Como habilitar a autenticação NTLM 2

Historicamente, o Windows NT suporta duas variantes da autenticação desafio/resposta para logons de rede:

• LAN Manager (LM) desafio/resposta
• Windows NT desafio/resposta (também conhecido como NTLM versão 1 desafio/resposta)

A variante LM permite a interoperabilidade com a base instalada do Windows 95, Windows 98 e Windows 98 Second Edition clientes e servidores. NTLM fornece segurança aperfeiçoada para conexões entre clientes e servidores Windows NT. O Windows NT também suporta o mecanismo de segurança da sessão NTLM que fornece confidencialidade (criptografia) e integridade (assinatura) de mensagem.

Aperfeiçoamentos recentes nos algoritmos de hardware e software do computador tornaram esses protocolos vulneráveis para ataques publicados amplamente para obtenção de senhas de usuário. A Microsoft, em seus esforços contínuos para fornecer mais produtos de segurança para seus clientes, desenvolveu um aperfeiçoamento, chamado NTLM versão 2, que melhora de maneira significante os mecanismos de segurança de autenticação e de sessão. O NTLM 2 foi disponibilizado para Windows NT 4.0 desde o lançamento do Service Pack 4 (SP4) e é suportado por padrão no Windows 2000. É possível adicionar o suporte à NTLM 2 para Windows 98 instalando as extensões cliente do Active Directory.

Após a atualização de todos os computadores com Windows 95, Windows 98, Windows 98 Second Edition e Windows NT 4.0, é possível melhorar bastante a segurança da sua organização configurando clientes, servidores e controladores de domínio para usar apenas NTLM 2 (não LM ou NTLM).

Para obter informações adicionais sobre como instalar a extensão cliente do Active Directory apropriada, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: Ao instalar as extensões clientes do Active Directory em um computador que está executando Windows 98, os arquivos do sistema que fornecem suporte à NTLM 2 são instalados automaticamente. Esses arquivos são Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se você remover a extensão cliente do Active Directory, os arquivos de sistema NTLM 2 não serão removidos porque eles fornecem funcionalidade de segurança e correções relacionadas a segurança aperfeiçoadas.

Por padrão, a criptografia de segurança da sessão NTLM 2 é restrita a um tamanho máximo de chave de 56 bits. O suporte opcional para chaves de 128 bits é instalado automaticamente se o sistema atender às regulamentações de exportação dos Estados Unidos. Para habilitar o suporte de segurança da sessão NTLM 2 de 128 bits, é necessário instalar o Microsoft Internet Explorer 4.x ou 5 e atualizar para suporte de conexão segura de 128 bits antes de instalar a extensão cliente do Active Directory.

Para verificar a versão da sua instalação:

1. Use o Windows Explorer para localizar o arquivo Secur32.dll na pasta %SystemRoot%\System.
2. Clique com o botão direito do mouse no arquivo e clique em Propriedades.
3. Clique na guia Versão. A descrição para a versão de 56 bits é "Microsoft Win32 Security Services (Versão de exportação)." A descrição para a versão de 128 bits é "Microsoft Win32 Security Services (Apenas Estados Unidos e Canadá)."

Antes de habilitar a autenticação NTLM 2 para clientes Windows 98, verifique se todos os controladores de domínio para usuários que fazem logon na sua rede a partir desses clientes estão executando Windows NT 4.0 Service Pack 4 ou uma versão mais recente. (Os controladores de domínio podem executar o Windows NT 4.0 Service Pack 6 se o cliente e o servidor fizerem parte de domínios diferentes.) Nenhuma configuração do controlador de domínio é necessária para suportar NTLM 2. É necessário configurar os controladores de domínio apenas para desabilitar o suporte à NTLM 1 ou autenticação LM. Para obter informações adicionais sobre as diferenças entre essas variantes de protocolo e a importância da atualização para usar apenas NTLM 2, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

Habilitando NTLM 2 para clientes Windows 95, Windows 98 ou Windows 98 Second Edition

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Para habilitar um cliente Windows 95, Windows 98 ou Windows 98 Second Edition para autenticação NTLM 2, instale o cliente dos serviços de diretório. Para ativar NTLM 2 em um cliente, execute estas etapas:

1. Inicie o Editor do Registro (Regedit.exe).
2. Localize e clique na seguinte chave do Registro:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
3. Crie uma chave do Registro LSA na chave listada acima.
4. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
   Nome do valor: LMCompatibility
   Tipo de dados: REG_DWORD
   Valor: 3
   Intervalo válido: 0,3
   Descrição: Esse parâmetro especifica o modo de autenticação e segurança da sessão a ser usada para logons de rede. Isso não afeta logons interativos.
   • Nível 0 - Envia resposta LM e NTLM; nunca usa segurança da sessão NTLM 2. Os clientes irão usar autenticação LM e NTLM e nunca usam segurança da sessão NTLM 2; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
   • Nível 3 - Envia apenas resposta NTLM 2. Os clientes irão usar autenticação NTLM 2 e segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
   Observação Para habilitar NTLM 2 para clientes Windows 95, instale o cliente DFS (Sistema de arquivos distribuídos), atualização de WinSock 2.0 e Microsoft DUN 1.3 para Windows 2000.
   
   
5. Feche o Editor do Registro.

Observação Para o Windows NT 4.0 e Windows 2000 a chave do Registro é LMCompatibilityLevel e para computadores com Windows 95 e Windows 98, a chave do Registro é LMCompatibility.

Para referência, o intervalo total de valores suportados pelo Windows NT 4.0 e pelo Windows 2000 para o valor LMCompatibilityLevel inclui:

• Nível 0 - Envia resposta LM e NTLM; nunca usa segurança da sessão NTLM 2. Os clientes usam autenticação LM e NTLM e nunca usam segurança da sessão NTLM 2; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
• Nível 1 - Usa a segurança da sessão NTLM 2 se estiver negociada. Os clientes usam autenticação LM e NTLM e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
• Nível 2 - Envia apenas resposta NTLM. Os clientes usam apenas autenticação NTLM e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
• Nível 3 - Envia apenas resposta NTLM 2. Os clientes usam autenticação NTLM 2 e segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
• Nível 4 - Controladores de domínio recusam respostas LM. Os clientes usam autenticação NTLM e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio recusam autenticação LM ( ou seja, eles aceitam NTLM e NTLM 2).
• Nível 5 - Controladores de domínio recusam respostas LM e NTLM (aceitam apenas NTLM 2). Os clientes usam autenticação NTLM 2 e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio recusam autenticação NTLM e LM ( ou seja, eles aceitam apenas NTLM 2).

Um computador cliente pode usar apenas um protocolo ao comunicar-se com todos os servidores. Não é possível configurá-lo, por exemplo, para usar NTLM v2 para se conectar a servidores com Windows 2000 e, então, usar NTLM para se conectar a outros servidores. Isso é próprio do projeto.

É possível configurar a segurança mínima usada para programas que usam o SSP (provedor de suporte de segurança) de NTLM modificando a seguinte chave do Registro. Esses valores dependem do valor LMCompatibilityLevel:

1. Inicie o Editor do Registro (Regedit.exe).
2. Localize e clique na seguinte chave do Registro:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
   Nome do valor: NtlmMinClientSec
   Tipo de dados: REG_WORD
   Valor: um dos valores abaixo:
   • 0x00000010- Integridade de mensagem
   • 0x00000020- Confidencialidade de mensagem
   • 0x00080000- segurança da sessão NTLM 2
   • 0x20000000- criptografia de 128 bits
   • 0x80000000- criptografia de 56 bits
   
   
4. Feche o Editor do Registro.

Se um programa cliente/servidor usa o SSP de NTLM (ou usa a chamada de procedimento remoto [RPC] segura, que usam o SSP de NTLM) para fornecer segurança da sessão para uma conexão, o tipo de segurança da sessão a ser usado será determinado da seguinte maneira:

• O cliente solicita qualquer um dos seguintes itens: Integridade de mensagem, confidencialidade de mensagem, segurança da sessão NTLM 2 e criptografia 128 bits ou 56 bits.
• O servidor responde, indicando quais itens do conjunto selecionado ele deseja.
• O conjunto resultante é chamado de "negociado".

É possível usar o valor NtlmMinClientSec para fazer com que as conexões cliente/servidor negociem uma determinada qualidade de segurança da sessão ou não tenham êxito. No entanto, observe os seguintes itens:

• Se você usar 0x00000010 para o valor NtlmMinClientSec, a conexão não terá êxito se a integridade da mensagem não for negociada.
• Se você usar 0x00000020 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem não for negociada.
• Se você usar 0x00080000 para o valor NtlmMinClientSec, a conexão não terá êxito se a segurança da sessão NTLM 2 não for negociada.
• Se você usar 0x20000000 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem estiver sendo usada, mas a criptografia de 128 bits não for negociada.