Cikk azonosítója: 239869 - A cikkben érintett termékek listájának megtekintése.
Fontos! Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt feltétlenül készítsen biztonsági másolatot arról, és csak akkor fogjon hozzá, ha probléma esetén tisztában van a rendszerleíró adatbázis visszaállításának módjával. A rendszerleíró adatbázis biztonsági mentésével, módosításával és visszaállításával kapcsolatos információkat a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Windows NT rendszer a hálózati bejelentkezésekhez két kérdés-válasz hitelesítési módot tartalmaz:
  • LAN Manager (LM) kérdés-válasz
  • Windows NT kérdés-válasz (amely 1-es verziójú NTLM kérdés-válaszként is ismert)
Az LM alapú hitelesítés lehetővé teszi az együttműködést Windows 95, Windows 98 vagy Windows 98 Second Edition rendszerrel rendelkező ügyfelekkel és kiszolgálókkal. Az NTLM-hitelesítés a Windows NT rendszerű ügyfelek és kiszolgálók közti kapcsolatokat teszi biztonságosabbá. A Windows NT támogatja az NTLM-hitelesítés munkamenet-biztonsági mechanizmusát, amely biztosítja az üzenetek bizalmas átvitelét (titkosítás) és integritásának megőrzését (aláírás).

A számítógépes hardver és az algoritmusok közelmúltbeli fejlődése miatt ezek a protokollok sebezhetővé váltak a felhasználók jelszavainak megszerzésére irányuló széleskörű támadásokkal szemben. A felhasználók nagyobb biztonsága érdekében végzett folyamatos munkájának eredményeként a Microsoft kifejlesztette a 2-es verziójú NTLM-protokollt, amely sokkal jobb hitelesítési és munkamenet-biztonsági mechanizmusokat tartalmaz. Az NTLM 2 protokoll a Windows NT 4.0 rendszerhez kiadott Service Pack 4 (SP4) szervizcsomag megjelenése óta elérhető, a Windows 2000 rendszer pedig már alapértelmezés szerint tartalmazza azt. Az Active Directory ügyfélbővítmények telepítésével az NTLM 2 támogatását a Windows 98 rendszerben is elérhetővé lehet tenni.

A Windows 95, Windows 98, Windows 98 Second Edition és Windows NT 4.0 rendszerű számítógépek frissítése után a vállalat biztonságának jelentős növelése érhető el, ha az ügyfeleket és a kiszolgálókat úgy állítja be, hogy azok csak NTLM 2 protokollt használjanak (és LM vagy NTLM hitelesítést ne).

További információ

További információt az Active Directory megfelelő ügyfélbővítményének telepítéséről a Microsoft Tudásbázis alábbi cikkében talál a cikk számára kattintva:
288358 Az Active Directory ügyfélbővítményének telepítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Az Active Directory ügyfélbővítményének Windows 98 rendszerre történő telepítésekor az NTLM 2 támogatásáért felelős rendszerfájlokat automatikusan telepíti a rendszer. Ezek a fájlok a Secur32.dll, az Msnp32.dll, a Vredir.vxd és a Vnetsup.vxd. Az Active Directory ügyfélbővítmény eltávolításakor az NTLM 2 rendszerfájlok a számítógépen maradnak, mert ezek javított biztonsági funkciókat és a biztonsággal kapcsolatos javításokat tartalmaznak.

Alapértelmezés szerint az NTLM 2 munkamenet-biztonsági titkosításhoz használt kulcsának maximális hossza 56 bit. Ha a rendszer megfelel az Egyesült Államok kiviteli szabályozásának, a 128 bites kulcsok támogatására szolgáló kiegészítést a rendszer automatikusan telepíti. Az 128 bites NTLM 2 munkamenet-biztonsági szolgáltatás engedélyezéséhez a Microsoft Internet Explorer 4.x vagy 5-ös verzióját kell telepíteni, és az Active Directory ügyfélbővítményének telepítése előtt frissíteni kell azt a 128 bites biztonságos kapcsolat támogatásához.

A telepített alkalmazás verziójának ellenőrzéséhez kövesse az alábbi lépéseket:
  1. A Windows Intéző segítségével keresse meg a %SystemRoot%\System mappában található Secur32.dll fájlt.
  2. Kattintson jobb gombbal a fájlra, majd válassza a Tulajdonságok parancsot.
  3. Kattintson a Verzió fülre. Az 56 bites verzió leírása a következő: „Security Support Provider Interface (Export Version)” (biztonságtámogatási szolgáltató felülete). A 128 bites verzió leírása a következő: „Microsoft Win32 Security Services (US and Canada Only)” (Microsoft Win32 biztonsági szolgáltatások).
Mielőtt a Windows 98 rendszerű ügyfeleken engedélyezné az NTLM 2 hitelesítés használatát, győződjön meg arról, hogy az ezekről az ügyfelekről a hálózathoz csatlakozó felhasználókat kiszolgáló tartományvezérlőkön Service Pack 4 szervizcsomaggal ellátott Windows NT 4.0 vagy ennél újabb rendszer fut. (Ha az ügyfél és a kiszolgáló különböző tartományba tartozik, a tartományvezérlőkön futhat Service Pack 6 szervizcsomaggal ellátott Windows NT 4.0 rendszer.) Az NTLM 2 hitelesítés használatához a tartományvezérlőkön semmilyen különleges beállítás nem szükséges. Csak az NTLM 1 és LM hitelesítési módokat kell letiltani. További információt a protokollok közötti különbségekről, és az NTLM 2 protokoll kizárólagos használatának fontosságáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
147706 Az LM-hitelesítés tiltása Windows NT rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az NTLM 2 engedélyezése Windows 95, Windows 98 vagy Windows 98 Second Edition rendszerű ügyfelek esetén

Figyelem! A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt mindenki a saját felelősségére használhatja.
Az NTLM 2 hitelesítés Windows 95, Windows 98 és Windows 98 Second Edition rendszerű ügyfelek esetén történő engedélyezéséhez telepítse a Címszolgáltatások ügyfélprogramot. Az NTLM 2 ügyfélen történő aktiválásához kövesse az alábbi lépéseket:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedit.exe).
  2. Keresse meg az adatbázisban a következő kulcsot, és kattintson rá:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Hozzon létre a fenti kulcson belül egy LSA kulcsot.
  4. A Szerkesztés menüből válassza az Azonosító hozzáadása parancsot, majd hozza létre a következő azonosítót:
    Azonosítónév: LMCompatibility
    Adattípus: REG_DWORD
    Érték: 3
    Érvényes értékek: 0, 3
    Leírás: ez a paraméter adja meg a hálózati bejelentkezéshez használt hitelesítés módját és a munkamenet-biztonsági szolgáltatást. Az interaktív bejelentkezést nem befolyásolja.
    • 0. szint - LM és NTLM válasz elküldése; NTLM 2 munkamenet-biztonsági szolgáltatás használatának tiltása. Az ügyfelek az LM és az NTLM hitelesítést használják, de NTLM 2 munkamenet-biztonsági szolgáltatást soha. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
    • 3. szint - Csak NTLM 2 válasz küldése. Az ügyfelek az NTLM 2 hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítést is.
    Megjegyzés Ha az NTLM 2 protokollt Windows 95 rendszerű ügyfelek számára is engedélyezni szeretné, telepítse az elosztott fájlrendszer (DFS) ügyfelet, a WinSock 2.0 verziójú frissítését és a Windows 2000 rendszer Microsoft DUN 1.3 alkalmazását.

  5. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.

Megjegyzés Windows NT 4.0 és a Windows 2000 rendszerben a rendszerleíró adatbázis kulcsának neve LMCompatibilityLevel, míg Windows 95 és Windows 98 rendszerben LMCompatibility.

A Windows NT 4.0 és a Windows 2000 rendszerekben az LMCompatibilityLevel kulcs értékei a következőket jelentik:
  • 0. szint - LM és NTLM válasz elküldése; NTLM 2 munkamenet-biztonsági szolgáltatás használatának tiltása. Az ügyfelek az LM és az NTLM hitelesítést használják, de NTLM 2 munkamenet-biztonsági szolgáltatást soha. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
  • 1. szint - Az NTLM 2 munkamenet-biztonsági szolgáltatás használata megállapodás alapján. Az ügyfelek az LM és az NTLM hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a tartományvezérlő támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
  • 2. szint - Csak NTLM válasz küldése. Az ügyfelek csak az NTLM hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a tartományvezérlő támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
  • 3. szint - Csak NTLM 2 válasz küldése. Az ügyfelek az NTLM 2 hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítést is.
  • 4. szint - A tartományvezérlők visszautasítják az LM válaszokat. Az ügyfelek az NTLM hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők visszautasítják az LM hitelesítést (azaz az NTLM és az NTLM 2 hitelesítéseket fogadják el).
  • 5. szint - A tartományvezérlők visszautasítják az LM és NTLM válaszokat (csak NTLM 2 elfogadása). Az ügyfelek az NTLM 2 hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők visszautasítják az LM és az NTLM hitelesítést (azaz csak az NTLM 2 hitelesítést fogadják el).
Az ügyfélszámítógép az összes kiszolgálóval történő kommunikációhoz csak egy protokollt használhat. Nem lehetséges olyan beállítás, hogy az ügyfél NTLM 2 protokollt használjon Windows 2000 rendszerű kiszolgálókkal folytatott kommunikációkhoz, míg a többi kiszolgálóval NTLM protokoll segítségével kommunikáljon. Ez szándékosan van így.

A rendszerleíró adatbázis következő kulcsának módosításával megadhatja a NTLM biztonsági támogatás szolgáltatója (SSP – Security Support Provider) eszközt használó programok esetén használt minimális biztonsági szolgáltatások szintjét. Ezek az értékek a LMCompatibilityLevel értéktől függnek:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedit.exe).
  2. A rendszerleíró adatbázisban keresse meg a következő kulcsot:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. A Szerkesztés menüből válassza az Azonosító hozzáadása parancsot, majd hozza létre a következő azonosítót:
    Azonosítónév: NtlmMinClientSec
    Adattípus: REG_WORD
    Érték: a következő értékek közül az egyik:
    • 0x00000010- Üzenetintegritás
    • 0x00000020- Üzenettitkosítás
    • 0x00080000- NTLM 2 munkamenet-biztonság
    • 0x20000000- 128 bites titkosítás
    • 0x80000000- 56 bites titkosítás

  4. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
Ha egy kiszolgáló- vagy ügyfélalkalmazás az NTLM SSP eszközt (vagy az NTLM SSP eszközt használó biztonságos távoli eljáráshívást [RPC - Remote Procedure Call]) használja a kapcsolat munkamenet-biztonságának biztosításához, a használt munkamenet-biztonsági szolgáltatást a következőképpen lehet meghatározni:
  • Az ügyfél a következők egyikét kéri: üzenetintegritás, üzenettitkosítás, NTLM 2 munkamenet-biztonság, 128 bites vagy 56 bites titkosítás.
  • A kiszolgáló válaszában jelzi, hogy a kért elemek közül melyikre tart igényt.
  • Ezt úgy nevezik, hogy a felek „megegyeztek” az eredményhalmazról.
Az NtlmMinClientSec érték változtatásával beállíthatja, hogy a kiszolgáló és az ügyfél vagy egyezzen meg a munkamenet biztonsági paramétereiről, vagy a kapcsolatfelvétel legyen sikertelen. Figyelembe kell venni azonban a következőket:
  • Ha az NtlmMinClientSec változóban 0x00000010 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni az üzenetintegritásról.
  • Ha az NtlmMinClientSec változóban 0x00000020 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni az üzenettitkosításról.
  • Ha az NtlmMinClientSec változóban 0x00080000 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni az NTLM 2 munkamenet-biztonsági szolgáltatás használatáról.
  • Ha az NtlmMinClientSec változóban 0x20000000 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni a 128 bites titkosításról.

Tulajdonságok

Cikk azonosítója: 239869 - Utolsó ellenőrzés: 2005. december 2. - Verziószám: 4.3
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Kulcsszavak: 
kbhowto kbenv KB239869
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com