Povolení ověřování protokolem NTLM 2

Překlady článku Překlady článku
ID článku: 239869 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravou je nutné registr zálohovat. Seznamte se také s postupem při obnovení registru v případě, že dojde k potížím. Informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Systém Windows NT historicky podporuje dvě varianty ověřování přihlášení k síti pomocí výzvy a odezvy:
  • Výzva a odezva systému LAN Manager (LM)
  • Výzva a odezva systému Windows NT (také označovaná výzva a odezva NTLM verze 1)
Varianta LM ??umožňuje součinnost s instalovanou základnou klientů a serverů využívajících systémy Windows 95, Windows 98 a Windows 98 Druhé vydání. NTLM poskytuje lepší zabezpečení spojení mezi klienty a servery systému Windows NT. Systém Windows NT také podporuje mechanismus zabezpečení relace NTLM, který zajišťuje důvěrnost (šifrování) a integritu (podpisování) zpráv.

Pokrok v oblasti počítačového hardwaru a softwarových algoritmů v poslední době učinil tyto protokoly zranitelné vůči všeobecně známým útokům, jejichž cílem je získat hesla uživatelů. V neustálé snaze poskytovat zákazníkům bezpečnější produkty vyvinula společnost Microsoft vylepšení zvané NTLM verze 2, které nabízí podstatně lepší mechanismy ověřování a zabezpečení. Protokol NTLM 2 je pro systém Windows NT 4.0 k dispozici od vydání aktualizace Service Pack 4 (SP4) a v systému Windows 2000 je podporován nativně. Do systému Windows 98 můžete podporu protokolu NTLM 2 přidat instalací rozšíření klienta služby Active Directory.

Po upgradu všech počítačů, které používají systémy Windows 95, Windows 98, Windows 98 Druhé vydání a Windows NT 4.0, můžete velice zvýšit zabezpečení své organizace tím, že nakonfigurujete klienty, servery a řadiče domén, aby používaly pouze protokol NTLM 2 (ne LM nebo NTLM).

Další informace

Další informace o instalaci vhodného rozšíření klienta služby Active Directory získáte v následujícím článku databáze Microsoft Knowledge Base: (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
288358 Postup instalace rozšíření klienta služby Active Directory
Při instalaci rozšíření klienta služby Active Directory do počítače se systémem Windows 98 se také automaticky nainstalují systémové soubory, které zajišťují podporu protokolu NTLM 2. Jedná se o soubory Secur32.dll, Msnp32.dll, Vredir.vxd a Vnetsup.vxd. Pokud odeberete ?Rozšíření klienta služby Active Directory, systémové soubory protokolu NTLM 2 nebudou odstraněny, protože poskytují jak dokonalejší funkčnost zabezpečení, tak opravy související se zabezpečením.

?Šifrování relací protokolu NTLM 2 je ve výchozím nastavení omezeno na klíč o maximální délce 56 bitů. Pokud systém vyhovuje exportním předpisům Spojených států, je automaticky nainstalována volitelná podpora 128bitových klíčů. Abyste mohli povolit podporu 128bitového zabezpečení relací NTLM 2, musíte před instalací ?Rozšíření klienta služby Active Directory nainstalovat aplikaci Microsoft Internet Explorer 4.x nebo 5 a upgradovat na podporu 128bitového zabezpečení připojení.

Ověření verze instalace:
  1. Pomocí Průzkumníka Windows najděte soubor Secur32.dll ve složce %SystemRoot%\System.
  2. Klepněte na soubor pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu Verze. 56bitová verze je označena popisem Microsoft Win32 Security Services (Export Version). 128bitová verze je označena popisem Microsoft Win32 Security Services (US and Canada Only).
Před povolením ověřování protokolem NTLM 2 pro klienty systému Windows 98 si ověřte, že všechny řadiče domén uživatelů, kteří se do vaší sítě přihlašují z těchto klientů, používají systém Windows NT 4.0 s aktualizací Service Pack 4 nebo novější. (Pokud je klient a server připojen k různým doménám, mohou řadiče domén používat systém Windows NT 4.0 s aktualizací Service Pack 6.) Pro podporu protokolu NTLM 2 není vyžadována žádná konfigurace řadiče domény. V konfiguraci řadiče domén musíte pouze zakázat podporu ověřování protokolem NTLM 1 nebo LM. Další informace o rozdílech mezi těmito variantami protokolu a důležitosti upgradu a používání pouze protokolu NTLM 2 naleznete v následujícím článku databáze Microsoft Knowledge Base:
147706 Vypnutí ověřování LM v systému Windows NT (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Povolení protokolu NTLM 2 pro klienty systémů Windows 95, Windows 98 a Windows 98 Druhé vydání

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné potíže, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.
Chcete-li povolit ověřování protokolem NTLM 2 v systému Windows 95, Windows 98 nebo Windows 98 Druhé vydání, nainstalujte klienta adresářových služeb. Protokol NTLM 2 můžete v klientském počítači aktivovat následujícím postupem:
  1. Spusťte Editor registru (Regedit.exe).
  2. Vyhledejte následující klíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Ve výše uvedeném klíči registru vytvořte klíč registru LSA.
  4. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a zadejte následující hodnotu registru:
    Název hodnoty: LMCompatibility
    Typ dat: REG_DWORD
    Hodnota: 3
    Platný rozsah: 0,3
    Popis: Tento parametr určuje režim ověřování a zabezpečení relace, který se má používat při přihlašování k síti. Neovlivňuje interaktivní přihlašování.
    • Úroveň 0 - Odesílat odpovědi LM a NTLM, nikdy nepoužívat zabezpečení relace NTLM 2. Klienti budou používat ověřování LM a NTLM a nikdy nebudou používat zabezpečení relace NTLM 2; řadiče domén přijímají ověřování pomocí protokolů LM, NTLM a NTLM 2.
    • Úroveň 3 - Odesílat pouze odpovědi NTLM 2. Klienti budou používat ověřování a zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén přijímají ověřování pomocí protokolů LM, NTLM a NTLM 2.
    Poznámka: Chcete-li povolit NTLM 2 pro klienty systému Windows 95, nainstalujte klienta systému souborů DFS, aktualizaci WinSock 2.0 a Microsoft DUN 1.3 pro Windows 2000.

  5. Ukončete Editor registru.

Poznámka: Pro systémy Windows NT 4.0 a Windows 2000 je příslušným klíčem registru LMCompatibilityLevel a pro počítače se systémy Windows 95 a Windows 98 je klíčem registru LMCompatibility.

Pro úplnost následuje celý rozsah hodnot klíče LMCompatibilityLevel, které jsou podporovány v systémech Windows NT 4.0 a Windows 2000:
  • Úroveň 0 - Odesílat odpovědi LM a NTLM, nikdy nepoužívat zabezpečení relace NTLM 2. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLM 2; řadiče domén přijímají ověřování pomocí protokolů LM, NTLM a NTLM 2.
  • Úroveň 1 - Zabezpečení relace NTLM 2 se používá, pokud je vyjednáno. Klienti používají ověřování LM a NTLM a zabezpečení relace NTLM 2 používají v případě, že je server podporuje; řadiče domén přijímají ověřování pomocí protokolů LM, NTLM a NTLM 2.
  • Úroveň 2 - Odesílat pouze odpovědi NTLM. Klienti používají pouze ověřování NTLM a zabezpečení relace NTLM 2 používají v případě, že je server podporuje; řadiče domén přijímají ověřování pomocí protokolů LM, NTLM a NTLM 2.
  • Úroveň 3 - Odesílat pouze odpovědi NTLM 2. Klienti používají ověřování NTLM 2 a zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén přijímají ověřování pomocí protokolů LM, NTLM a NTLM 2.
  • Úroveň 4 - ?Řadiče domén odmítají odpovědi LM. Klienti používají ověřování NTLM a zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén odmítají ověřování LM (tedy přijímají ověřování NTLM a NTLM 2).
  • Úroveň 5 - ?Řadiče domén odmítají odpovědi LM a NTLM (přijímají pouze NTLM 2). Klienti používají ověřování NTLM 2 a zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén odmítají ověřování NTLM a LM (přijímají pouze ověřování NTLM 2).
?Klientský počítač může při komunikaci se všemi servery používat pouze jeden protokol. Nemůžete jej nakonfigurovat, aby například pro připojení k serverům se systémem Windows 2000 používal NTLM 2 a pro připojení k ostatním serverům používal NTLM. Toto chování je záměrné.

Minimální zabezpečení používané pro programy, které využívají zprostředkovatele zabezpečení NTLM, ?můžete nakonfigurovat úpravou následujícího klíče registru. Tyto hodnoty závisí na hodnotě LMCompatibilityLevel:
  1. Spusťte Editor registru (Regedit.exe).
  2. Vyhledejte následující klíč registru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a zadejte následující hodnotu registru:
    Název hodnoty: NtlmMinClientSec
    Typ dat: REG_WORD
    Hodnota: jedna z následujících hodnot:
    • 0x00000010- Integrita zpráv
    • 0x00000010- Důvěrnost zpráv
    • 0x00080000- Zabezpečení relace NTLM 2
    • 0x20000000- 128bitové šifrování
    • 0x20000000- 56bitové šifrování

  4. Ukončete Editor registru.
Pokud program typu klient/server pro zabezpečení relace používá zprostředkovatele zabezpečení NTLM (nebo zabezpečené vzdálené volání procedur, jež používá NTLM SSP), používaný typ zabezpečení relace je určován následovně:
  • Klient si vyžádá některé nebo všechny následující položky: integritu zpráv, důvěrnost zpráv, zabezpečení relace NTLM 2 a 128bitové nebo 56bitové šifrování.
  • Server odpoví sdělením, které položky z vyžádané sady požaduje.
  • Výsledná sada se označuje jako „vyjednaná“.
Pomocí hodnoty NtlmMinClientSec můžete nastavit, aby při spojení klienta a serveru buď byla vyjednána daná kvalita zabezpečení relace, nebo aby se spojení nepodařilo navázat. Měli byste však mít na paměti následující informace:
  • Pokud nastavíte hodnotu klíče NtlmMinClientSec na 0x00000010, bude spojení neúspěšné, jestliže se nepodaří vyjednat integritu zpráv.
  • Pokud nastavíte hodnotu klíče NtlmMinClientSec na 0x00000020, bude spojení neúspěšné, jestliže se nepodaří vyjednat důvěrnost zpráv.
  • Pokud nastavíte hodnotu klíče NtlmMinClientSec na 0x00080000, bude spojení neúspěšné, jestliže se nepodaří vyjednat zabezpečení relace NTLM 2.
  • Pokud nastavíte hodnotu klíče NtlmMinClientSec na 0x20000000, bude spojení neúspěšné, jestliže se sice používá důvěrnost zpráv, ale nepodaří se vyjednat 128bitové šifrování.

Vlastnosti

ID článku: 239869 - Poslední aktualizace: 22. prosince 2005 - Revize: 4.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Klíčová slova: 
kbenv kbhowto KB239869

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com