Как се активира удостоверяване на автентичността чрез NTLM 2

Преводи на статии Преводи на статии
ID на статията: 239869 - Преглед на продукти, за които се отнася тази статия.
Важно Тази статия съдържа информация за модифициране на системния регистър. Преди да променяте системния регистър, направете негово резервно копие, за да може да го възстановите впоследствие, ако възникне проблем. Уверете се, че знаете, как се прави това. За информация относно архивирането, възстановяването и редактирането на системния регистър щракнете върху номера по-долу, за да се изведе съответната статия в базата знания на Microsoft:
256986 Описание на системния регистър на Microsoft Windows
Разгъване на всички | Сгъване на всички

На тази страница

КРАТКО ИЗЛОЖЕНИЕ

Вследствие на историята на разработването си, Windows NT поддържа два варианта на автентификация тип "запитване/отговор" за влизане в мрежи:
  • запитване/отговор на LAN Manager (LM)
  • запитване/отговор на Windows NT (известно още под наименованието "запитване/отговор на NTLM, версия 1")
Вариантът с LM предлага съвместимост с инсталирано оборудване от работещи под Windows 95, Windows 98 и Windows 98 Second Edition клиенти и сървъри. NTLM предоставя повишено ниво на сигурност за връзки между клиенти и сървъри под Windows NT. Windows NT също така поддържа NTLM механизъма за защита на сесии, който осигурява поверителността (кодиране) и цялостността (подпис) на съобщенията.

Последните подобрения в компютърния хардуер и софтуерните алгоритми са създали предпоставки за уязвимост на тези протоколи към придобилите широка известност атаки за кражба на потребителски пароли. В непрекъснатите си усилия да предоставя по-сигурни продукти на своите клиенти, Microsoft е разработил подобрение на протокола, наречено NTLM версия 2, което значително подобрява механизмите за автентификация и сесийна сигурност. NTLM 2 се предлага за Windows NT 4.0 от времето на издаване на Сервизен пакет 4 (SP4) и има вградена поддръжка в Windows 2000. Можете да добавите поддръжка на NTLM 2 в Windows 98 чрез инсталиране на клиентски разширения за Active Directory (Active Directory Client Extensions).

След надграждане на всички компютри, базирани на Windows 95, Windows 98, Windows 98 Second Edition и Windows NT 4.0, можете значително да подобрите сигурността във вашата организация посредством конфигуриране на клиентите, сървърите и домейн контролерите за използване само на NTLM 2 (не LM, нито NTLM).

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

За допълнителна информация относно инсталирането на подходящото клиентско разширение за Active Directory щракнете върху следния номер на статия, за да я прочетете в Базата знания на Microsoft:
288358 Как се инсталира клиентското разширение за Active Directory (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
Когато инсталирате клиентски разширения за Active Directory на компютър, работещ под Windows 98, осигуряващите поддръжка на NTLM 2 системни файлове се инсталират автоматично. Тези файлове са Secur32.dll, Msnp32.dll, Vredir.vxd и Vnetsup.vxd. Ако премахнете клиентско разширение за Active Directory, системните файлове на NTLM 2 не се отстраняват, защото те осигуряват подобрена функционалност и корекции, свързани със защитата.

По подразбиране сесийното шифриране на NTLM 2 е ограничено до максимална дължина на ключа от 56 бита. Допълнителната поддръжка на 128-битови ключове се инсталира автоматично, ако системата отговаря на експортните наредби на САЩ. За да активирате поддръжката на 128-битовата сесийна защита на NTLM 2, е необходимо да инсталирате Microsoft Internet Explorer 4.x или 5 и да направите надграждане до поддръжане на 128-битови защитени връзки, преди да инсталирате клиентското разширание за Active Directory.

За да проверите версията на вашата инсталация:
  1. С помощта на Windows Explorer открийте файла Secur32.dll, намиращ се в папката %SystemRoot%\System.
  2. С десния бутон на мишката щракнете върху файла и след това - върху Properties (Свойства).
  3. Щракнете върху раздела Version (Версия). Описанието за 56-битовата версия е "Microsoft Win32 Security Services (Export Version)." Описанието за 128-битовата версия е "Microsoft Win32 Security Services (US and Canada Only)."
Преди да активирате NTLM 2 автентификация за клиенти под Windows 98, проверете, дали всички домейн контролери за потребители, влизащи в мрежата от тези клиенти, работят под Windows NT 4.0 Service Pack 4 или по-късна версия. (Домейн контролерите могат да работят под Windows NT 4.0 Service Pack 6, ако клиентът и сървърът се свързани към различни домейни.) За поддръжка на NTLM 2 не е необходимо конфигуриране на контролери на домейни. Последното е необходимо само за деактивиране на поддръжката на NTLM 1 или LM автентификация. За да получите допълнителна информация относно разликите между тези варианти на протоколи и важността на надграждането за използване само на NTLM2, щракнете върху следния номер на статия, за да я видите в Базата знания на Microsoft:
147706 Как се деактивира LM автентификация на Windows NT (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)

Активиране на NTLM 2 за клиенти под Windows 95, Windows 98 или Windows 98 Second Edition

Предупреждение Ако използвате редактора на системния регистър (Registry Editor) неправилно, може да предизвикате сериозни проблеми, които да наложат преинсталиране на операционната система. Microsoft не може да гарантира, че сте в състояние да разрешите проблемите, които възникват в резултат от неправилното използване на редактора на системния регистър. Използвате редактора на системния регистър на свой собствен риск.
За да позволите на клиент под Windows 95, Windows 98 или Windows 98 Second Edition да се автентифицира чрез NTLM 2, е необходимо да инсталирате Directory Services Client. За да активирате NTLM 2 на клиента, изпълнете следните стъпки:
  1. Стартирайте Редактора на системния регистър (Regedit.exe).
  2. Намерете и след това щракнете върху следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Създайте LSA ключ в регистърния ключ, посочен по-горе.
  4. В менюто Edit (Редактиране) натиснете Add Value (Добавяне на стойност), след което добавете следната регистърна стойност:
    Value Name (Име на стойност): LMCompatibility
    Data Type (Тип данни): REG_DWORD
    Value (Стойност): 3
    Valid Range (Диапазон на валидност): 0,3
    Description: (Описание:) This parameter specifies the mode of authentication and session security to be used for network logons. (Този параметър посочва режима на автентификация и сесийна сигурност, който ще се използва за влизане в мрежата.) It does not affect interactive logons. (Той не влияе на интерактивните влизания.)
    • Level 0 - Send LM and NTLM response; never use NTLM 2 session security (Ниво 0 - Изпращане на LM и NTLM отговор; никога не се използва сесийна защита NTLM 2). Clients will use LM and NTLM authentication, and never use NTLM 2 session security; domain controllers accept LM, NTLM, and NTLM 2 authentication. (Клиентите ще използват LM и NTLM автентификация и никога сесийната защита NTLM 2; домейн контролерите приемат LM, NTLM и NTLM 2 автентификация.)
    • Level 3 - Send NTLM 2 response only. (Ниво 3 - Изпращане само на NTLM 2 отговори.) Clients will use NTLM 2 authentication and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication. (Клиентите ще използват NTLM 2 автентификация и сесийната защита NTLM 2, ако е поддържана от сървъра; домейн контролерите приемат LM, NTLM и NTLM 2 автентификация.)
    Забележка За да позволите NTLM 2 за клиенти с Windows 95, инсталирайте клиент за разпределена файлова система (DFS), актуализация на WinSock 2.0 и Microsoft DUN 1.3 за Windows 2000.

  5. Затворете редактора на системния регистър.

Забележка За Windows NT 4.0 и Windows 2000 регистърният ключ е LMCompatibilityLevel, а за компютри, работещи под Windows 95 и Windows 98 - LMCompatibility.

За справка, пълният диапазон от стойности за значението LMCompatibilityLevel, поддържани от Windows NT 4.0 и Windows 2000, включва:
  • Level 0 - Send LM and NTLM response; never use NTLM 2 session security (Ниво 0 - Изпращане на LM и NTLM отговор; никога не се използва сесийна защита NTLM 2). Clients use LM and NTLM authentication, and never use NTLM 2 session security; domain controllers accept LM, NTLM, and NTLM 2 authentication. (Клиентите използват LM и NTLM автентификация и никога сесийната защита NTLM 2; домейн контролерите приемат LM, NTLM и NTLM 2 автентификация.)
  • Level 1 - Use NTLM 2 session security if negotiated. (Ниво 1 - Използване на сесийна защита NTLM 2, ако е договорена.) Clients use LM and NTLM authentication, and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication. (Клиентите използват LM и NTLM автентификация, както и сесийната защита NTLM 2, ако е поддържана от сървъра; домейн контролерите приемат LM, NTLM и NTLM 2 автентификация.)
  • Level 2 - Send NTLM response only. (Ниво 2 - Изпращане само на NTLM отговори). Clients use only NTLM authentication, and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication. (Клиентите използват само NTLM автентификация, както и сесийната защита NTLM 2, ако е поддържана от сървъра; домейн контролерите приемат LM, NTLM и NTLM 2 автентификация.)
  • Level 3 - Send NTLM 2 response only. (Ниво 3 - Изпращане само на NTLM 2 отговори.) Clients use NTLM 2 authentication, and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication. (Клиентите използват NTLM 2 автентификация и сесийната защита NTLM 2, ако е поддържана от сървъра; домейн контролерите приемат LM, NTLM и NTLM 2 автентификация.)
  • Level 4 - Domain controllers refuse LM responses. (Ниво 4 - Домейн контролерите отказват LM отговори.) Clients use NTLM authentication, and use NTLM 2 session security if the server supports it; domain controllers refuse LM authentication (that is, they accept NTLM and NTLM 2). (Клиентите използват NTLM автентификация и сесийната защита NTLM 2, ако е поддържана от сървъра; домейн контролерите отказват LM автентификация (тоест приемат NTLM и NTLM 2).)
  • Level 5 - Domain controllers refuse LM and NTLM responses (accept only NTLM 2). (Ниво 5 - Домейн контролерите отказват LM и NTLM отговори (приемат само NTLM 2).) Clients use NTLM 2 authentication, use NTLM 2 session security if the server supports it; domain controllers refuse NTLM and LM authentication (they accept only NTLM 2). (Клиентите използват NTLM 2 автентификация и сесийната защита NTLM 2, ако е поддържана от сървъра; домейн контролерите отказват NTLM и LM автентификация (тоест приемат само NTLM 2).)
Компютър-клиент може да използва само един протокол при комуникация с всички сървъри. Не можете да го конфигурирате например да използва NTLM v2 за свързване със сървъри, работещи под Windows 2000, след което да използва NTLM за свързване с други сървъри. Това е обусловено от използваната структура.

Можете да конфигурирате минималната сигурност за програми, които използват NTLM Security Support Provider (SSP), чрез модифициране на следния регистърен ключ. Тези стойности зависят от значението на LMCompatibilityLevel:
  1. Стартирайте Редактора на системния регистър (Regedit.exe).
  2. Намерете следния ключ в системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. В менюто Edit (Редактиране) натиснете Add Value (Добавяне на стойност), след което добавете следната регистърна стойност:
    Value Name (Име на стойност): NtlmMinClientSec
    Data Type (Тип данни): REG_WORD
    Value (Стойност): едно от значенията по-долу:
    • 0x00000010- Message integrity (0x00000010- Цялостност на съобщенията)
    • 0x00000020- Message confidentiality (0x00000020- Поверителност на съобщенията)
    • 0x00080000- NTLM 2 session security (0x00080000- Сесийна защита NTLM 2)
    • 0x20000000- 128-bit encryption (0x20000000- 128-битово кодиране)
    • 0x80000000- 56-bit encryption (0x80000000- 56-битово кодиране)

  4. Затворете редактора на системния регистър.
Ако клиент/сървър програма използва NTLM SSP (или защитеното отдалечено извикване на процедури (Remote Procedure Call [RPC]), което използва NTLM SSP) за осигуряване на сесийна защита за връзка, типът на сесийната сигурност, който трябва да бъде използван, се определя по следния начин:
  • Клиентът заявява някои или всички от следните характеристики: цялостност на съобщенията, поверителност на съобщенията, NTLM 2 сесийна защита и 128-битово или 56-битово кодиране.
  • Сървърът отговаря, посочвайки кои елементи от поискания ред иска той.
  • Редът, който остава в резултат, се нарича "договорен".
Можете да използвате значението на NtlmMinClientSec, за да накарате връзките клиент/сървър да договорят зададено ниво на сесийна защита или договарянето да мине неуспешно. Необходимо е обаче да имате предвид следното:
  • Ако използвате 0x00000010 за значението на NtlmMinClientSec, връзката не се осъществява, ако целостността на съобщенията не е договорена.
  • Ако използвате 0x00000020 за значението на NtlmMinClientSec, връзката не се осъществява, ако поверителността на съобщенията не е договорена.
  • Ако използвате 0x00080000 за значението на NtlmMinClientSec, връзката не се осъществява, ако сесийната защита NTLM 2 не е договорена.
  • Ако използвате 0x20000000 за значението на NtlmMinClientSec, връзката не се осъществява, ако поверителността на съобщенията се използва, но не е договорено 128-битовото кодиране.

Свойства

ID на статията: 239869 - Последна рецензия: 06 февруари 2006 г. - Редакция: 4.3
ВАЖИ ЗА
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Ключови думи: 
kbenv kbhowto KB239869

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com