land�rmakt�r.

�ste

LMCompatibilityLevel - Servers/DC

D�zey 4 veya daha b�y�k bir SP4 sunucu se�erse, bu sunucuda yerel hesab� olan bir kullan�c�, yerel hesap kullanarak bir alt d�zey LM istemciden ba�lanmak gideremez ve ��zemez.

Bir <a0>SP4</a0> etki alan� denetleyicisi D�zey 4 veya daha b�y�k se�erse, o etki alan�nda hesab� olan bir kullan�c�, etki alan� hesaplar�n� kullanarak bir alt d�zey LM istemciden herhangi bir �ye sunucuya ba�lanmak gideremez ve ��zemez. Bu nedenle, D�zey 4, t�m kullan�c�lar�n hesaplar�nda, sunucu veya etki alan� ile ba�lanmak i�in Windows NT kullan�yor olman�z gerekti�i anlam�na gelir.

Bir SP4 sunucu 5 veya daha y�ksek bir d�zeye se�erse, bir kullan�c�n�n bu sunucuda yerel hesab� olan bir SP3 veya daha �nceki Windows NT istemcisi, bu bir yerel hesap kullanarak ba�lanmak gideremez ve ��zemez.

Se�me d�zeyi 0 veya 1 sunucular� (SP4), d�zeyleriyle bile 1 veya 3 ba�lanabiliyor olmaya devam eder, SP4 istemcilerinin yap�land�rd�n�z, ancak Windows NT ileti�im kural� hem de daha zay�f LM protokol�n� kullanacak. Ayr�ca kullan�c�lar�n etki alan� denetleyicilerinin de�il y�kseltilmi� olsa bile, LM alt d�zey sunuculara ba�lanabilir olacakt�r.

�ste

Da��t�m

Yukar�daki konular� nedeniyle, NTLMv2 da��tmak i�in tercih ederseniz a�a��daki ad�mlar� al�nmas� gereken:

NTLMv2 kullan�lacak olan t�m kullan�c�lar�n hesaplar�n� depoland�� etki alan� denetleyicilerine y�kseltme.
Bile etki alan� denetleyicilerinin y�kseltme tamamlanmadan, istemcilerle sunucular SP4'e y�kseltilmesi ve Geli�mi� g�venlik, SP4 SP4'e ba�lan�l�rken, D�zey 1 ayarlayarak alacakt�r.
1. Ad�m tamamland��nda, SP4'e y�kseltilmi� olan ba��ms�z sistemlere 3 veya daha fazla d�zeyini ayarlama ba�latabilirsiniz.
Baz� hesap etki alan�ndaki kullan�c�lar�n hi�bir zaman LM alt d�zey istemciler kaynaklara eri�mek gerekirse, bu etki alan�n�n etki alan� denetleyicilerinin d�zeylerini 4'e ayarlanm�� olabilir ve t�m kullan�c�lar�n bu sistemleri SP4'e y�kselttikten sonra bu etki alan�n�n etki alan� denetleyicilerinin d�zeylerini 5 olarak ayarlay�n olabilir.

�ste

NtlmMinClientSec ve NtlmMinServerSec

<a1>De�er</a1> 0x00000010 kill bitini NtlmMinServerSec ya da NtlmMinClientSec de�eri olarak ayarlanm��sa, ileti b�t�nl�� zerinde anla��lmazsa ba�lant� ba�ar�s�z.

<a1>De�er</a1> 0x00000020 kill bitini NtlmMinServerSec ya da NtlmMinClientSec de�eri olarak ayarlanm��sa, ileti gizlili�i �zerinde anla��lmazsa ba�lant� ba�ar�s�z.

<a1>De�er</a1> 0x00080000 kill bitini NtlmMinServerSec ya da NtlmMinClientSec de�eri olarak ayarlan�rsa, NTLMv2 oturum g�venli�i �zerinde anla��lmazsa ba�lant� ba�ar�s�z.

<a1>De�er</a1> 0x20000000 kill bitini NtlmMinServerSec ya da NtlmMinClientSec de�eri olarak ayarlan�rsa, 128 bit �ifreleme �zerinde anla��lmazsa ba�lant� ba�ar�s�z.

Not: Bu ayarlar NTLM SSP ger�ekte her bir uygulama taraf�ndan kullan�lan veya hatta anla�an, ileti b�t�nl�� veya gizlilik ger�ekte bir uygulama taraf�ndan kullan�lacak garanti de�il.

�ste

��z�m

Bu sorunu gidermek i�in <a0></a0>, Windows NT 4.0 veya Windows NT Server 4.0 Terminal Server Edition i�in en son hizmet paketini edinin. Daha fazla bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

152734� (http://support.microsoft.com/kb/152734/ ) En son Windows NT 4.0 hizmet paketi nas�l elde edilir (Bu ba�lant�, bir k�sm� veya tamam� �ngilizce olan i�eri�e i�aret edebilir.)

SP4 y�klendikten sonra Windows NT i� istasyonlar�nda ve sunucularda LM Uyumluluk d�zeyi yap�land�rmak i�in a�a��daki ad�mlar� ger�ekle�tirin:

Kay�t Defteri D�zenleyicisi'ni (Regedt32.exe) �al��t�r�n.
HKEY_LOCAL_MACHINE alt, a�a��daki anahtara gidin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
D�zen men�s�nde, de�er Ekle'yi t�klat�n.

A�a��daki de�erleri ekleyin:

      Value Name: LMCompatibilityLevel
      Data Type: REG_DWORD
      Data:  0 (default) to 5 as defined above

HKEY_LOCAL_MACHINE alt, a�a��daki anahtara gidin:
Hkey_local_mach�ne\system\currentcontrolset\control\lsa\msv1_0
D�zen men�s�nde, de�er Ekle'yi t�klat�n.

A�a��daki de�erleri ekleyin:

      Value Name: NtlmMinClientSec
      Data Type: REG_DWORD
      Data:  0 (default) or as defined above

      Value Name: NtlmMinServerSec
      Data Type: REG_DWORD
      Data:  0 (default) or as defined above

Tamam'� t�klat�n ve sonra da Kay�t Defteri D�zenleyicisi'nden ��k�n.
Windows NT'yi kapat�p yeniden ba�lat�n.

�ste

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows NT Server 4.0 Terminal Server
Microsoft Windows NT Workstation 3.51
Microsoft Windows NT Workstation 4.0 Developer Edition
Microsoft Windows NT Server 3.51
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft LAN Manager 4.2 Standard Edition
Microsoft Windows for Workgroups 3.2
Microsoft Windows 95

�ste

kbmt kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix KB147706 KbMttr

�ste

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:147706� (http://support.microsoft.com/kb/147706/en-us/ )

�ste

This site in other countries/regions:

Windows NT'de LM kimlik do�rulamas� nas�l devre d�� b�rak�l�r (Bu ba�lant�, bir k�sm� veya tamam� �ngilizce olan i�eri�e i�aret edebilir.)

Bu Sayfada

�zet

Arka plan

Daha fazla bilgi

LMCompatibilityLevel - istemcileri

LMCompatibilityLevel - Servers/DC

Da��t�m

NtlmMinClientSec ve NtlmMinServerSec

��z�m

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Bu bilgi hakk�nda geri bildirim sa�lay�n

Di�er Destek Siteleri

Topluluk

Makale �evirileri

This site in other countries/regions:

Windows NT'de LM kimlik do�rulamas� nas�l devre d��� b�rak�l�r (Bu ba�lant�, bir k�sm� veya tamam� �ngilizce olan i�eri�e i�aret edebilir.)

Bu Sayfada

�zet

Arka plan

Daha fazla bilgi

LMCompatibilityLevel - istemcileri

LMCompatibilityLevel - Servers/DC

Da��t�m

NtlmMinClientSec ve NtlmMinServerSec

��z�m

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Bu bilgi hakk�nda geri bildirim sa�lay�n

Di�er Destek Siteleri

Topluluk

Makale �evirileri

Windows NT'de LM kimlik do�rulamas� nas�l devre d�� b�rak�l�r (Bu ba�lant�, bir k�sm� veya tamam� �ngilizce olan i�eri�e i�aret edebilir.)

Bu makaledeki bilginin uyguland�� durum: