NTLM 2 認証を有効にする方法

この記事では、NTLM 2 認証を有効にする方法について説明します。

適用対象: Windows 10 - すべてのエディション
元の KB 番号: 239869

概要

これまで、Windows NTでは、ネットワーク ログオンに対して 2 種類のチャレンジ/応答認証がサポートされています。

• LAN Manager (LM) チャレンジ/応答
• Windows NTチャレンジ/応答 (NTLM バージョン 1 チャレンジ/応答とも呼ばれます) LM バリアントを使用すると、Windows 95、Windows 98、および Windows 98 Second Edition のクライアントとサーバーのインストールベースとの相互運用性が可能になります。 NTLM を使用すると、Windows NT クライアントとサーバー間の接続のセキュリティが強化されます。 Windows NTでは、メッセージの機密性 (暗号化) と整合性 (署名) を提供する NTLM セッション セキュリティ メカニズムもサポートされています。

コンピューターのハードウェアとソフトウェアのアルゴリズムの最近の改善により、これらのプロトコルは、ユーザー パスワードを取得するための広く公開された攻撃に対して脆弱になっています。 Microsoft は、より安全な製品をお客様に提供するための継続的な取り組みの中で、NTLM バージョン 2 と呼ばれる強化を開発し、認証とセッションの両方のセキュリティ メカニズムを大幅に改善しました。 NTLM 2 は、Service Pack 4 (SP4) がリリースされて以来、Windows NT 4.0 で使用でき、Windows 2000 でネイティブにサポートされています。 Windows 98 に NTLM 2 のサポートを追加するには、Active Directory クライアント拡張機能をインストールします。

Windows 95、Windows 98、Windows 98 Second Edition、Windows NT 4.0 に基づくすべてのコンピューターをアップグレードした後、クライアント、サーバー、ドメイン コントローラーで NTLM 2 のみを使用するように構成することで、organizationのセキュリティを大幅に向上させることができます (LM または NTLM ではありません)。

詳細

Windows 98 を実行しているコンピューターに Active Directory クライアント拡張機能をインストールすると、NTLM 2 のサポートを提供するシステム ファイルも自動的にインストールされます。 これらのファイルは、Secur32.dll、Msnp32.dll、Vredir.vxd、および Vnetsup.vxd です。 Active Directory クライアント拡張機能を削除した場合、NTLM 2 システム ファイルは削除されません。ファイルには、強化されたセキュリティ機能とセキュリティ関連の修正プログラムの両方が用意されているためです。

既定では、NTLM 2 セッション セキュリティ暗号化は最大キー長 56 ビットに制限されます。 128 ビット キーのオプションサポートは、システムが輸出規制米国満たしている場合に自動的にインストールされます。 128 ビット NTLM 2 セッション セキュリティ サポートを有効にするには、Active Directory クライアント拡張機能をインストールする前に、Microsoft Internet エクスプローラー 4.x または 5 をインストールし、128 ビットのセキュリティで保護された接続サポートにアップグレードする必要があります。

インストールバージョンを確認するには:

1. Windows エクスプローラーを使用して、%SystemRoot%\System フォルダー内の Secur32.dll ファイルを見つけます。
2. ファイルを右クリックし、[プロパティ] をクリックします。
3. [ バージョン ] タブをクリックします。56 ビット バージョンの説明は、「Microsoft Win32 Security Services (エクスポート バージョン)」です。128 ビット バージョンの説明は、「Microsoft Win32 Security Services (米国およびカナダのみ)」です。

Windows 98 クライアントに対して NTLM 2 認証を有効にする前に、これらのクライアントからネットワークにログオンするユーザーのすべてのドメイン コントローラーが、4.0 Service Pack 4 以降Windows NT実行されていることを確認します。 (クライアントとサーバーが異なるドメインに参加している場合、ドメイン コントローラーは 4.0 Service Pack 6 Windows NT実行できます)。NTLM 2 をサポートするためにドメイン コントローラーの構成は必要ありません。 NTLM 1 または LM 認証のサポートを無効にするには、ドメイン コントローラーのみを構成する必要があります。

Windows 95、Windows 98、または Windows 98 Second Edition クライアントで NTLM 2 を有効にする

NTLM 2 認証で Windows 95、Windows 98、または Windows 98 Second Edition クライアントを有効にするには、Directory Services クライアントをインストールします。 クライアントで NTLM 2 をアクティブにするには、次の手順に従います。

1. レジストリ エディター (Regedit.exe) を起動します。

2. レジストリで次のキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

3. 上記のレジストリ キーに LSA レジストリ キーを作成します。

4. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
   値名: LMCompatibility
   データ型: REG_DWORD
   値: 3
   有効な範囲: 0,3
   説明: このパラメーターは、ネットワーク ログオンに使用する認証モードとセッション セキュリティを指定します。 対話型ログオンには影響しません。

   • レベル 0 - LM と NTLM 応答を送信します。NTLM 2 セッション セキュリティを使用しないでください。 クライアントは LM 認証と NTLM 認証を使用し、NTLM 2 セッション セキュリティを使用しません。ドメイン コントローラーは LM、NTLM、NTLM 2 認証を受け入れます。

   • レベル 3 - NTLM 2 応答のみを送信します。 クライアントは NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLM 2 認証を受け入れます。

   注:

   Windows 95 クライアントで NTLM 2 を有効にするには、分散ファイル システム (DFS) クライアント、WinSock 2.0 Update、Microsoft DUN 1.3 for Windows 2000 をインストールします。

5. レジストリ エディターを終了します。

参考までに、Windows NT 4.0 および Windows 2000 でサポートされている LMCompatibilityLevel 値の値の全範囲は次のとおりです。

• レベル 0 - LM と NTLM 応答を送信します。NTLM 2 セッション セキュリティを使用しないでください。 クライアントは LM 認証と NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラーは LM、NTLM、NTLM 2 認証を受け入れます。
• レベル 1 - ネゴシエートされた場合は NTLM 2 セッション セキュリティを使用します。 クライアントは LM 認証と NTLM 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLM 2 認証を受け入れます。
• レベル 2 - NTLM 応答のみを送信します。 クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLM 2 認証を受け入れます。
• レベル 3 - NTLM 2 応答のみを送信します。 クライアントは NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM、NTLM、NTLM 2 認証を受け入れます。
• レベル 4 - ドメイン コントローラーは LM 応答を拒否します。 クライアントは NTLM 認証を使用し、サーバーが NTLM 2 セッション セキュリティをサポートしている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM 認証を拒否します (つまり、NTLM と NTLM 2 を受け入れます)。
• レベル 5 - ドメイン コントローラーは LM 応答と NTLM 応答を拒否します (NTLM 2 のみを受け入れます)。 クライアントは NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは NTLM 認証と LM 認証を拒否します (NTLM 2 のみを受け入れます)。クライアント コンピューターでは、すべてのサーバーと通信する際に使用できるプロトコルは 1 つだけです。 たとえば、NTLM v2 を使用して Windows 2000 ベースのサーバーに接続し、NTLM を使用して他のサーバーに接続するように構成することはできません。 この動作は仕様です。

NTLM セキュリティ サポート プロバイダー (SSP) を使用するプログラムに使用される最小セキュリティを構成するには、次のレジストリ キーを変更します。 これらの値は、LMCompatibilityLevel 値に依存します。

1. レジストリ エディター (Regedit.exe) を起動します。

2. レジストリで次のキーを見つけます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
   値名: NtlmMinClientSec
   データ型: REG_WORD
   値: 次のいずれかの値:

   • 0x00000010- メッセージの整合性
   • 0x00000020 - メッセージの機密性
   • 0x00080000- NTLM 2 セッション セキュリティ
   • 0x20000000- 128 ビット暗号化
   • 0x80000000- 56 ビット暗号化

4. レジストリ エディターを終了します。

クライアント/サーバー プログラムが NTLM SSP (または NTLM SSP を使用するセキュリティで保護されたリモート プロシージャ コール [RPC]) を使用して接続のセッション セキュリティを提供する場合、使用するセッション セキュリティの種類は次のように決定されます。

• クライアントは、メッセージの整合性、メッセージの機密性、NTLM 2 セッション セキュリティ、128 ビットまたは 56 ビットの暗号化のいずれかまたはすべての項目を要求します。
• サーバーが応答し、要求されたセットのどの項目が必要かを示します。
• 結果のセットは "ネゴシエート" されたと言われています。

NtlmMinClientSec 値を使用すると、クライアント/サーバー接続が特定の品質のセッション セキュリティをネゴシエートするか、成功しないようにすることができます。 ただし、次の項目に注意してください。

• NtlmMinClientSec 値に0x00000010を使用する場合、メッセージの整合性がネゴシエートされていない場合、接続は成功しません。
• NtlmMinClientSec 値に0x00000020を使用する場合、メッセージの機密性がネゴシエートされていない場合、接続は成功しません。
• NtlmMinClientSec 値に0x00080000を使用する場合、NTLM 2 セッション セキュリティがネゴシエートされていない場合、接続は成功しません。
• NtlmMinClientSec 値に0x20000000を使用する場合、メッセージの機密性が使用されていても 128 ビット暗号化がネゴシエートされていない場合、接続は成功しません。