Identificativo articolo: 239869 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Da sempre, in Windows NT sono supportate due varianti dell'autenticazione In attesa/Risposta per gli accessi alle reti:
  • In attesa/Risposta LanManager (LM)
  • In attesa/Risposta Windows NT (detta anche In attesa/Risposta NTLM versione 1)
La variante LM garantisce l'interoperabilitÓ con la base installata di client e server Windows 95, Windows 98 e Windows 98 Seconda Edizione, mentre NTLM offre una protezione superiore per le connessioni tra client e server Windows NT. In Windows NT Ŕ inoltre supportato il meccanismo di protezione di sessione NTLM che assicura la riservatezza (crittografia) e l'integritÓ (firma) dei messaggi.

Recenti miglioramenti a livello degli algoritmi hardware e software dei computer hanno reso questi protocolli vulnerabili ad attacchi ampiamente pubblicizzati per ottenere le password degli utenti. Come espressione del costante impegno volto a offrire prodotti sempre pi¨ sicuri ai propri clienti, Microsoft ha sviluppato un miglioramento per NTLM, denominato NTLM versione 2, che migliora significativamente i meccanismi di autenticazione e protezione di sessione. NTLM 2 Ŕ disponibile per Windows NT 4.0 fino dal rilascio del Service Pack 4 (SP4) ed Ŕ supportato a livello nativo in Windows 2000. ╚ possibile aggiungere il supporto per NTLM 2 a Windows 98 installando le estensioni client di Active Directory.

Una volta aggiornati tutti i computer basati su Windows 95, Windows 98, Windows 98 Seconda Edizione e Windows NT 4.0, Ŕ possibile migliorare notevolmente la protezione della propria azienda configurando client, server e controller di dominio affinchÚ utilizzino esclusivamente NTLM 2 (non LM o NTLM).

Informazioni

Per ulteriori informazioni sull'installazione delle estensioni client di Active Directory appropriata, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
288358 Come installare l'estensione client di Active Directory
Quando si installano le estensioni client di Active Directory su un computer che esegue Windows 98, vengono installati automaticamente anche i file di sistema che forniscono il supporto per NTLM 2, ovvero Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se si rimuove l'estensione client di Active Directory, i file di sistema di NTLM 2 non vengono rimossi in quanto tali file forniscono una protezione avanzata e correzioni relative alla protezione.

Per impostazione predefinita, la crittografia per la protezione di sessione NTLM 2 presenta una lunghezza massima di chiave di 56 bit. Il supporto facoltativo per chiavi a 128 bit viene automaticamente installato se il sistema soddisfa le normative vigenti negli Stati Uniti in materia di esportazioni. Per abilitare il supporto per la protezione di sessione NTLM 2 a 128 bit, Ŕ necessario installare Microsoft Internet Explorer versione 4.x o 5 ed effettuare l'aggiornamento al supporto per connessioni protette a 128 bit prima di installare le estensioni client di Active Directory.

Per verificare la versione della propria installazione:
  1. Utilizzare Esplora risorse per individuare il file Secur32.dll nella cartella %SystemRoot%\System.
  2. Fare clic con il pulsante destro del mouse sul file e scegliere ProprietÓ.
  3. Fare clic sulla scheda Versione. La descrizione della versione a 56 bit Ŕ "Microsoft Win32 Security Services (Export Version)." La descrizione della versione a 128 bit Ŕ "Microsoft Win32 Security Services (US and Canada Only)."
Prima di abilitare l'autenticazione NTLM 2 per i client Windows 98, verificare che tutti i controller di dominio per gli utenti che si connettono alla rete da questi client eseguano Windows NT 4.0 Service Pack versione 4 o successiva. (I controller di dominio possono eseguire Windows NT 4.0 Service Pack 6 se il client e il server sono collegati a domini diversi.) Non Ŕ richiesta alcuna configurazione a livello di controller di dominio per supportare NTLM 2. ╚ necessario configurare i controller di dominio solo per disabilitare il supporto per l'autenticazione NTLM 1 o LM. Per ulteriori informazioni sulle differenze tra le varianti dei protocolli e sull'importanza dell'aggiornamento al fine di utilizzare esclusivamente NTLM 2, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
147706 Disattivazione dell'autenticazione LM in Windows NT

Abilitazione di NTLM 2 per client Windows 95, Windows 98 o Windows 98 Seconda Edizione

Avviso L'errato utilizzo dell'editor del Registro di sistema pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema Ŕ a rischio e pericolo dell'utente.
Per abilitare un client Windows 95, Windows 98 o Windows 98 Seconda Edizione per l'autenticazione NTLM 2, installare il client servizio directory (DS, Directory Services). Per attivare NTLM 2 sul client, attenersi alla seguente procedura:
  1. Avviare l'editor del Registro di sistema (Regedit.exe).
  2. Individuare e fare clic sulla seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Creare una chiave del Registro di sistema LSA nella chiave elencata sopra.
  4. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore di registro:
    Nome valore: LMCompatibility
    Tipo dati: REG_DWORD
    Valore: 3
    Intervallo valido: 0,3
    Descrizione: Questo parametro specifica la modalitÓ di autenticazione e la protezione di sessione da utilizzare per gli accessi alle reti. Esso non influenza gli accessi interattivi.
    • Livello 0 - Viene inviata risposta LM e risposta NTLM. Non viene mai utilizzata la protezione di sessione NTLM 2. Nei client viene utilizzata l'autenticazione LM e NTLM e non viene mai utilizzata la protezione di sessione NTLM 2. I controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
    • Livello 3 - Viene inviata solo risposta NTLM 2. Nei client viene utilizzata l'autenticazione NTLM 2 e viene utilizzata la protezione di sessione NTLM 2 se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
    Nota Per abilitare NTLM 2 per client Windows 95, installare il client DFS (Distributed File System), l'aggiornamento di WinSock 2.0 e Microsoft DUN 1.3 per Windows 2000.

  5. Chiudere l'editor del Registro di sistema.

Nota Per Windows NT 4.0 e Windows 2000 la chiave del Registro di sistema Ŕ LMCompatibilityLevel, mentre per i computer basati su Windows 95 e su Windows 98 Ŕ LMCompatibility.

Come riferimento, l'intervallo completo di valori per il valore LMCompatibilityLevel supportati da Windows NT 4.0 e da Windows 2000 include:
  • Livello 0 - Viene inviata risposta LM e risposta NTLM. Non viene mai utilizzata la protezione di sessione NTLM 2. Nei client viene utilizzata l'autenticazione LM e NTLM e non viene mai utilizzata la protezione di sessione NTLM 2. I controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 1 - Viene utilizzata la protezione di sessione NTLM 2, se negoziata. Nei client viene utilizzata l'autenticazione LM e NTLM 2 e viene utilizzata la protezione di sessione NTLM 2 se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 2 - Viene inviata solo risposta NTLM. Nei client viene utilizzata solo l'autenticazione NTLM 2 e viene utilizzata la protezione di sessione NTLM 2 se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 3 - Viene inviata solo risposta NTLM 2. Nei client viene utilizzata l'autenticazione NTLM 2 e viene utilizzata la protezione di sessione NTLM 2 se il server la supporta. I controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 4 - I controller di dominio rifiutano le risposte LM. Nei client viene utilizzata l'autenticazione NTLM e viene utilizzata la protezione di sessione NTLM 2 se il server la supporta. I controller di dominio rifiutano l'autenticazione LM, ovvero accettano NTLM e NTLM 2.
  • Livello 5 - I controller di dominio rifiutano le risposte LM e NTLM (accettano solo NTLM 2). Nei client viene utilizzata l'autenticazione NTLM 2 e viene utilizzata la protezione di sessione NTLM 2 se il server la supporta. I controller di dominio rifiutano l'autenticazione LM e NTLM, ovvero accettano solo NTLM 2.
Un computer client pu˛ utilizzare solo un protocollo per comunicare con tutti i server. Non pu˛ ad esempio essere configurato per utilizzare NTLM 2 per connettersi a server basati su Windows 2000 e NTLM per connettersi ad altri server. Questo comportamento Ŕ legato a caratteristiche di progettazione.

╚ possibile configurare la protezione minima utilizzata per i programmi che si avvalgono del provider del supporto di protezione NTLM modificando la chiave del Registro di sistema riportata di seguito. Questi valori dipendono dal valore di LMCompatibilityLevel:
  1. Avviare l'editor del Registro di sistema (Regedit.exe).
  2. Individuare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore di registro:
    Nome valore: NtlmMinClientSec
    Tipo dati: REG_WORD
    Valore: Uno dei seguenti:
    • 0x00000010 - IntegritÓ dei messaggi
    • 0x00000020 - Riservatezza dei messaggi
    • 0x00080000 - Protezione di sessione NTLM 2
    • 0x20000000 - Crittografia a 128 bit
    • 0x20000000 - Crittografia a 56 bit

  4. Chiudere l'editor del Registro di sistema.
Se un programma client/server utilizza il provider del supporto di protezione NTLM, oppure la protezione RPC (Remote Procedure Call) che utilizza il provider del supporto di protezione NTLM per offrire la protezione di sessione per una connessione, il tipo di protezione di sessione da utilizzare verrÓ determinato nel modo seguente:
  • Il client richiede uno o pi¨ dei seguenti elementi: integritÓ dei messaggi, riservatezza dei messaggi, protezione di sessione NTLM 2 e crittografia a 128 o 56 bit.
  • Il server risponde indicando quali elementi desidera tra quelli richiesti.
  • Il gruppo ottenuto si dice che Ŕ stato "negoziato".
╚ possibile utilizzare il valore NtlmMinClientSec per far sý che le connessioni client/server negozino una data qualitÓ di protezione di sessione in mancanza della quale la connessione avrÓ esito negativo. ╚ tuttavia necessario tenere presente quanto segue:
  • Se si utilizza 0x00000010 per il valore NtlmMinClientSec, la connessione avrÓ esito negativo se non viene negoziata l'integritÓ dei messaggi.
  • Se si utilizza 0x00000020 per il valore NtlmMinClientSec, la connessione avrÓ esito negativo se non viene negoziata la riservatezza dei messaggi.
  • Se si utilizza 0x00080000 per il valore NtlmMinClientSec, la connessione avrÓ esito negativo se non viene negoziata la protezione di sessione NTLM 2.
  • Se si utilizza 0x20000000 per il valore NtlmMinClientSec, la connessione avrÓ esito negativo se Ŕ utilizzata la riservatezza dei messaggi ma non viene negoziata la crittografia a 128 bit.

ProprietÓ

Identificativo articolo: 239869 - Ultima modifica: venerdý 2 settembre 2005 - Revisione: 4.3
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Chiavi:á
kbhowto kbenv KB239869
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com