Cikk azonos�t�ja: 239869 - Utols� ellen�rz�s: 2005. december 2. - Verzi�sz�m: 4.3

Az NTLM 2 hiteles�t�s enged�lyez�se

A cikkben �rintett term�kek list�j�nak megtekint�se.

RendszertippA jelen cikk az �n �ltal haszn�ltt�l elt�r� oper�ci�s rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relev�nsak �nnek, letiltjuk.

Fontos! Ebben a cikkben a rendszerle�r� adatb�zis m�dos�t�s�val kapcsolatos tudnival�k olvashat�k. A rendszerle�r� adatb�zis m�dos�t�sa el�tt felt�tlen�l k�sz�tsen biztons�gi m�solatot arr�l, �s csak akkor fogjon hozz�, ha probl�ma eset�n tiszt�ban van a rendszerle�r� adatb�zis vissza�ll�t�s�nak m�dj�val. A rendszerle�r� adatb�zis biztons�gi ment�s�vel, m�dos�t�s�val �s vissza�ll�t�s�val kapcsolatos inform�ci�kat a Microsoft Tud�sb�zis k�vetkez� cikk�ben tal�l a cikk sz�m�ra kattintva:

256986� (http://support.microsoft.com/kb/256986/ ) A Microsoft Windows rendszerle�r� adatb�zis�nak ismertet�se

A lap tartalma

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

�sszefoglal�

A Windows NT rendszer a h�l�zati bejelentkez�sekhez k�t k�rd�s-v�lasz hiteles�t�si m�dot tartalmaz:

LAN Manager (LM) k�rd�s-v�lasz
Windows NT k�rd�s-v�lasz (amely 1-es verzi�j� NTLM k�rd�s-v�laszk�nt is ismert)

Az LM alap� hiteles�t�s lehet�v� teszi az egy�ttm�k�d�st Windows 95, Windows 98 vagy Windows 98 Second Edition rendszerrel rendelkez� �gyfelekkel �s kiszolg�l�kkal. Az NTLM-hiteles�t�s a Windows NT rendszer� �gyfelek �s kiszolg�l�k k�zti kapcsolatokat teszi biztons�gosabb�. A Windows NT t�mogatja az NTLM-hiteles�t�s munkamenet-biztons�gi mechanizmus�t, amely biztos�tja az �zenetek bizalmas �tvitel�t (titkos�t�s) �s integrit�s�nak meg�rz�s�t (al��r�s).

A sz�m�t�g�pes hardver �s az algoritmusok k�zelm�ltbeli fejl�d�se miatt ezek a protokollok sebezhet�v� v�ltak a felhaszn�l�k jelszavainak megszerz�s�re ir�nyul� sz�lesk�r� t�mad�sokkal szemben. A felhaszn�l�k nagyobb biztons�ga �rdek�ben v�gzett folyamatos munk�j�nak eredm�nyek�nt a Microsoft kifejlesztette a 2-es verzi�j� NTLM-protokollt, amely sokkal jobb hiteles�t�si �s munkamenet-biztons�gi mechanizmusokat tartalmaz. Az NTLM 2 protokoll a Windows NT 4.0 rendszerhez kiadott Service Pack 4 (SP4) szervizcsomag megjelen�se �ta el�rhet�, a Windows 2000 rendszer pedig m�r alap�rtelmez�s szerint tartalmazza azt. Az Active Directory �gyf�lb�v�tm�nyek telep�t�s�vel az NTLM 2 t�mogat�s�t a Windows 98 rendszerben is el�rhet�v� lehet tenni.

A Windows 95, Windows 98, Windows 98 Second Edition �s Windows NT 4.0 rendszer� sz�m�t�g�pek friss�t�se ut�n a v�llalat biztons�g�nak jelent�s n�vel�se �rhet� el, ha az �gyfeleket �s a kiszolg�l�kat �gy �ll�tja be, hogy azok csak NTLM 2 protokollt haszn�ljanak (�s LM vagy NTLM hiteles�t�st ne).

A lap tetej�re

Tov�bbi inform�ci�

Tov�bbi inform�ci�t az Active Directory megfelel� �gyf�lb�v�tm�ny�nek telep�t�s�r�l a Microsoft Tud�sb�zis al�bbi cikk�ben tal�l a cikk sz�m�ra kattintva:

288358� (http://support.microsoft.com/kb/288358/ ) Az Active Directory �gyf�lb�v�tm�ny�nek telep�t�se (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

Az Active Directory �gyf�lb�v�tm�ny�nek Windows 98 rendszerre t�rt�n� telep�t�sekor az NTLM 2 t�mogat�s��rt felel�s rendszerf�jlokat automatikusan telep�ti a rendszer. Ezek a f�jlok a Secur32.dll, az Msnp32.dll, a Vredir.vxd �s a Vnetsup.vxd. Az Active Directory �gyf�lb�v�tm�ny elt�vol�t�sakor az NTLM 2 rendszerf�jlok a sz�m�t�g�pen maradnak, mert ezek jav�tott biztons�gi funkci�kat �s a biztons�ggal kapcsolatos jav�t�sokat tartalmaznak.

Alap�rtelmez�s szerint az NTLM 2 munkamenet-biztons�gi titkos�t�shoz haszn�lt kulcs�nak maxim�lis hossza 56 bit. Ha a rendszer megfelel az Egyes�lt �llamok kiviteli szab�lyoz�s�nak, a 128 bites kulcsok t�mogat�s�ra szolg�l� kieg�sz�t�st a rendszer automatikusan telep�ti. Az 128 bites NTLM 2 munkamenet-biztons�gi szolg�ltat�s enged�lyez�s�hez a Microsoft Internet Explorer 4.x vagy 5-�s verzi�j�t kell telep�teni, �s az Active Directory �gyf�lb�v�tm�ny�nek telep�t�se el�tt friss�teni kell azt a 128 bites biztons�gos kapcsolat t�mogat�s�hoz.

A telep�tett alkalmaz�s verzi�j�nak ellen�rz�s�hez k�vesse az al�bbi l�p�seket:

A Windows Int�z� seg�ts�g�vel keresse meg a %SystemRoot%\System mapp�ban tal�lhat� Secur32.dll f�jlt.
Kattintson jobb gombbal a f�jlra, majd v�lassza a Tulajdons�gok parancsot.
Kattintson a Verzi� f�lre. Az 56 bites verzi� le�r�sa a k�vetkez�: �Security Support Provider Interface (Export Version)� (biztons�gt�mogat�si szolg�ltat� fel�lete). A 128 bites verzi� le�r�sa a k�vetkez�: �Microsoft Win32 Security Services (US and Canada Only)� (Microsoft Win32 biztons�gi szolg�ltat�sok).

Miel�tt a Windows 98 rendszer� �gyfeleken enged�lyezn� az NTLM 2 hiteles�t�s haszn�lat�t, gy�z�dj�n meg arr�l, hogy az ezekr�l az �gyfelekr�l a h�l�zathoz csatlakoz� felhaszn�l�kat kiszolg�l� tartom�nyvez�rl�k�n Service Pack 4 szervizcsomaggal ell�tott Windows NT 4.0 vagy enn�l �jabb rendszer fut. (Ha az �gyf�l �s a kiszolg�l� k�l�nb�z� tartom�nyba tartozik, a tartom�nyvez�rl�k�n futhat Service Pack 6 szervizcsomaggal ell�tott Windows NT 4.0 rendszer.) Az NTLM 2 hiteles�t�s haszn�lat�hoz a tartom�nyvez�rl�k�n semmilyen k�l�nleges be�ll�t�s nem sz�ks�ges. Csak az NTLM 1 �s LM hiteles�t�si m�dokat kell letiltani. Tov�bbi inform�ci�t a protokollok k�z�tti k�l�nbs�gekr�l, �s az NTLM 2 protokoll kiz�r�lagos haszn�lat�nak fontoss�g�r�l a Microsoft Tud�sb�zis k�vetkez� cikk�ben tal�l a cikk sz�m�ra kattintva:

147706� (http://support.microsoft.com/kb/147706/ ) Az LM-hiteles�t�s tilt�sa Windows NT rendszerben (El�fordulhat, hogy a hivatkoz�s r�szben vagy teljes eg�sz�ben angol nyelv� tartalomra mutat.)

A lap tetej�re

Az NTLM 2 enged�lyez�se Windows 95, Windows 98 vagy Windows 98 Second Edition rendszer� �gyfelek eset�n

Figyelem! A Rendszerle�r�adatb�zis-szerkeszt� helytelen haszn�lata komoly probl�m�khoz vezethet, amelyek az oper�ci�s rendszer �jratelep�t�s�t tehetik sz�ks�gess�. A Microsoft nem garant�lja a Rendszerle�r�adatb�zis-szerkeszt� nem megfelel� haszn�lata miatt fell�p� probl�m�k megoldhat�s�g�t. A Rendszerle�r�adatb�zis-szerkeszt�t mindenki a saj�t felel�ss�g�re haszn�lhatja.
Az NTLM 2 hiteles�t�s Windows 95, Windows 98 �s Windows 98 Second Edition rendszer� �gyfelek eset�n t�rt�n� enged�lyez�s�hez telep�tse a C�mszolg�ltat�sok �gyf�lprogramot. Az NTLM 2 �gyf�len t�rt�n� aktiv�l�s�hoz k�vesse az al�bbi l�p�seket:

Ind�tsa el a Rendszerle�r�adatb�zis-szerkeszt�t (Regedit.exe).
Keresse meg az adatb�zisban a k�vetkez� kulcsot, �s kattintson r�:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
Hozzon l�tre a fenti kulcson bel�l egy LSA kulcsot.
A Szerkeszt�s men�b�l v�lassza az Azonos�t� hozz�ad�sa parancsot, majd hozza l�tre a k�vetkez� azonos�t�t:
Azonos�t�n�v: LMCompatibility
Adatt�pus: REG_DWORD
�rt�k: 3
�rv�nyes �rt�kek: 0, 3
Le�r�s: ez a param�ter adja meg a h�l�zati bejelentkez�shez haszn�lt hiteles�t�s m�dj�t �s a munkamenet-biztons�gi szolg�ltat�st. Az interakt�v bejelentkez�st nem befoly�solja.
- 0. szint - LM �s NTLM v�lasz elk�ld�se; NTLM 2 munkamenet-biztons�gi szolg�ltat�s haszn�lat�nak tilt�sa. Az �gyfelek az LM �s az NTLM hiteles�t�st haszn�lj�k, de NTLM 2 munkamenet-biztons�gi szolg�ltat�st soha. A tartom�nyvez�rl�k elfogadj�k az LM, NTLM �s NTLM 2 hiteles�t�seket is.
- 3. szint - Csak NTLM 2 v�lasz k�ld�se. Az �gyfelek az NTLM 2 hiteles�t�st haszn�lj�k, tov�bb� az NTLM 2 munkamenet-biztons�gi szolg�ltat�st is, ha a kiszolg�l� t�mogatja azt. A tartom�nyvez�rl�k elfogadj�k az LM, NTLM �s NTLM 2 hiteles�t�st is.
Megjegyz�s Ha az NTLM 2 protokollt Windows 95 rendszer� �gyfelek sz�m�ra is enged�lyezni szeretn�, telep�tse az elosztott f�jlrendszer (DFS) �gyfelet, a WinSock 2.0 verzi�j� friss�t�s�t �s a Windows 2000 rendszer Microsoft DUN 1.3 alkalmaz�s�t.
L�pjen ki a Rendszerle�r�adatb�zis-szerkeszt�b�l.

Megjegyz�s Windows NT 4.0 �s a Windows 2000 rendszerben a rendszerle�r� adatb�zis kulcs�nak neve LMCompatibilityLevel, m�g Windows 95 �s Windows 98 rendszerben LMCompatibility.

A Windows NT 4.0 �s a Windows 2000 rendszerekben az LMCompatibilityLevel kulcs �rt�kei a k�vetkez�ket jelentik:

0. szint - LM �s NTLM v�lasz elk�ld�se; NTLM 2 munkamenet-biztons�gi szolg�ltat�s haszn�lat�nak tilt�sa. Az �gyfelek az LM �s az NTLM hiteles�t�st haszn�lj�k, de NTLM 2 munkamenet-biztons�gi szolg�ltat�st soha. A tartom�nyvez�rl�k elfogadj�k az LM, NTLM �s NTLM 2 hiteles�t�seket is.
1. szint - Az NTLM 2 munkamenet-biztons�gi szolg�ltat�s haszn�lata meg�llapod�s alapj�n. Az �gyfelek az LM �s az NTLM hiteles�t�st haszn�lj�k, tov�bb� az NTLM 2 munkamenet-biztons�gi szolg�ltat�st is, ha a tartom�nyvez�rl� t�mogatja azt. A tartom�nyvez�rl�k elfogadj�k az LM, NTLM �s NTLM 2 hiteles�t�seket is.
2. szint - Csak NTLM v�lasz k�ld�se. Az �gyfelek csak az NTLM hiteles�t�st haszn�lj�k, tov�bb� az NTLM 2 munkamenet-biztons�gi szolg�ltat�st is, ha a tartom�nyvez�rl� t�mogatja azt. A tartom�nyvez�rl�k elfogadj�k az LM, NTLM �s NTLM 2 hiteles�t�seket is.
3. szint - Csak NTLM 2 v�lasz k�ld�se. Az �gyfelek az NTLM 2 hiteles�t�st haszn�lj�k, tov�bb� az NTLM 2 munkamenet-biztons�gi szolg�ltat�st is, ha a kiszolg�l� t�mogatja azt. A tartom�nyvez�rl�k elfogadj�k az LM, NTLM �s NTLM 2 hiteles�t�st is.
4. szint - A tartom�nyvez�rl�k visszautas�tj�k az LM v�laszokat. Az �gyfelek az NTLM hiteles�t�st haszn�lj�k, tov�bb� az NTLM 2 munkamenet-biztons�gi szolg�ltat�st is, ha a kiszolg�l� t�mogatja azt. A tartom�nyvez�rl�k visszautas�tj�k az LM hiteles�t�st (azaz az NTLM �s az NTLM 2 hiteles�t�seket fogadj�k el).
5. szint - A tartom�nyvez�rl�k visszautas�tj�k az LM �s NTLM v�laszokat (csak NTLM 2 elfogad�sa). Az �gyfelek az NTLM 2 hiteles�t�st haszn�lj�k, tov�bb� az NTLM 2 munkamenet-biztons�gi szolg�ltat�st is, ha a kiszolg�l� t�mogatja azt. A tartom�nyvez�rl�k visszautas�tj�k az LM �s az NTLM hiteles�t�st (azaz csak az NTLM 2 hiteles�t�st fogadj�k el).

Az �gyf�lsz�m�t�g�p az �sszes kiszolg�l�val t�rt�n� kommunik�ci�hoz csak egy protokollt haszn�lhat. Nem lehets�ges olyan be�ll�t�s, hogy az �gyf�l NTLM 2 protokollt haszn�ljon Windows 2000 rendszer� kiszolg�l�kkal folytatott kommunik�ci�khoz, m�g a t�bbi kiszolg�l�val NTLM protokoll seg�ts�g�vel kommunik�ljon. Ez sz�nd�kosan van �gy.

A rendszerle�r� adatb�zis k�vetkez� kulcs�nak m�dos�t�s�val megadhatja a NTLM biztons�gi t�mogat�s szolg�ltat�ja (SSP � Security Support Provider) eszk�zt haszn�l� programok eset�n haszn�lt minim�lis biztons�gi szolg�ltat�sok szintj�t. Ezek az �rt�kek a LMCompatibilityLevel �rt�kt�l f�ggnek:

Ind�tsa el a Rendszerle�r�adatb�zis-szerkeszt�t (Regedit.exe).
A rendszerle�r� adatb�zisban keresse meg a k�vetkez� kulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
A Szerkeszt�s men�b�l v�lassza az Azonos�t� hozz�ad�sa parancsot, majd hozza l�tre a k�vetkez� azonos�t�t:
Azonos�t�n�v: NtlmMinClientSec
Adatt�pus: REG_WORD
�rt�k: a k�vetkez� �rt�kek k�z�l az egyik:
- 0x00000010- �zenetintegrit�s
- 0x00000020- �zenettitkos�t�s
- 0x00080000- NTLM 2 munkamenet-biztons�g
- 0x20000000- 128 bites titkos�t�s
- 0x80000000- 56 bites titkos�t�s
L�pjen ki a Rendszerle�r�adatb�zis-szerkeszt�b�l.

Ha egy kiszolg�l�- vagy �gyf�lalkalmaz�s az NTLM SSP eszk�zt (vagy az NTLM SSP eszk�zt haszn�l� biztons�gos t�voli elj�r�sh�v�st [RPC - Remote Procedure Call]) haszn�lja a kapcsolat munkamenet-biztons�g�nak biztos�t�s�hoz, a haszn�lt munkamenet-biztons�gi szolg�ltat�st a k�vetkez�k�ppen lehet meghat�rozni:

Az �gyf�l a k�vetkez�k egyik�t k�ri: �zenetintegrit�s, �zenettitkos�t�s, NTLM 2 munkamenet-biztons�g, 128 bites vagy 56 bites titkos�t�s.
A kiszolg�l� v�lasz�ban jelzi, hogy a k�rt elemek k�z�l melyikre tart ig�nyt.
Ezt �gy nevezik, hogy a felek �megegyeztek� az eredm�nyhalmazr�l.

Az NtlmMinClientSec �rt�k v�ltoztat�s�val be�ll�thatja, hogy a kiszolg�l� �s az �gyf�l vagy egyezzen meg a munkamenet biztons�gi param�tereir�l, vagy a kapcsolatfelv�tel legyen sikertelen. Figyelembe kell venni azonban a k�vetkez�ket:

Ha az NtlmMinClientSec v�ltoz�ban 0x00000010 �rt�ket �ll�t be, a kapcsolatfelv�tel sikertelen, ha a felek nem tudnak megegyezni az �zenetintegrit�sr�l.
Ha az NtlmMinClientSec v�ltoz�ban 0x00000020 �rt�ket �ll�t be, a kapcsolatfelv�tel sikertelen, ha a felek nem tudnak megegyezni az �zenettitkos�t�sr�l.
Ha az NtlmMinClientSec v�ltoz�ban 0x00080000 �rt�ket �ll�t be, a kapcsolatfelv�tel sikertelen, ha a felek nem tudnak megegyezni az NTLM 2 munkamenet-biztons�gi szolg�ltat�s haszn�lat�r�l.
Ha az NtlmMinClientSec v�ltoz�ban 0x20000000 �rt�ket �ll�t be, a kapcsolatfelv�tel sikertelen, ha a felek nem tudnak megegyezni a 128 bites titkos�t�sr�l.

A lap tetej�re

A cikkben tal�lhat� inform�ci� a k�vetkez�(k)re vonatkozik:

Microsoft Windows 2000 Advanced Server
Microsoft Windows NT 4.0 Service Pack 4
Microsoft Windows NT 4.0 Service Pack 5
Microsoft Windows 98 Second Edition
Microsoft Windows 98 Standard Edition
Microsoft Windows 95

A lap tetej�re

kbhowto kbenv KB239869

A lap tetej�re

A Microsoft tud�sb�zisban szolg�ltatott inform�ci�kat "az adott �llapotban", b�rminem� szavatoss�g vagy garancia n�lk�l biztos�tjuk. A Microsoft kiz�r mindennem�, ak�r kifejezett, ak�r v�lelmezett szavatoss�got vagy garanci�t, ide�rtve a forgalomk�pess�gre �s az adott c�lra val� alkalmass�gra vonatkoz� szavatoss�got is. A Microsoft Corporation �s annak besz�ll�t�i semmilyen k�r�lm�nyek k�z�tt nem felel�sek semminem� k�r�rt, �gy a k�zvetlen, a k�zvetett, az �zleti haszon elmarad�s�b�l sz�rmaz� vagy speci�lis k�rok�rt, illetve a k�r k�vetkezm�nyek�nt felmer�l� k�lts�gek megt�r�t�s��rt, m�g abban az esetben sem, ha a Microsoft Corporationt vagy besz�ll�t�it az ilyen k�rok bek�vetkezt�nek lehet�s�g�re figyelmeztett�k. Egyes �llamok joga nem teszi lehet�v� bizonyos k�rok�rt a felel�ss�g kiz�r�s�t vagy korl�toz�s�t, ez�rt a fenti korl�toz�sok az �n eset�ben esetleg nem alkalmazhat�k.

Egy�b forr�sok

Tov�bbi t�mogat�s

K�z�ss�g

A cikk ford�t�sa

United States (English)

This site in other countries/regions:

Az NTLM 2 hiteles�t�s enged�lyez�se

A lap tartalma

�sszefoglal�

Tov�bbi inform�ci�

Az NTLM 2 enged�lyez�se Windows 95, Windows 98 vagy Windows 98 Second Edition rendszer� �gyfelek eset�n

A cikkben tal�lhat� inform�ci� a k�vetkez�(k)re vonatkozik:

Kulcsszavak:�

Tov�bbi t�mogat�s

K�z�ss�g

A cikk ford�t�sa

Kapcsol�d� t�mogat�k�zpontok