Come abilitare l'autenticazione NTLM 2

Questo articolo descrive come abilitare l'autenticazione NTLM 2.

Si applica a: Windows 10 - tutte le edizioni
Numero KB originale: 239869

Riepilogo

In passato, Windows NT supporta due varianti dell'autenticazione challenge/response per gli accessi di rete:

  • Lan Manager (LM) challenge/response
  • Richiesta/risposta di Windows NT (nota anche come richiesta/risposta ntlm versione 1) La variante LM consente l'interoperabilità con la base installata dei client e dei server Windows 95, Windows 98 e Windows 98 Second Edition. NTLM offre una sicurezza migliorata per le connessioni tra client e server Windows NT. Windows NT supporta anche il meccanismo di sicurezza della sessione NTLM che garantisce la riservatezza dei messaggi (crittografia) e l'integrità (firma).

I recenti miglioramenti negli algoritmi hardware e software dei computer hanno reso questi protocolli vulnerabili agli attacchi ampiamente pubblicati per ottenere password utente. Nei suoi continui sforzi per fornire prodotti più sicuri ai clienti, Microsoft ha sviluppato un miglioramento, denominato NTLM versione 2, che migliora significativamente sia i meccanismi di autenticazione che di sicurezza della sessione. NTLM 2 è disponibile per Windows NT 4.0 dal rilascio di Service Pack 4 (SP4) ed è supportato in modo nativo in Windows 2000. È possibile aggiungere il supporto NTLM 2 a Windows 98 installando le estensioni client di Active Directory.

Dopo aver aggiornato tutti i computer basati su Windows 95, Windows 98, Windows 98 Seconda edizione e Windows NT 4.0, è possibile migliorare notevolmente la sicurezza dell'organizzazione configurando client, server e controller di dominio in modo da usare solo NTLM 2 (non LM o NTLM).

Ulteriori informazioni

Quando si installano le estensioni client di Active Directory in un computer che esegue Windows 98, vengono installati automaticamente anche i file di sistema che forniscono il supporto NTLM 2. Questi file sono Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se si rimuove l'estensione client di Active Directory, i file di sistema NTLM 2 non vengono rimossi perché i file forniscono sia funzionalità di sicurezza avanzate che correzioni correlate alla sicurezza.

Per impostazione predefinita, la crittografia della sicurezza della sessione NTLM 2 è limitata a una lunghezza massima della chiave di 56 bit. Il supporto facoltativo per le chiavi a 128 bit viene installato automaticamente se il sistema soddisfa le normative di esportazione Stati Uniti. Per abilitare il supporto della sicurezza della sessione NTLM 2 a 128 bit, è necessario installare Microsoft Internet Explorer 4.x o 5 e eseguire l'aggiornamento al supporto della connessione sicura a 128 bit prima di installare l'estensione client di Active Directory.

Per verificare la versione di installazione:

  1. Usare Esplora risorse per individuare il file Secur32.dll nella cartella %SystemRoot%\System.
  2. Fare clic con il pulsante destro del mouse sul file e quindi scegliere Proprietà.
  3. Fare clic sulla scheda Versione . La descrizione per la versione a 56 bit è "Microsoft Win32 Security Services (Export Version)." La descrizione per la versione a 128 bit è "Microsoft Win32 Security Services (solo Stati Uniti e Canada)."

Prima di abilitare l'autenticazione NTLM 2 per i client Windows 98, verificare che tutti i controller di dominio per gli utenti che accedono alla rete da questi client eseguano Windows NT 4.0 Service Pack 4 o versione successiva. I controller di dominio possono eseguire Windows NT 4.0 Service Pack 6 se il client e il server sono aggiunti a domini diversi. Non è necessaria alcuna configurazione del controller di dominio per supportare NTLM 2. È necessario configurare i controller di dominio solo per disabilitare il supporto per l'autenticazione NTLM 1 o LM.

Abilitazione di NTLM 2 per i client Windows 95, Windows 98 o Windows 98 Second Edition

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni sull'esecuzione del backup e del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Per abilitare un client Windows 95, Windows 98 o Windows 98 Second Edition per l'autenticazione NTLM 2, installare il client di Servizi directory. Per attivare NTLM 2 nel client, seguire questa procedura:

  1. Avviare Editor del Registro di sistema (Regedit.exe).

  2. Individuare e fare clic sulla chiave seguente nel Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Creare una chiave del Registro di sistema LSA nella chiave del Registro di sistema elencata in precedenza.

  4. Nel menu Modifica, fare clic su Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:
    Nome valore: LMCompatibility
    Tipo di dati: REG_DWORD
    Value: 3
    Intervallo valido: 0,3
    Descrizione: questo parametro specifica la modalità di autenticazione e sicurezza della sessione da usare per gli accessi di rete. Non influisce sugli accessi interattivi.

    • Livello 0 - Inviare la risposta LM e NTLM; non usare mai la sicurezza della sessione NTLM 2. I client useranno l'autenticazione LM e NTLM e non useranno mai la sicurezza della sessione NTLM 2; i controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.

    • Livello 3: inviare solo la risposta NTLM 2. I client useranno l'autenticazione NTLM 2 e useranno la sicurezza della sessione NTLM 2 se il server lo supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.

    Nota

    Per abilitare NTLM 2 per i client Windows 95, installare il client DFS (Distributed File System), WinSock 2.0 Update e Microsoft DUN 1.3 per Windows 2000.

  5. Chiudere l'editor del Registro di sistema.

Nota

Per Windows NT 4.0 e Windows 2000 la chiave del Registro di sistema è LMCompatibilityLevel e per i computer basati su Windows 95 e Windows 98, la chiave di registrazione è LMCompatibility.

Per riferimento, l'intervallo completo di valori per il valore LMCompatibilityLevel supportato da Windows NT 4.0 e Windows 2000 include:

  • Livello 0 - Inviare la risposta LM e NTLM; non usare mai la sicurezza della sessione NTLM 2. I client usano l'autenticazione LM e NTLM e non usano mai la sicurezza della sessione NTLM 2; i controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 1: usare la sicurezza della sessione NTLM 2 se negoziata. I client usano l'autenticazione LM e NTLM e usano la sicurezza della sessione NTLM 2 se il server lo supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 2: inviare solo la risposta NTLM. I client usano solo l'autenticazione NTLM e usano la sicurezza della sessione NTLM 2 se il server la supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 3: inviare solo la risposta NTLM 2. I client usano l'autenticazione NTLM 2 e usano la sicurezza della sessione NTLM 2 se il server la supporta; i controller di dominio accettano l'autenticazione LM, NTLM e NTLM 2.
  • Livello 4: i controller di dominio rifiutano le risposte LM. I client usano l'autenticazione NTLM e la sicurezza della sessione NTLM 2 se il server la supporta; i controller di dominio rifiutano l'autenticazione LM (ovvero accettano NTLM e NTLM 2).
  • Livello 5: i controller di dominio rifiutano le risposte LM e NTLM (accettano solo NTLM 2). I client usano l'autenticazione NTLM 2, usano la sicurezza della sessione NTLM 2 se il server la supporta; i controller di dominio rifiutano l'autenticazione NTLM e LM (accettano solo NTLM 2). Un computer client può usare un solo protocollo per comunicare con tutti i server. Non è possibile configurarlo, ad esempio, per usare NTLM v2 per connettersi ai server basati su Windows 2000 e quindi usare NTLM per connettersi ad altri server. Si tratta di un comportamento legato alla progettazione.

È possibile configurare la sicurezza minima usata per i programmi che usano il provider di supporto di sicurezza NTLM modificando la chiave del Registro di sistema seguente. Questi valori dipendono dal valore LMCompatibilityLevel:

  1. Avviare Editor del Registro di sistema (Regedit.exe).

  2. Individuare la chiave seguente nel Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Nel menu Modifica, fare clic su Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:
    Nome valore: NtlmMinClientSec
    Tipo di dati: REG_WORD
    Valore: uno dei valori seguenti:

    • 0x00000010- Integrità del messaggio
    • 0x00000020- Riservatezza dei messaggi
    • sicurezza della sessione 0x00080000- NTLM 2
    • crittografia a 128 bit 0x20000000
    • crittografia a 56 bit 0x80000000
  4. Chiudere l'editor del Registro di sistema.

Se un programma client/server usa il provider di servizi condivisi NTLM (o usa una chiamata di procedura remota protetta [RPC], che usa il provider di servizi condivisi NTLM) per fornire la sicurezza della sessione per una connessione, il tipo di sicurezza della sessione da usare è determinato come indicato di seguito:

  • Il client richiede uno o tutti gli elementi seguenti: integrità dei messaggi, riservatezza dei messaggi, sicurezza della sessione NTLM 2 e crittografia a 128 bit o a 56 bit.
  • Il server risponde, indicando gli elementi del set richiesto desiderato.
  • Si dice che il set risultante sia stato "negoziato".

È possibile usare il valore NtlmMinClientSec per fare in modo che le connessioni client/server negozino una determinata qualità della sicurezza della sessione o non abbiano esito positivo. Tuttavia, è necessario prendere nota degli elementi seguenti:

  • Se si usa 0x00000010 per il valore NtlmMinClientSec, la connessione non riesce se l'integrità del messaggio non viene negoziata.
  • Se si usa 0x00000020 per il valore NtlmMinClientSec, la connessione non riesce se la riservatezza dei messaggi non viene negoziata.
  • Se si usa 0x00080000 per il valore NtlmMinClientSec, la connessione non riesce se la sicurezza della sessione NTLM 2 non viene negoziata.
  • Se si usa 0x20000000 per il valore NtlmMinClientSec, la connessione non riesce se la riservatezza dei messaggi è in uso ma la crittografia a 128 bit non viene negoziata.