Cómo habilitar la autenticación NTLM 2

Id. de artículo: 239869 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información acerca de cómo se modifica el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad de él y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986
(http://support.microsoft.com/kb/256986/ )
Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

Tradicionalmente, Windows NT ha admitido dos variantes de autenticación desafío/respuesta para los inicios de sesión de red:
  • Desafío/respuesta de LanManager (LM)
  • Desafío/respuesta de Windows NT (también conocido como desafío/respuesta NTLM versión 1)
La variante de LM permite la interoperabilidad con la base instalada de los clientes y servidores de Windows 95, Windows 98 y Windows 98 Segunda Edición. NTLM proporciona seguridad mejorada para las conexiones entre clientes y servidores de Windows NT. Windows NT también admite el mecanismo de seguridad de sesión de NTLM que proporciona confidencialidad de mensaje (cifrado) e integridad (firma).

Las recientes mejoras en hardware de equipo y algoritmos de software han hecho que estos protocolos resulten vulnerables a ataques ampliamente extendidos para obtener contraseñas del usuario. En sus esfuerzos continuados por entregar a sus clientes productos cada vez más seguros, Microsoft ha desarrollado una mejora, llamada NTLM versión 2, que mejora significativamente la autenticación y los mecanismos de seguridad de sesión. NTLM 2 ha estado disponible para Windows NT 4.0 desde que apareció el Service Pack 4 (SP4), siendo admitido nativamente por Windows 2000. Resulta posible agregar compatibilidad NTLM 2 a Windows 98 instalando las Extensiones de cliente de Active Directory.

Después de actualizar todos los equipos basados en Windows 95, Windows 98, Windows 98 Segunda Edición y Windows NT 4.0, puede mejorar en gran medida la seguridad de su organización configurando clientes, servidores y controladores de dominio para que sólo utilicen NTLM 2 (ni LM ni NTLM).
Volver al principio | Enviar comentarios

Más información

Para obtener información adicional acerca de cómo instalar la extensión apropiada de cliente de Active Directory, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
288358
(http://support.microsoft.com/kb/288358/ )
Cómo instalar la Extensión de cliente de Active Directory
Cuando se instalan las Extensiones de cliente de Active Directory en un equipo que esté ejecutando Windows 98, también se instalan automáticamente los archivos de sistema que proporcionan compatibilidad NTLM 2. Estos archivos son Secur32.dll, Msnp32.dll, Vredir.vxd y Vnetsup.vxd. Si quita la Extensión de cliente de Active Directory, no se eliminan los archivos de sistema de NTLM 2, ya que dichos archivos proporcionan funcionalidad de seguridad mejorada y una serie de correcciones relacionadas con la seguridad.

De forma predeterminada, el cifrado de seguridad de sesión de NTLM 2 se limita a una longitud de clave máxima de 56 bits. Si el sistema satisface las normativas de exportación de los Estados Unidos, se instala automáticamente la compatibilidad opcional para claves de 128 bits. Para habilitar la compatibilidad de seguridad de sesión NTLM 2 de 128 bits es preciso instalar Microsoft Internet Explorer 4.x o 5 y se debe actualizar la compatibilidad de conexión segura de 128 bits antes de instalar la Extensión de cliente de Active Directory.

Para comprobar su versión de la instalación:
  1. Utilice el Explorador de Windows para localizar el archivo Secur32.dll en la carpeta %SystemRoot%\System.
  2. Haga clic con el botón secundario del ratón en el archivo y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha Versión. La descripción para la versión de 56 bits es "Servicios de seguridad de Microsoft Win32 (versión para exportación)". La descripción para la versión de 128 bits es "Servicios de seguridad de Microsoft Win32 (sólo EE.UU. y Canadá)".
Antes de habilitar la autenticación de NTLM 2 para clientes de Windows 98, compruebe que todos los controladores de dominio para usuarios que inicien sesión en su red desde estos clientes estén ejecutando Windows NT 4.0 Service Pack 4 o posterior. (Los controladores de dominio pueden ejecutar Windows NT 4.0 Service Pack 6 si el cliente y el servidor se unen a dominios diferentes). No se requiere configuración del controlador de dominio para compatibilidad NTLM 2. Sólo hay que configurar los controladores de dominio para deshabilitar la compatibilidad para NTLM 1 o autenticación LM. Para obtener información adicional sobre las diferencias entre estas variantes protocolares y la importancia de la actualización para utilizar sólo NTLM 2, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
147706
(http://support.microsoft.com/kb/147706/ )
Cómo deshabilitar la autenticación LM en Windows NT

Habilitar NTLM 2 para clientes de Windows 95, Windows 98 o Windows 98 Segunda Edición

Advertencia
Si utiliza incorrectamente el Editor del Registro, se pueden producir problemas graves que pueden exigir la reinstalación de su sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
Para habilitar un cliente de Windows 95, Windows 98 o Windows 98 Segunda Edición para la autenticación NTLM 2, instale el cliente de servicios de directorio. Para activar NTLM 2 en el cliente, siga estos pasos:
  1. Inicie el Editor del Registro (Regedit.exe).
  2. Busque y haga clic en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Cree una clave del Registro LSA en la clave del Registro mostrada anteriormente.
  4. En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor al Registro:
    Nombre de valor: LMCompatibility
    Tipo de datos: REG_DWORD
    Valor: 3
    Intervalo válido: 0,3
    Descripción: Este parámetro especifica el modo de autenticación y de seguridad de sesión que se va a utilizar para el inicio de sesión de red. No afecta a los inicios de sesión interactivos.
    • Nivel 0 - Enviar LM y respuesta NTLM; nunca utilice seguridad de sesión NTLM 2. Los clientes usarán la autenticación LM y NTLM y nunca emplearán la seguridad de sesión NTLM 2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
    • Nivel 3 - sólo enviar la respuesta NTLM 2. Los clientes utilizarán la autenticación NTLM 2 y sólo utilizarán la seguridad de sesión NTLM 2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
    Nota
    Para habilitar NTLM 2 para clientes de Windows 95, instale el cliente del sistema de archivos distribuido (DFS), WinSock 2.0 Update y Microsoft DUN 1.3 para Windows 2000.

  5. Cierre el Editor del Registro.

Nota
Para Windows NT 4.0 y Windows 2000 la clave del Registro es LMCompatibilityLevel y para Windows 95 y los equipos basados en Windows 98, la clave del Registro es LMCompatibility.

Como referencia, el intervalo de valores completo para el valor LMCompatibilityLevel admitido por Windows NT 4.0 y Windows 2000 incluye:
  • Nivel 0 - Enviar LM y respuesta NTLM; nunca utilice seguridad de sesión NTLM 2. Los clientes usan la autenticación LM y NTLM y nunca usan la seguridad de sesión NTLM 2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 1 - Usar la seguridad de sesión NTLM 2 si se ha negociado Los clientes usan la autenticación LM y NTLM y utilizan la seguridad de sesión NTLMv2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 2 - Enviar sólo autenticación NTLM. Los clientes sólo usan la autenticación NTLM y utilizan la seguridad de sesión NTLM 2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 3 - sólo enviar la respuesta NTLM 2. Los clientes usan la autenticación NTLM 2 y sólo utilizan la seguridad de sesión NTLM 2 si el servidor la admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 4 - Los controladores de dominio rechazan las respuestas LM. Los clientes utilizan la autenticación NTLM y utilizan seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio rechazan la autenticación LM (es decir, aceptan NTLM y NTLM 2).
  • Nivel 5 - Los controladores de dominio rechazan respuestas LM y NTLM (sólo aceptan NTLM 2). Los clientes utilizan autenticación NTLM 2, utilizan seguridad de sesión NTLM 2 si el servidor la admite; los controladores de dominio rechazan autenticación NTLM y LM (sólo aceptan NTLM 2).
Un equipo cliente sólo puede utilizar un protocolo para comunicarse con todos los servidores. Por ejemplo, no es posible configurarlo para utilizar NTLM v2 para conectar a los servidores basados en Windows 2000 y, a continuación, utilizar NTLM para conectar a otros servidores. Esto es por motivos de diseño.

Puede configurar la seguridad mínima que se emplea para programas que utilizan el Proveedor de compatibilidad de seguridad (SSP) NTLM modificando la siguiente clave del Registro. Estos valores dependen del valor LMCompatibilityLevel:
  1. Inicie el Editor del Registro (Regedit.exe).
  2. Busque la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor al Registro:
    Nombre de valor: NtlmMinClientSec
    Tipo de datos: REG_WORD
    Valor: uno de los valores citados debajo:
    • 0x00000010- Integridad de mensajes
    • 0x00000020- Confidencialidad de mensajes
    • 0x00080000- seguridad de sesión NTLM 2
    • 0x20000000- Cifrado de 128 bits
    • 0x80000000- Cifrado de 56 bits

  4. Cierre el Editor del Registro.
Si un programa cliente-servidor utiliza NTLM SSP (o utiliza Llamada a procedimiento remoto segura [RPC], que utiliza NTLM SSP) para proporcionar seguridad de sesión para una conexión, el tipo de seguridad de sesión a utilizar se determina como sigue:
  • El cliente realiza peticiones de uno o de la totalidad de los siguientes elementos: integridad del mensaje, confidencialidad del mensaje, seguridad de sesión NTLM 2 y cifrado de 56 bits o de 128 bits.
  • El servidor responde, indicando qué elementos del conjunto solicitado desea.
  • Se dice que el conjunto resultante ha sido "negociado".
Puede utilizar el valor NtlmMinClientSec para hacer que las conexiones cliente-servidor negocien una determinada calidad de seguridad de la sesión o bien no tengan éxito. Sin embargo, debería tener en cuenta los siguientes elementos:
  • Si utiliza 0x00000010 para el valor NtlmMinClientSec, si no se negocia la integridad del mensaje, la conexión no tendrá éxito.
  • Si utiliza 0x00000020 para el valor NtlmMinClientSec, si no se negocia la confidencialidad del mensaje, la conexión no tendrá éxito.
  • Si utiliza 0x00080000 para el valor NtlmMinClientSec, si no se negocia la seguridad de sesión NTLM 2, la conexión no tendrá éxito.
  • Si utiliza 0x20000000 para el valor NtlmMinClientSec y si la confidencialidad del mensaje está en uso pero no se negocia el cifrado de 128 bits, la conexión no tendrá éxito.
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 239869 - Última revisión: martes, 30 de mayo de 2006 - Versión: 4.4
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Service Pack 5 de Microsoft Windows NT Workstation 4.0
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palabras clave: 
kbenv kbhowto KB239869
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio