Artikli ID: 239869 - Vaadake tooteid, millega see artikkel seostub.
NB! See artikkel sisaldab teavet registri muutmise kohta. Enne registri muutmist varundage see kindlasti ja veenduge, et oskate mõne probleemi ilmnemisel registri taastada. Registri varundamise, taastamise ja redigeerimise kohta teabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
256986 Microsoft Windowsi registri kirjeldus (selle artikli sisu võib olla ingliskeelne)
Laienda kõik | Ahenda kõik

Sellel veebilehel

KOKKUVÕTE

Windows NT toetab ajalooliselt võrgulogimiste pretensioon/vastus-autentimise kahte varianti:
  • LAN Manageri (LM) pretensioon/vastus
  • Windows NT pretensioon/vastus (tuntud ka kui NTLM versiooni 1 pretensioon/vastus)
LM-i variant tagab ühilduvuse Windows 95, Windows 98 ja Windows 98 Second Editioni installitud baasklientide ja -serveritega. NTLM pakub Windows NT klientide ja serverite vahelistele ühendustele täiustatud turvalisust. Windows NT toetab ka NTLM-i seansiturbemehhanismi, mis on mõeldud sõnumite konfidentsiaalsuse (krüptimise) ja tervikluse (allkirjastamise) tagamiseks.

Arvuti riistvara- ja tarkvaraalgoritmide viimased täiustused on muutnud need protokollid haavatavaks kasutajaparoolide hankimise eesmärgil sooritatavate väga levinud rünnakute suhtes. Microsoft teeb järjekindlat tööd selle nimel, et pakkuda oma klientidele veelgi turvalisemaid tooteid. Seetõttu töötas ta välja täiustuse NTLM versioon 2, mis parendab oluliselt nii autentimis- kui ka seansiturbemehhanisme. NTLM 2 on opsüsteemi Windows NT 4.0 jaoks saadaval alates hoolduspaketi Service Pack 4 (SP4) väljaandmisest ning opsüsteemi Windows 2000 on selle tugi sisse ehitatud. Opsüsteemi Windows 98 NTLM 2 toe lisamiseks installige Active Directory klientprogrammi laiendused.

Pärast versiooniuuenduste installimist kõikidesse opsüsteemidega Windows 95, Windows 98, Windows 98 Second Edition ja Windows NT 4.0 töötavatesse arvutitesse saate tunduvalt täiustada oma ettevõtte turvalisust, konfigureerides kliendid, serverid ja domeenikontrollerid kasutama ainult autentimist NTLM 2 (mitte LM ega NTLM).

LISATEAVE

Vajaliku Active Directory klientprogrammi laienduse installimise kohta lisateabe saamiseks klõpsake vastava Microsofti teabebaasi (Knowledge Base) artikli vaatamiseks järgmist artiklinumbrit:
288358 Active Directory klientprogrammi laienduse installimine (selle artikli sisu võib olla ingliskeelne)
Kui installite Active Directory klientprogrammi laiendused opsüsteemiga Windows 98 töötavasse arvutisse, siis installitakse automaatselt ka NTLM 2 tuge pakkuvad süsteemifailid. Need failid on Secur32.dll, Msnp32.dll, Vredir.vxd ja Vnetsup.vxd. Active Directory klientprogrammi laienduse eemaldamisel NTLM 2 süsteemifaile ei eemaldata, kuna need pakuvad nii täiustatud turvafunktsioone kui ka turvalisusega seotud veaparandusi.

Vaikimisi on NTLM 2 seansi turvakrüptimise maksimaalne võtmepikkus piiratud 56 bitini. Kui süsteem vastab USA ekspordieeskirjadele, installitakse automaatselt 128-bitiste võtmete valikuline tugi. 128-bitise NTLM 2 seansiturbetoe lubamiseks peate enne Active Directory klientprogrammi laienduse installimist installima Microsoft Internet Exploreri versiooni 4.x või 5 ning toeuuenduse 128-bitise turvalise ühenduse jaoks.

Installitud versiooni kontrollimine
  1. Leidke Windows Exploreri abil kaustast %SystemRoot%\System fail Secur32.dll.
  2. Paremklõpsake seda faili ja seejärel klõpsake käsku Properties (Atribuudid).
  3. Klõpsake vahekaarti Version (Versioon). 56-bitise versiooni kirjeldus on "Microsoft Win32 Security Services (Export Version)" ("Microsoft Win32 turvateenused (ekspordiversioon)"). 128-bitise versiooni kirjeldus on "Microsoft Win32 Security Services (US and Canada Only)" ("Microsoft Win32 turvateenused (ainult USA ja Kanada)").
Enne Windows 98 klientide NTLM 2 autentimise lubamist veenduge, et nendest klientidest teie võrku logivate kasutajate domeenikontrollerid töötaksid Windows NT 4.0 hoolduspaketiga Service Pack 4 või mõne uuema versiooniga. (Kui klient ja server on ühendatud erinevatesse domeenidesse, võivad domeenikontrollerid töötada ka Windows NT 4.0 hoolduspaketiga Service Pack 6.) NTLM 2 toetamiseks pole vaja domeenikontrollerit konfigureerida. Domeenikontrollereid on vaja konfigureerida ainult NTLM 1 või LM-i autentimistoe keelamiseks. Nende protokollivariantide erinevuste ja ainult NTLM 2 kasutamise uuenduse installimise tähtsuse kohta lisateabe saamiseks klõpsake vastava Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
147706 LM-autentimise keelamine Windows NT-s (selle artikli sisu võib olla ingliskeelne)

NTLM 2 lubamine opsüsteeme Windows 95, Windows 98 või Windows 98 Second Edition kasutavate klientide puhul

Hoiatus. Kui kasutate registriredaktorit valesti, võite põhjustada tõsiseid probleeme, mille tõttu peate opsüsteemi uuesti installima. Microsoft ei garanteeri, et registriredaktori valest kasutamisest tulenevaid probleeme on võimalik lahendada. Kasutate registriredaktorit omal vastutusel.
NTLM 2 autentimise lubamiseks opsüsteemi Windows 95, Windows 98 või Windows 98 Second Edition kasutava kliendi puhul installige kataloogiteenuste klient (Directory Services Client). Kliendi jaoks NTLM 2 aktiveerimiseks toimige järgmiselt.
  1. Käivitage registriredaktor (Regedit.exe).
  2. Leidke registrist järgmine võti ja klõpsake seda:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Looge ülaltoodud registrivõtmes LSA registrivõti.
  4. Klõpsake menüü Edit (Redigeeri) käsku Add Value (Lisa väärtus) ja seejärel lisage järgmine registriväärtus:
    Value Name (Väärtuse nimi): LMCompatibility
    Data Type (Andmetüüp): REG_DWORD
    Value (Väärtus): 3
    Valid Range (Kehtiv vahemik): 0,3
    Description (Kirjeldus): See parameeter määrab võrgulogimiste autentimis- ja seansiturbere?iimi. See ei mõjuta interaktiivseid sisselogimisi.
    • Tase 0 ? LM- ja NTLM-vastuse saatmine; NTLM 2 seansiturvalisust ei kasutata. Kliendid kasutavad LM- ja NTLM-autentimist, kuid ei kasuta kunagi NTLM 2 seansiturvalisust. Domeenikontrollerid aktsepteerivad LM-, NTLM- ja NTLM 2 autentimist.
    • Tase 3 ? ainult NTLM 2 vastuse saatmine. Kliendid kasutavad NTLM 2 autentimist ning NTLM 2 seansiturvalisust (kui server seda toetab). Domeenikontrollerid aktsepteerivad LM-, NTLM- ja NTLM 2 autentimist.
    Märkus. NTLM 2 lubamiseks Windows 95 klientidele installige hajusfailisüsteemi (DFS) klient, WinSock 2.0 värskendus ja Microsoft DUN 1.3 opsüsteemile Windows 2000.

  5. Sulgege registriredaktor.

Märkus. Windows NT 4.0 ja Windows 2000 puhul on registrivõti LMCompatibilityLevel ning Windows 95 ja Windows 98 puhul on registrivõti LMCompatibility.

Väärtuse LMCompatibilityLevel kogu väärtusevahemik, mida toetavad Windows NT 4.0 ja Windows 2000, hõlmab järgmisi väärtusi.
  • Tase 0 ? LM- ja NTLM-vastuse saatmine; NTLM 2 seansiturvalisust ei kasutata. Kliendid kasutavad LM- ja NTLM-autentimist, kuid ei kasuta kunagi NTLM 2 seansiturvalisust. Domeenikontrollerid aktsepteerivad LM-, NTLM- ja NTLM 2 autentimist.
  • Tase 1 ? läbirääkimiste tulemusel NTLM 2 seansiturvalisuse kasutamine. Kliendid kasutavad LM- ja NTLM-autentimist ning NTLM 2 seansiturvalisust (kui server seda toetab). Domeenikontrollerid aktsepteerivad LM-, NTLM- ja NTLM 2 autentimist.
  • Tase 2 ? ainult NTLM 2 vastuse saatmine. Kliendid kasutavad ainult NTLM-autentimist ning NTLM 2 seansiturvalisust (kui server seda toetab). Domeenikontrollerid aktsepteerivad LM-, NTLM- ja NTLM 2 autentimist.
  • Tase 3 ? ainult NTLM 2 vastuse saatmine. Kliendid kasutavad NTLM 2 autentimist ning NTLM 2 seansiturvalisust (kui server seda toetab). Domeenikontrollerid aktsepteerivad LM-, NTLM- ja NTLM 2 autentimist.
  • Tase 4 ? domeenikontrollerid keelduvad LM-vastustest. Kliendid kasutavad NTLM-autentimist ning NTLM 2 seansiturvalisust (kui server seda toetab). Domeenikontrollerid keelduvad LM-autentimisest (kuid aktsepteerivad NTLM- ja NTLM 2 autentimist).
  • Tase 5 ? domeenikontrollerid keelduvad LM- ja NTLM-vastustest (aktsepteerivad ainult NTLM 2 vastuseid). Kliendid kasutavad NTLM 2 autentimist ning NTLM 2 seansiturvalisust (kui server seda toetab). Domeenikontrollerid keelduvad NTLM- ja LM-autentimisest (aktsepteerivad ainult NTLM 2 autentimist).
Klientarvuti saab kõigi serveritega suhtlemisel kasutada ainult ühte protokolli. Seda ei saa konfigureerida kasutama näiteks Windows 2000 põhiste serveritega ühenduse loomiseks autentimist NTLM v2 ja muude serveritega ühenduse loomiseks autentimist NTLM. Selline käitumine on ette nähtud.

Saate konfigureerida minimaalse turvalisuse, mida kasutatakse NTLM-i turbealaste tugiteenuste pakkujat (SSP-d) kasutavate programmide puhul, muutes järgmist registrivõtit. Need väärtused sõltuvad väärtusest LMCompatibilityLevel.
  1. Käivitage registriredaktor (Regedit.exe).
  2. Leidke registrist järgmine võti:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. Klõpsake menüü Edit (Redigeeri) käsku Add Value (Lisa väärtus) ja seejärel lisage järgmine registriväärtus:
    Value Name (Väärtuse nimi): NtlmMinClientSec
    Data Type (Andmetüüp): REG_WORD
    Value (Väärtus): üks järgmistest väärtustest:
    • 0x00000010 ? sõnumite terviklus
    • 0x00000020 ? sõnumite konfidentsiaalsus
    • 0x00080000 ? NTLM 2 seansiturve
    • 0x20000000 ? 128-bitine krüptimine
    • 0x80000000 ? 56-bitine krüptimine

  4. Sulgege registriredaktor.
Kui klient-/serveriprogramm kasutab ühenduse seansiturvalisuse tagamiseks NTLM SSP-d (või turvalist teenust Remote Procedure Call [RPC], mis kasutab NTLM SSP-d), määratletakse kasutatav seansiturvalisuse tüüp järgmiselt.
  • Klient taotleb mõnda või kõiki järgmistest üksustest: sõnumi terviklus, sõnumi konfidentsiaalsus, NTLM 2 seansiturve ning 128-bitine või 56-bitine krüptimine.
  • Server vastab, osutades, millist nõutud komplekti üksust see soovib.
  • Saadud komplekti nimetatakse nn läbirääkimiste tulemusel saadud komplektiks.
Väärtuse NtlmMinClientSec abil saate määrata, kas klient-/serveriühendused peavad läbirääkimisi seansiturvalisuse antud kvaliteedi saavutamiseks või nurjuvad. Peaksite siiski pöörama tähelepanu järgmistele üksustele.
  • Kui kasutate NtlmMinClientSec puhul väärtust 0x00000010 ja sõnumi tervikluse läbirääkimisi ei peeta, siis ühenduse loomine ei õnnestu.
  • Kui kasutate NtlmMinClientSec puhul väärtust 0x00000020 ja sõnumi konfidentsiaalsuse läbirääkimisi ei peeta, siis ühenduse loomine ei õnnestu.
  • Kui kasutate NtlmMinClientSec puhul väärtust 0x00080000 ja NTLM 2 seansiturvalisuse läbirääkimisi ei peeta, siis ühenduse loomine ei õnnestu.
  • Kui kasutate NtlmMinClientSec puhul väärtust 0x20000000 ja sõnumi konfidentsiaalsus on kasutusel, kuid 128-bitise krüptimise läbirääkimisi ei peeta, siis ühenduse loomine ei õnnestu.

Atribuudid

Artikli ID: 239869 - Viimati läbi vaadatud: 6. veebruar 2006 - Redaktsioon: 4.3
KEHTIB JÄRGMISE LÕIGU KOHTA:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 hoolduspakett SP 4
  • Microsoft Windows NT 4.0 hoolduspakett SP 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Märksõnad: 
kbenv kbhowto KB239869

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com