Comment faire pour activer l'authentification NTLM version 2

Traductions disponibles Traductions disponibles
Numéro d'article: 239869 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F239869
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, faites-en une sauvegarde et vérifiez que vous savez comment le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Traditionnellement, Windows NT prend en charge deux variantes d'authentification stimulation/réponse pour les ouvertures de session réseau :
  • Stimulation/réponse LAN Manager (LM)
  • Stimulation/réponse de Windows NT (également appelé stimulation/réponse NTLM version 1)
La variante LM autorise l'interopérabilité avec la base installée des clients et des serveurs Windows 95, Windows 98 et Windows 98 Second Edition. NTLM offre une sécurité accrue pour les connexions entre les clients et les serveurs Windows NT. Windows NT prend également en charge le mécanisme de sécurité de session NTLM qui fournit la confidentialité des messages (cryptage) et l'intégrité (signature).

Les récentes améliorations en matière de matériel informatique et d'algorithmes logiciels ont rendu ces protocoles vulnérables aux attaques largement publiées visant à obtenir les mots de passe des utilisateurs. Dans le cadre de sa politique continue de sécurisation de ses produits, Microsoft a développé la version 2 de NTLM qui améliore de façon significative l'authentification et les mécanismes de sécurité de session. NTLM 2 est disponible sous Windows NT 4.0 depuis la sortie du Service Pack 4 (SP4) et est pris en charge nativement par Windows 2000. Vous pouvez ajouter la prise en charge de NTLM 2 à Windows 98 en installant l'extension du client Active Directory.

Après avoir mis à niveau tous les ordinateurs Windows 95, Windows 98, Windows 98 Second Edition et Windows NT 4.0, vous pouvez considérablement améliorer la sécurité de votre organisation en configurant les clients, les serveurs et les contrôleurs de domaine de telle sorte qu'ils n'utilisent que NTLM 2 (et non LM ou NTLM).

Plus d'informations

Pour plus d'informations sur l'installation d'une extension du client Active Directory, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
288358 Installation de l'extension du client Active Directory
Lorsque vous installez des extensions du client Active Directory sur un ordinateur exécutant Windows 98, les fichiers système qui permettent de prendre en charge NTLM 2 sont aussi automatiquement installés Il s'agit des fichiers Secur32.dll, Msnp32.dll, Vredir.vxd et Vnetsup.vxd. Si vous désinstallez l'extension du client Active Directory, les fichiers système NTLM 2 ne sont pas supprimés, car ils fournissent à la fois des fonctionnalités de sécurité améliorées et des correctifs relatifs à la sécurité.

Par défaut, le cryptage de sécurité de session NTLM 2 est restreint à une longueur de clé maximale de 56 bits. La prise en charge facultative des clés 128 bits est automatiquement installée si le système satisfait à la réglementation américaine sur les exportations. Pour activer la prise en charge de la sécurité de session NTLM 2 128 bits, vous devez tout d'abord installer Microsoft Internet Explorer 4.x ou 5 et procéder à la mise à niveau vers la prise en charge des connexions sécurisées 128 bits avant d'installer l'extension du client Active Directory.

Pour vérifier la version de votre installation, procédez comme suit :
  1. Recherchez le fichier Secur32.dll dans le dossier %SystemRoot%\System à l'aide de l'Explorateur Windows.
  2. Cliquez avec le bouton droit sur le fichier, puis cliquez sur Propriétés.
  3. Cliquez sur l'onglet Version. La description de la version 56 bits est la suivante : " Microsoft Win32 Security Services (Export Version) ". Celle de la version 128 bits est la suivante : " Microsoft Win32 Security Services (US and Canada Only) ".
Avant d'activer l'authentification NTLM 2 pour les clients Windows 98, vérifiez que tous les contrôleurs de domaine pour les utilisateurs qui ouvrent une session sur votre réseau à partir de ces clients exécutent Windows NT 4.0 Service Pack 4 (SP4) ou version ultérieure (ou le Service Pack 6 si le client et le serveur sont liés à différents domaines). Il n'est pas nécessaire de configurer les contrôleurs de domaine pour prendre en charge NTLM 2 ; ils doivent seulement être configurés pour désactiver la prise en charge de l'authentification NTLM 1 ou LM. Pour plus d'informations sur les différences entre ces variantes de protocole et l'importance de la mise à niveau pour n'utiliser que l'authentification NTLM 2, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
147706 Comment faire pour désactiver l'authentification LM sous Windows NT

Activation de NTLM 2 pour les clients Windows 95, Windows 98 ou Windows 98 Second Edition

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
Pour activer l'authentification NTLM 2 sur un client Windows 95, Windows 98 ou Windows 98 Second Edition, installez l'extension du client Active Directory. Pour activer NTLM 2 sur le client, procédez comme suit :
  1. Démarrez l'Éditeur du Registre (Regedit.exe).
  2. Recherchez la clé suivante dans le Registre et cliquez dessus :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Créez une clé de Registre LSA dans la clé de Registre indiquée au-dessus.
  4. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : LMCompatibility
    Type de données : REG_DWORD
    Valeur : 3
    Valeurs possibles : 0,3
    Description : Ce paramètre spécifie le mode d'authentification et de sécurité de session à utiliser pour les ouvertures de session réseau. Il n'affecte pas les ouvertures de session interactives.
    • Niveau 0 - Envoyer les réponses LM et NTLM ; ne jamais utiliser la sécurité de session NTLM 2. Les clients utiliseront les authentifications LM et NTLM et n'utiliseront jamais la sécurité de session NTLM 2 ; les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLM 2.
    • Niveau 3 - Envoyer uniquement les réponses NTLM 2. Les clients utiliseront l'authentification NTLM 2 et la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLM 2.
    Remarque pour activer NTLM 2 pour les clients Windows 95, installez le client Distributed File System (DFS), la mise à jour WinSock 2.0 et Microsoft DUN 1.3 pour Windows 2000.

  5. Quittez l'Éditeur du Registre.

Remarque Pour Windows NT 4.0 et Windows 2000, la clé de Registre est LMCompatibilityLevel ; pour les ordinateurs équipés de Windows 95 et Windows 98, la clé de Registre est LMCompatibility.

Pour référence, la gamme complète des valeurs LMCompatibilityLevel prises en charge par Windows NT 4.0 et Windows 2000 inclut :
  • Niveau 0 - Envoyer les réponses LM et NTLM ; ne jamais utiliser la sécurité de session NTLM 2. Les clients utilisent les authentifications LM et NTLM et n'utilisent jamais la sécurité de session NTLM 2 ; les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLM 2.
  • Niveau 1 - Utiliser la sécurité de session NTLM 2 si négociée. Les clients utilisent les authentifications LM et NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLM 2.
  • Niveau 2 - Envoyer uniquement les réponses NTLM. Les clients utilisent uniquement l'authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLM 2.
  • Niveau 3 - Envoyer uniquement les réponses NTLM 2. Les clients utilisent l'authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLM 2.
  • Niveau 4 - Les contrôleurs de domaine refusent les réponses LM. Les clients utilisent l'authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine refusent l'authentification LM (ils acceptent NTLM et NTLM 2).
  • Niveau 5 - Les contrôleurs de domaine refusent les réponses LM et NTLM (et n'acceptent que NTLM 2). Les clients utilisent l'authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine refusent les authentifications NTLM et LM (ils n'acceptent que NTLM 2).
Un ordinateur client peut utiliser un seul protocole pour parler à tous les serveurs. Il n'est pas possible de le configurer, par exemple, pour utiliser l'authentification NTLM v2 pour vous connecter à des serveurs équipés de Windows 2000 et utiliser ensuite NTLM pour vous connecter à d'autres serveurs. Ce comportement est voulu par la conception même du produit.

Vous pouvez configurer la sécurité minimale utilisée pour les programmes qui utilisent le Fournisseur de prise en charge de sécurité (SSP, Security Support Provider) NTLM en modifiant la clé de registre ci-dessous. Ces valeurs dépendent de la valeur de LMCompatibilityLevel :
  1. Démarrez l'Éditeur du Registre (Regedit.exe).
  2. Recherchez la clé suivante dans le Registre :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : NtlmMinClientSec
    Type de données : REG_WORD
    Valeur : l'une des valeurs ci-dessous :
    • 0x00000010 - Intégrité de message
    • 0x00000020 - Confidentialité de message
    • 0x00080000 - Sécurité de session NTLM 2
    • 0x20000000 - Cryptage 128 bits
    • 0x80000000 - Cryptage 56 bits

  4. Quittez l'Éditeur du Registre.
Si un programme client/serveur utilise le fournisseur SSP NTLM (ou utilise un appel de procédure distante [RPC, Remote Procedure Call] qui utilise le fournisseur SSP NTLM) pour fournir la sécurité de session pour une connexion, le type de sécurité de session à utiliser est déterminé de la manière suivante :
  • Le client demande l'un ou la totalité des éléments suivants : intégrité de message, confidentialité de message, sécurité de session NTLM 2 et cryptage 128 bits ou 56 bits.
  • Le serveur répond en indiquant les éléments souhaités de l'ensemble demandé.
  • On dit de l'ensemble résultant qu'il a été "négocié".
Vous pouvez utiliser la valeur NtlmMinClientSec pour forcer les connexions client/serveur à négocier une qualité donnée de sécurité de session ou à échouer. Notez cependant les points suivants :
  • Si vous attribuez à NtlmMinClientSec la valeur 0x00000010, la connexion n'aboutit pas si l'intégrité de message n'est pas négociée.
  • Si vous attribuez à NtlmMinClientSec la valeur 0x00000020, la connexion n'aboutit pas si la confidentialité de message n'est pas négociée.
  • Si vous attribuez à NtlmMinClientSec la valeur 0x00080000, la connexion n'aboutit pas si la sécurité de session NTLM 2 n'est pas négociée.
  • Si vous attribuez à NtlmMinClientSec la valeur 0x20000000, la connexion n'aboutit pas si la confidentialité de message est utilisée mais que le cryptage 128 bits n'est pas négocié.

Propriétés

Numéro d'article: 239869 - Dernière mise à jour: vendredi 12 août 2005 - Version: 4.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Deuxième Édition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Mots-clés : 
kbhowto kbenv KB239869
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com