Làm th? nào đ? vô hi?u hoá LM xác th?c trên Windows NT

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 147706 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Trư?c khi đ? Windows NT 4.0 Service Pack 4 (SP4), Windows NT h? tr? hai các lo?i thách th?c/ph?n ?ng xác th?c:
  • LanManager (LM) thách th?c/ph?n ?ng
  • Windows NT thách th?c/ph?n ?ng (c?ng đư?c g?i là NTLM challenge/response)
Windows NT c?ng h? tr? cơ ch? b?o m?t phiên h?p cung c?p cho thông báo b?o m?t và tính toàn v?n.

Đ? cho phép truy c?p vào máy ch? đó xác th?c duy nh?t h? tr? LM, Windows NT khách hàng trư?c khi đ?n SP4 luôn luôn s? d?ng c? hai, th?m chí đ?n các máy ch? Windows NT mà h? tr? NTLM xác th?c.

LM xác th?c là không m?nh như Windows NT xác th?c v? v?y m?t s? khách hàng có th? nên vô hi?u hóa vi?c s? d?ng nó, b?i v? k? lén vào m?ng lư?i giao thông s? t?n công giao th?c y?u hơn. M?t cu?c t?n công thành công có th? th?a hi?p m?t kh?u c?a ngư?i dùng.

Microsoft đ? phát tri?n m?t nâng cao đ? NTLM đư?c g?i là NTLMv2 có c?i thi?n đáng k? c? xác th?c và an ninh Phiên cơ ch?.

Ngoài ra, vi?c th?c hi?n c?a NTLM Security Service Provider (SSP) đ? đư?c tăng cư?ng đ? cho phép khách hàng đ? ki?m soát cho các bi?n th? c?a NTLM là đư?c s? d?ng, và cho phép các máy ch? đ? ki?m soát các bi?n th? mà h? s? ch?p nh?n, b?i thi?t l?p m?t khóa registry m?i m?t cách thích h?p. Nó c?ng cho phép khách hàng và các máy ch? đ? yêu c?u vi?c thương lư?ng c?a thông báo b?o m?t (m? hóa), thông đi?p toàn v?n, m? hóa 128-bit, và an ninh phiên NTLMv2.

Nh?ng thay đ?i này ?nh hư?ng đ?n các thành ph?n Windows NT sau: b?t k? ?ng d?ng có s? d?ng Microsoft cu?c g?i th? t?c t? xa (RPC) ho?c dùng NTLM SSP, s? d?ng xác th?c và an ninh phiên đư?c mô t? ? đây. Các Máy tr?m và máy ch? d?ch v? s? d?ng xác th?c nhưng h? tr? riêng c?a h? phiên giao d?ch b?o m?t.

N?n

LM xác th?c là không m?nh như NTLM ho?c NTLMv2 v? các thu?t toán cho phép m?t kh?u dài hơn 7 k? t? đ? b? t?n công trong 7 k? t? kh?i. Đi?u này gi?i h?n s?c m?nh hi?u qu? m?t kh?u đ? 7 k? t? rút ra t? t?p k? t? ch? hoa k? t?, s? và d?u ch?m câu, c?ng v?i 32 k? t? đ?c bi?t ALT. Ngư?i dùng thư?ng không th?m chí avail t? c?a b?t c? đi?u g? khác hơn là ch? k? t?.

Ngư?c l?i, NTLM xác th?c m?t l?i th? c?a t?t c? nhân v?t 14 trong m?t kh?u và cho phép ch? cái. V? v?y, ngay c? m?c dù m?t k? t?n công lén vào giao th?c xác th?c c?a Windows NT có th? t?n công nó trong cùng m?t cách như là giao th?c xác th?c LM, nó s? lâu đ?n nay cho cu?c t?n công đ? thành công. N?u m?t kh?u không đ? m?nh, nó s? m?t m?t máy vi tính 200 MHz Pentium Pro trung b?nh kho?ng 2.200 năm đ? t?m các phím b?t ngu?n t? nó và 5.500 năm đ? t?m m?t kh?u chính nó (ho?c 2,2 năm và 5,5 năm v?i 1.000 như máy tính, và vv).

LƯU ?: Ư?c tính này d?a trên t? l? mà t?i đó các ph?ng thí nghi?m RSA g?n đây "DES Thách th?c"m? ki?m tra DES phím trên m?t 200 MHz Pentium Pro: 1.000.000/th? hai; và s? lư?ng các phím DES: 2 ** 56 ho?c 7,2 * 10 ** 16. Để biết thêm thông tin về "DES Challenge", xin vui l?ng xem trang Web sau đây:
http://www.RSA.com
M?t khác, n?u m?t m?t kh?u là không đ?, m?nh m? m?t tra c?u t? đi?n có th? t?m th?y nó trong vài giây.

M?t trong nh?ng cách có th? nh?n đư?c m?t m?t kh?u "đ? m?nh" là đ? có nó t?i ít nh?t là 11 k? t? dài, v?i ít nh?t 4 c?a nh?ng nhân v?t k? t? ch? hoa, s? hay d?u ch?m câu. Ngay c? khi các nhân v?t c?n 7 văn b?n ch? thư?ng th?p randomness (nói) 3 bit ng?u nhiên cho m?i nhân v?t, đi?u này s? cung c?p cho nhi?u hơn c?a DES phím không gian c?a 7,2 * 10 ** 16 có th? k?t h?p, và m?t kh?u s? không trong t? đi?n.

Tuy nhiên, ph?n c?ng máy gia t?c tính toán chi phí $250,000 đư?c xây d?ng có th? t?m LM ho?c NTLM ch?a khóa m?t kh?u có ngu?n g?c trong 3-6 ngày không có v?n đ? làm th? nào dài m?t kh?u là. Nh?ng con s? này thay đ?i như công ngh? đư?c t?t hơn. Đ?i v?i s? li?u th?ng kê hi?n t?i và thông tin chi ti?t xin xem trang Web sau đây:
http://www.eff.org
Có m?t kh?u có ngu?n g?c chính c?a ngư?i dùng không cho phép k? t?n công đ? đăng nh?p ngày tương tác nhưng, v?i ph?n m?m đ?c bi?t, nó là đ? đ? truy c?p tài nguyên m?ng như ngư?i dùng đó.

Đ?i v?i NTLMv2, phím không gian cho m?t kh?u có ngu?n g?c phím là 128 bit. Đi?u này làm cho m?t t?m ki?m s?c m?nh v? phu infeasible, ngay c? v?i máy gia t?c ph?n c?ng, n?u các m?t kh?u là đ? m?nh.

N?u c? khách hàng và máy ch? đang s? d?ng SP4, k? h?p th? NTLMv2 nâng cao an ninh thương lư?ng. Nó cung c?p riêng bi?t phím cho tin nh?n tính toàn v?n và b?o m?t, và khách hàng đ?u vào vào thách th?c đ? ngăn ch?n đư?c ch?n đ?ng b?ng văn b?n các cu?c t?n công, và làm cho vi?c s? d?ng các thu?t toán HMAC MD5 (xem RFC 2104) cho thư ki?m tra tính toàn v?n.

B?i v? các bi?n th? datagram c?a NTLM không có m?t bư?c đàm phán, s? d?ng c?a n?u không thương lư?ng tùy ch?n, ch?ng h?n như NTLMv2 phiên an ninh và 128- bit m?t m? cho thông báo b?o m?t, ph?i đư?c c?u h?nh.

THÔNG TIN THÊM

Quan tr?ng Ph?n này, phương pháp, ho?c công vi?c có bư?c mà cho b?n bi?t làm th? nào đ? ch?nh s?a registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows


Ki?m soát an ninh NTLM là thông qua khóa registry sau đây:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
LƯU ?: Trên Win9x, khóa s? đăng k? h?p l? là LMCompatibility trong khi trên Windows NT nó LMCompatibilityLevel.

S? l?a ch?n c?a các phiên b?n giao th?c xác th?c đư?c s? d?ng và đư?c ch?p nh?n là thông qua giá tr? sau đó quan tr?ng:
   Value: LMCompatibilityLevel
   Value Type: REG_DWORD - Number
   Valid Range: 0-5
   Default: 0
   Description: This parameter specifies the type of authentication to be
   used.

   Level 0 - Send LM response and NTLM response; never use NTLMv2 session
             security
   Level 1 - Use NTLMv2 session security if negotiated
   Level 2 - Send NTLM authentication only
   Level 3 - Send NTLMv2 authentication  only
   Level 4 - DC refuses LM authentication
   Level 5 - DC refuses LM and NTLM authentication (accepts only NTLMv2)
				
LƯU ?: Xác th?c đư?c s? d?ng đ? thi?t l?p m?t phiên (tên ngư?i dùng/m?t kh?u). Phiên làm vi?c an ninh đư?c s? d?ng khi m?t phiên h?p đư?c thành l?p b?ng cách s? d?ng lo?i apropriate xác th?c. C?ng th?i gian h? th?ng nên trong v?ng 30 phút c?a nhau. Xác th?c có th? không thành công v? máy ch? s? ngh? r?ng nh?ng thách th?c t? các khách hàng đ? h?t h?n.

Ki?m soát an ninh t?i thi?u thương lư?ng cho các ?ng d?ng b?ng cách s? d?ng NTLMSSP là thông qua phím sau đây:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Các giá tr? sau đây cho khoá này:
   Value: NtlmMinClientSec
   Value Type: REG_DWORD - Number
   Valid Range: the logical 'or' of any of the following values:
      0x00000010
      0x00000020
      0x00080000
      0x20000000
   Default: 0

   Value: NtlmMinServerSec
   Value Type: REG_DWORD - Number
   Valid Range: same as NtlmMinClientSec
   Default: 0
   Description: This parameter specifies the minimum security to be used.
      0x00000010  Message integrity
      0x00000020  Message confidentiality
      0x00080000  NTLMv2 session security
      0x20000000  128 bit encryption
				

LMCompatibilityLevel - khách hàng

QUAN TR?NG: Cho m?t khách hàng SP4 ch?n c?p 3 ho?c cao hơn, các b? đi?u khi?n vùng cho trương m?c c?a ngư?i s? d?ng tên mi?n cho t?t c? ngư?i dùng nh?ng ngư?i s? s? d?ng các khách hàng (k? t? câu này, "nh?ng ngư?i s? d?ng tên mi?n l?") ph?i đ? đư?c nâng c?p đ? SP4.

N?u m?t khách hàng SP4 l?a ch?n c?p 0, đó là m?c đ?nh, nó s? interoperate v?i máy ch? trư?c đó chính xác như nó đ? làm v?i Service Pack 3 (SP3).

N?u m?t khách hàng SP4 l?a ch?n c?p 1, nó s? interoperate v?i các máy ch? trư?c đó chính xác như nó đ? làm t?i Service Pack 3 (SP3). Ngoài ra, nó s? đàm phán NTLMv2 phiên an ninh v?i SP4 h? ph?c v?.

QUAN TR?NG: Khi s? d?ng c?p đ? 1 ho?c cao hơn, n?u thay đ?i m?t kh?u cu?i cùng đ?n t? m?t Windows cho nhóm làm vi?c ho?c MS-DOS LanManager 2.x khách hàng ho?c trư?c đó, các d? li?u c?n thi?t cho NTLM NTLMv2 xác th?c s? không có s?n trên b? đi?u khi?n tên mi?n và SP4 khách hàng s? không th? k?t n?i t?i h? ph?c v? SP4. Các workaround là s? d?ng c?p 0, ho?c luôn luôn thay đ?i m?t kh?u t? m?t khách hàng Windows NT, Windows 95 ho?c Windows 98.

N?u m?t khách hàng SP4 l?a ch?n c?p 2, nó s? không th? k?t n?i t?i h? ph?c v? mà ch? h? tr? xác th?c LM, như Windows 95, Windows 98, Windows cho nhóm làm vi?c và trư?c đó (sau đây g?i là "downlevel LM máy khách hàng/ch?"), tr? khi nh?ng ngư?i s? d?ng b? đi?u khi?n vùng đ? đư?c nâng c?p.

N?u m?t khách hàng SP4 l?a ch?n c?p 3 ho?c cao hơn, nó s? luôn luôn g?i m?i Ph?n ?ng NTLMv2. Ph?n ?ng này có th? đi qua các máy ch? downlevel LM và SP3 ho?c trư?c đó các máy ch? Windows NT và các b? ki?m soát mi?n mi?n là b? ki?m soát mi?n ngư?i dùng đ? đư?c nâng c?p đ? SP4. Ví d?, n?u m?t SP4 khách hàng ch?n c?p 3 ho?c cao hơn, b? đi?u khi?n vùng ngư?i dùng ph?i đ? đư?c nâng c?p đ? SP4 là t?t. Tuy nhiên, ph?n ?ng này s? không ho?t đ?ng v?i máy ch? downlevel LM trong ch? đ? b?o m?t chia s? c?p v?i không null m?t kh?u. Các workaround là đ? c?u h?nh chúng đ? s? d?ng ngư?i s? d?ng m?c đ? b?o m?t.

LMCompatibilityLevel - máy ch?/DCs

N?u m?t máy ch? SP4 l?a ch?n c?p 4 ho?c cao hơn, m?t ngư?i s? d?ng v?i m?t tài kho?n đ?a phương ngày máy ch? đó s? không th? k?t n?i t?i nó t? m?t khách hàng downlevel LM b?ng cách s? d?ng r?ng tài kho?n đ?a phương.

N?u m?t b? đi?u khi?n tên mi?n SP4 ch?n c?p 4 ho?c cao hơn, m?t ngư?i s? d?ng v?i m?t tài kho?n trong mi?n đó s? không th? k?t n?i v?i b?t k? máy ch? thành viên t? m?t khách hàng downlevel LM s? d?ng tài kho?n tên mi?n c?a h?. V? v?y, có ngh?a là c?p đ? 4 r?ng t?t c? ngư?i dùng v?i trương m?c trên m?t máy ch? ho?c tên mi?n ph?i s? d?ng Windows NT đ? k?t n?i.

N?u m?t máy ch? SP4 l?a ch?n c?p đ? 5 ho?c nhi?u hơn, m?t ngư?i s? d?ng v?i m?t tài kho?n đ?a phương ngày máy ch? đó s? không th? k?t n?i t?i nó t? m?t SP3 ho?c trư?c đó Windows NT khách hàng s? d?ng r?ng tài kho?n đ?a phương.

SP4 khách hàng l?a ch?n m?c đ? 0 hay 1 s? v?n có th? k?t n?i t?i SP4 các máy ch?, th?m chí v?i m?c 1 ho?c 3 c?u h?nh, nhưng s? s? d?ng c? các Windows NT giao th?c và giao th?c LM y?u hơn. H? c?ng s? có th? k?t n?i t?i h? ph?c v? downlevel LM, m?c dù b? ki?m soát mi?n ngư?i dùng có không đư?c nâng c?p.

Tri?n khai

V? c?a các cân nh?c ? trên, n?u nó ưa thích đ? tri?n khai NTLMv2, các bư?c sau đây c?n đư?c th?c hi?n:
  1. Nâng c?p b? ki?m soát mi?n, nơi lưu tr? các tài kho?n cho t?t c? ngư?i dùng đang s? d?ng NTLMv2.
  2. Ngay c? trư?c khi hoàn t?t nâng c?p b? ki?m soát mi?n, khách hàng và các máy ch? có th? đư?c nâng c?p đ? SP4 và s? có đư?c b?o m?t nâng cao khi k?t n?i SP4 SP4 b?ng cách thi?t l?p c?p b?c 1.
  3. Khi hoàn thành bư?c 1, h? th?ng cá nhân mà đ? đư?c nâng c?p đ? SP4 có th? b?t đ?u thi?t l?p c?p 3 ho?c cao hơn.
  4. N?u ngư?i dùng trong m?t s? vùng trương m?c không bao gi? c?n ph?i truy c?p vào tài nguyên t? khách hàng downlevel LM, b? đi?u khi?n vùng mi?n đó có th? có c?a h? c?p thi?t đ? 4, và sau khi t?t c? nh?ng ngư?i s? d?ng h? th?ng đ? đư?c nâng c?p đ? SP4, b? đi?u khi?n vùng mi?n đó có th? có c?a h? c?p thi?t đ? 5.

NtlmMinClientSec và NtlmMinServerSec

N?u bit v?i giá tr? 0x00000010 đư?c thi?t l?p trong NtlmMinClientSec ho?c NtlmMinServerSec giá tr?, k?t n?i s? th?t b?i n?u tính toàn v?n c?a thông đi?p là không thương lư?ng.

N?u bit v?i giá tr? 0x00000020 đư?c thi?t l?p trong NtlmMinClientSec ho?c NtlmMinServerSec giá tr?, k?t n?i s? th?t b?i n?u thông báo b?o m?t không thương lư?ng.

N?u bit v?i giá tr? 0x00080000 đư?c thi?t l?p trong NtlmMinClientSec ho?c NtlmMinServerSec giá tr?, k?t n?i s? th?t b?i n?u an ninh phiên NTLMv2 không thương lư?ng.

N?u bit v?i giá tr? 0x20000000 đư?c thi?t l?p trong NtlmMinClientSec ho?c NtlmMinServerSec giá tr?, k?t n?i s? th?t b?i n?u m? hóa 128-bit là không thương lư?ng.

LƯU ?: Các thi?t đ?t này s? b?o đ?m r?ng NTLM SSP th?c s? đư?c s? d?ng b?i m?i ?ng d?ng, ho?c r?ng thông đi?p toàn v?n ho?c b?o m?t s? th?c s? đư?c s? d?ng b?i m?t ?ng d?ng ngay c? khi h? đang thương lư?ng.

GI?I PHÁP

Đ? gi?i quy?t v?n đ? này, có đư?c gói d?ch v? m?i nh?t cho Windows NT 4.0 hay Windows NT Server 4.0, Terminal Server Edition. Đ? bi?t thêm thông tin, h?y b?m vào s? bài vi?t sau đ? xem bài vi?t trong Cơ s? Ki?n th?c Microsoft:
152734 Làm th? nào đ? có đư?c gói d?ch v? m?i nh?t c?a Windows NT 4.0


Sau khi cài đ?t SP4, th?c hi?n theo các bư?c sau đ? c?u h?nh LM M?c đ? tương thích Windows NT máy tr?m và máy ch?:
  1. Chạy Registry Editor (Regedt32.exe).
  2. T? HKEY_LOCAL_MACHINE subtree, đi đ?n phím sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Nh?p vào thêm giá tr? trên Edit menu.
  4. Thêm các giá tr? sau:
          Value Name: LMCompatibilityLevel
          Data Type: REG_DWORD
          Data:  0 (default) to 5 as defined above
    					
  5. T? HKEY_LOCAL_MACHINE subtree, đi đ?n phím sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. Nh?p vào thêm giá tr? trên Edit menu.
  7. Thêm các giá tr? sau:
          Value Name: NtlmMinClientSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    
          Value Name: NtlmMinServerSec
          Data Type: REG_DWORD
          Data:  0 (default) or as defined above
    					
  8. Nh?p OK và sau đó thoát kh?i Registry Editor.
  9. T?t và kh?i đ?ng l?i Windows NT.

Thu?c tính

ID c?a bài: 147706 - L?n xem xét sau cùng: 18 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 95
T? khóa: 
kbhotfixserver kbqfe kbbug kberrmsg kbfea kbfile kbfix kbmt KB147706 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:147706

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com