Cara mengaktifkan otentikasi NTLM 2

Secara historis, Windows NT mendukung dua varian tantangan/tanggapan otentikasi untuk jaringan login:

• LAN Manager (LM) tantangan/tanggapan
• Windows NT tantangan/tanggapan (juga dikenal sebagai NTLM versi 1 tantangan/tanggapan)

Varian LM memungkinkan interoperabilitas dengan basis diinstal Windows 95, Windows 98, dan Windows 98 Second Edition klien dan server. NTLM menyediakan keamanan untuk hubungan antara klien Windows NT dan server. Windows NT juga mendukung sesi NTLM mekanisme keamanan yang menyediakan untuk pesan kerahasiaan (enkripsi) dan integritas (masuk).

Beberapa perbaikan pada hardware dan software komputer algoritma telah membuat protokol ini rentan terhadap serangan yang diterbitkan secara luas untuk mendapatkan kata sandi pengguna. Dalam upaya berkelanjutan untuk memberikan lebih aman produk untuk para pelanggan, Microsoft telah mengembangkan perangkat tambahan, yang disebut NTLM Versi 2, yang secara signifikan meningkatkan otentikasi dan sesi mekanisme keamanan. NTLM 2 sejak tersedia untuk Windows NT 4.0 Service Paket 4 (SP4) dirilis, dan itu adalah didukung di Windows 2000. Anda dapat menambahkan NTLM 2 dukungan untuk Windows 98 dengan menginstal ekstensi klien direktori aktif.

Setelah Anda meng-upgrade semua komputer yang didasarkan pada Windows 95, Windows 98, Windows 98 Second Edition, dan Windows NT 4.0, Anda dapat sangat meningkatkan keamanan organisasi Anda oleh konfigurasi klien, server, dan kontroler domain menggunakan hanya NTLM 2 (tidak LM atau NTLM).

Untuk informasi tambahan tentang menginstal sesuai ekstensi klien direktori aktif, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Ketika Anda menginstal ekstensi klien direktori aktif pada komputer yang menjalankan Windows 98, berkas sistem yang menyediakan dukungan NTLM 2 juga secara otomatis dipasang. File ini adalah Secur32.dll, Msnp32.dll, Vredir.vxd, dan Vnetsup.vxd. Jika Anda menghapus direktori aktif klien ekstensi, NTLM 2 sistem berkas tidak dihapus karena file menyediakan fungsionalitas meningkatkan keamanan dan perbaikan keamanan yang terkait.

Secara default, NTLM 2 sesi keamanan enkripsi dibatasi untuk maksimum panjang kunci 56 bit. Opsional dukungan untuk 128-bit kunci terinstal secara otomatis jika sistem memenuhi peraturan ekspor Amerika Serikat. Untuk mengaktifkan dukungan keamanan 128-bit NTLM 2 sesi, Anda harus menginstal Microsoft Internet Explorer 4.x atau 5 dan upgrade ke 128-bit secure koneksi dukungan sebelum Anda menginstal ekstensi klien direktori aktif.

Untuk memverifikasi versi instalasi Anda:

1. Menggunakan Windows Explorer untuk mencari berkas Secur32.dll di map %SystemRoot%\System.
2. Klik kanan berkas, dan kemudian klik Properti.
3. Klik Versi tab. Deskripsi untuk versi 56-bit adalah "Layanan keamanan Microsoft Win32 (versi ekspor)." Deskripsi untuk 128-bit versi adalah "Microsoft Win32 layanan keamanan (Amerika Serikat dan Kanada hanya)."

Sebelum Anda mengaktifkan otentikasi NTLM 2 untuk Windows 98 klien, memverifikasi bahwa semua pengontrol domain untuk pengguna yang logon ke jaringan Anda dari klien ini menjalankan Windows NT 4.0 Service Pack 4 atau lebih. (Pengontrol domain dapat menjalankan Windows NT 4.0 Service Pack 6 jika klien dan server bergabung dengan domain yang berbeda.) Tidak ada konfigurasi kontroler domain diperlukan untuk dukungan NTLM 2. Anda harus mengkonfigurasi pengontrol domain hanya untuk menonaktifkan dukungan untuk otentikasi NTLM 1 atau LM.Untuk informasi tambahan tentang perbedaan antara varian protokol ini dan pentingnya upgrade untuk menggunakan hanya NTLM 2, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Memungkinkan NTLM 2 untuk klien Windows 95, Windows 98, atau Windows 98 Second Edition

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
Untuk mengaktifkan Windows 95, Windows 98, atau Windows 98 Edisi kedua klien untuk otentikasi NTLM 2, menginstal direktori Layanan klien. Untuk mengaktifkan NTLM 2 pada klien, ikuti langkah berikut:

1. Jalankan Peninjau Suntingan Registri (Regedit.exe).
2. Cari dan klik kunci berikut di dalam registri:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
3. Membuat kunci registri LSA di dalam kunci registri yang terdaftar di atas.
4. Pada Mengedit menu, klik Tambahkan nilai, dan kemudian menambahkan nilai registri berikut:
   Nilai Name: LMCompatibility
   Tipe data: REG_DWORD
   Nilai: 3
   Batasan valid: 0,3
   Keterangan: Parameter ini menentukan modus otentikasi dan sesi keamanan digunakan untuk jaringan login. Itu tidak mempengaruhi interaktif login.
   • Level 0 - mengirim LM dan NTLM respon; pernah menggunakan NTLM 2 sesi keamanan. Klien akan menggunakan otentikasi LM dan NTLM, dan tidak pernah menggunakan NTLM 2 sesi keamanan; kontroler domain menerima LM, NTLM dan NTLM 2 otentikasi.
   • Tingkat 3 - kirim respon NTLM 2 hanya. Klien akan menggunakan NTLM 2 otentikasi dan gunakan NTLM 2 sesi keamanan jika server mendukung itu; kontroler domain menerima LM, NTLM dan NTLM 2 otentikasi.
   Catatan Untuk mengaktifkan NTLM 2 untuk Windows 95 klien, menginstal terdistribusi Untuk Windows file Update WinSock 2.0, Microsoft DUN 1.3 dan klien sistem (DFS) 2000.
   
   
5. Tutup Penyunting Registri.

Catatan Untuk Windows NT 4.0 dan Windows 2000, kunci registri adalah LMCompatibilityLevel, dan untuk Windows 95 dan komputer berbasis Windows 98, tombol registery adalah LMCompatibility.

Untuk referensi, berbagai nilai untuk LMCompatibilityLevel nilai yang didukung oleh Windows NT 4.0 dan Windows 2000 meliputi:

• Level 0 - mengirim LM dan NTLM respon; pernah menggunakan NTLM 2 sesi keamanan. Klien menggunakan LM dan NTLM otentikasi, dan tidak pernah menggunakan NTLM 2 sesi keamanan; kontroler domain menerima LM, NTLM dan NTLM 2 otentikasi.
• Tingkat 1 - penggunaan NTLM 2 sesi keamanan jika dinegosiasikan. Klien menggunakan LM dan NTLM otentikasi, dan menggunakan NTLM 2 sesi keamanan jika Server mendukung kontroler domain menerima LM, NTLM dan NTLM 2 otentikasi.
• Tingkat 2 - kirim respon NTLM hanya. Klien menggunakan hanya NTLM otentikasi, dan penggunaan NTLM 2 sesi keamanan jika server mendukung kontroler domain menerima LM, NTLM dan NTLM 2 otentikasi.
• Tingkat 3 - kirim respon NTLM 2 hanya. Klien menggunakan NTLM 2 otentikasi, dan penggunaan NTLM 2 sesi keamanan jika server mendukung kontroler domain menerima LM, NTLM dan NTLM 2 otentikasi.
• Tingkat 4 - pengontrol Domain menolak LM tanggapan. Klien menggunakan otentikasi NTLM, dan menggunakan NTLM 2 sesi keamanan jika server mendukung itu; kontroler domain menolak LM otentikasi (yaitu mereka menerima NTLM dan NTLM 2).
• Tingkat 5 - Domain controller menolak LM dan NTLM tanggapan (menerima hanya NTLM 2). Klien menggunakan otentikasi NTLM 2, menggunakan NTLM 2 sesi keamanan jika server mendukung kontroler domain menolak NTLM dan LM otentikasi (mereka menerima hanya NTLM 2).

Komputer klien hanya dapat menggunakan protokol satu berbicara dengan semua server. Anda tidak dapat mengkonfigurasi, misalnya, dengan menggunakan NTLM v2 untuk menyambung ke server berbasis Windows 2000 dan kemudian menggunakan NTLM untuk menyambung ke server lain. Ini adalah oleh desain.

Anda dapat mengkonfigurasi keamanan minimum yang digunakan untuk program yang menggunakan penyedia dukungan keamanan NTLM (SSP) dengan memodifikasi kunci registri berikut. Nilai-nilai ini bergantung pada LMCompatibilityLevel nilai:

1. Jalankan Peninjau Suntingan Registri (Regedit.exe).
2. Cari kunci berikut ini di registri:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
3. Pada Mengedit menu, klik Tambahkan nilai, dan kemudian menambahkan nilai registri berikut:
   Nilai Name: NtlmMinClientSec
   Tipe data: REG_WORD
   Nilai: salah satu nilai berikut:
   • 0x00000010-pesan integritas
   • 0x00000020-pesan kerahasiaan
   • 0x00080000 - NTLM 2 sesi keamanan
   • 0x20000000-128-bit enkripsi
   • 0x80000000-56-bit enkripsi
   
   
4. Tutup Penyunting Registri.

Jika program klien/server menggunakan NTLM SSP (atau menggunakan aman Prosedur panggilan jarak jauh [RPC], yang menggunakan NTLM SSP) untuk memberikan sesi keamanan untuk sambungan, jenis sesi keamanan untuk menggunakan ditentukan sebagai berikut:

• Klien meminta setiap atau semua item berikut: pesan integritas, pesan kerahasiaan, NTLM 2 sesi keamanan, dan 128-bit atau 56-bit enkripsi.
• Server menjawab, menunjukkan item yang diminta set yang diinginkannya.
• Set dihasilkan dikatakan telah "dinegosiasikan."

Anda dapat menggunakan nilai NtlmMinClientSec menyebabkan klien/server koneksi baik bernegosiasi kualitas tertentu sesi keamanan atau tidak berhasil. Namun, Anda harus mencatat item berikut:

• Jika Anda menggunakan 0x00000010 untuk NtlmMinClientSec nilai, sambungan tidak akan berhasil apabila pesan integritas tidak dinegosiasikan.
• Jika Anda menggunakan 0x00000020 untuk NtlmMinClientSec nilai, sambungan tidak akan berhasil jika pesan kerahasiaan tidak dinegosiasikan.
• Jika Anda menggunakan 0x00080000 untuk NtlmMinClientSec nilai, sambungan tidak akan berhasil jika NTLM 2 sesi keamanan tidak dinegosiasikan.
• Jika Anda menggunakan 0x20000000 untuk NtlmMinClientSec nilai, sambungan tidak akan berhasil jika pesan kerahasiaan digunakan tetapi 128-bit enkripsi tidak dinegosiasikan.