ID do artigo: 239869 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que sabe como restaurá-lo caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e editar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft.
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Historicamente, o Windows NT suporta duas variantes da autenticação desafio/resposta para logons de rede:
  • LAN Manager (LM) desafio/resposta
  • Windows NT desafio/resposta (também conhecido como NTLM versão 1 desafio/resposta)
A variante LM permite a interoperabilidade com a base instalada do Windows 95, Windows 98 e Windows 98 Second Edition clientes e servidores. NTLM fornece segurança aperfeiçoada para conexões entre clientes e servidores Windows NT. O Windows NT também suporta o mecanismo de segurança da sessão NTLM que fornece confidencialidade (criptografia) e integridade (assinatura) de mensagem.

Aperfeiçoamentos recentes nos algoritmos de hardware e software do computador tornaram esses protocolos vulneráveis para ataques publicados amplamente para obtenção de senhas de usuário. A Microsoft, em seus esforços contínuos para fornecer mais produtos de segurança para seus clientes, desenvolveu um aperfeiçoamento, chamado NTLM versão 2, que melhora de maneira significante os mecanismos de segurança de autenticação e de sessão. O NTLM 2 foi disponibilizado para Windows NT 4.0 desde o lançamento do Service Pack 4 (SP4) e é suportado por padrão no Windows 2000. É possível adicionar o suporte à NTLM 2 para Windows 98 instalando as extensões cliente do Active Directory.

Após a atualização de todos os computadores com Windows 95, Windows 98, Windows 98 Second Edition e Windows NT 4.0, é possível melhorar bastante a segurança da sua organização configurando clientes, servidores e controladores de domínio para usar apenas NTLM 2 (não LM ou NTLM).

Mais Informações

Para obter informações adicionais sobre como instalar a extensão cliente do Active Directory apropriada, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
288358 Como instalar a extensão cliente do Active Directory
Ao instalar as extensões clientes do Active Directory em um computador que está executando Windows 98, os arquivos do sistema que fornecem suporte à NTLM 2 são instalados automaticamente. Esses arquivos são Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se você remover a extensão cliente do Active Directory, os arquivos de sistema NTLM 2 não serão removidos porque eles fornecem funcionalidade de segurança e correções relacionadas a segurança aperfeiçoadas.

Por padrão, a criptografia de segurança da sessão NTLM 2 é restrita a um tamanho máximo de chave de 56 bits. O suporte opcional para chaves de 128 bits é instalado automaticamente se o sistema atender às regulamentações de exportação dos Estados Unidos. Para habilitar o suporte de segurança da sessão NTLM 2 de 128 bits, é necessário instalar o Microsoft Internet Explorer 4.x ou 5 e atualizar para suporte de conexão segura de 128 bits antes de instalar a extensão cliente do Active Directory.

Para verificar a versão da sua instalação:
  1. Use o Windows Explorer para localizar o arquivo Secur32.dll na pasta %SystemRoot%\System.
  2. Clique com o botão direito do mouse no arquivo e clique em Propriedades.
  3. Clique na guia Versão. A descrição para a versão de 56 bits é "Microsoft Win32 Security Services (Versão de exportação)." A descrição para a versão de 128 bits é "Microsoft Win32 Security Services (Apenas Estados Unidos e Canadá)."
Antes de habilitar a autenticação NTLM 2 para clientes Windows 98, verifique se todos os controladores de domínio para usuários que fazem logon na sua rede a partir desses clientes estão executando Windows NT 4.0 Service Pack 4 ou uma versão mais recente. (Os controladores de domínio podem executar o Windows NT 4.0 Service Pack 6 se o cliente e o servidor fizerem parte de domínios diferentes.) Nenhuma configuração do controlador de domínio é necessária para suportar NTLM 2. É necessário configurar os controladores de domínio apenas para desabilitar o suporte à NTLM 1 ou autenticação LM. Para obter informações adicionais sobre as diferenças entre essas variantes de protocolo e a importância da atualização para usar apenas NTLM 2, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
147706 Como desativar a autenticação LM no Windows NT

Habilitando NTLM 2 para clientes Windows 95, Windows 98 ou Windows 98 Second Edition

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Para habilitar um cliente Windows 95, Windows 98 ou Windows 98 Second Edition para autenticação NTLM 2, instale o cliente dos serviços de diretório. Para ativar NTLM 2 em um cliente, execute estas etapas:
  1. Inicie o Editor do Registro (Regedit.exe).
  2. Localize e clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Crie uma chave do Registro LSA na chave listada acima.
  4. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
    Nome do valor: LMCompatibility
    Tipo de dados: REG_DWORD
    Valor: 3
    Intervalo válido: 0,3
    Descrição: Esse parâmetro especifica o modo de autenticação e segurança da sessão a ser usada para logons de rede. Isso não afeta logons interativos.
    • Nível 0 - Envia resposta LM e NTLM; nunca usa segurança da sessão NTLM 2. Os clientes irão usar autenticação LM e NTLM e nunca usam segurança da sessão NTLM 2; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
    • Nível 3 - Envia apenas resposta NTLM 2. Os clientes irão usar autenticação NTLM 2 e segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
    Observação Para habilitar NTLM 2 para clientes Windows 95, instale o cliente DFS (Sistema de arquivos distribuídos), atualização de WinSock 2.0 e Microsoft DUN 1.3 para Windows 2000.

  5. Feche o Editor do Registro.

Observação Para o Windows NT 4.0 e Windows 2000 a chave do Registro é LMCompatibilityLevel e para computadores com Windows 95 e Windows 98, a chave do Registro é LMCompatibility.

Para referência, o intervalo total de valores suportados pelo Windows NT 4.0 e pelo Windows 2000 para o valor LMCompatibilityLevel inclui:
  • Nível 0 - Envia resposta LM e NTLM; nunca usa segurança da sessão NTLM 2. Os clientes usam autenticação LM e NTLM e nunca usam segurança da sessão NTLM 2; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 1 - Usa a segurança da sessão NTLM 2 se estiver negociada. Os clientes usam autenticação LM e NTLM e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 2 - Envia apenas resposta NTLM. Os clientes usam apenas autenticação NTLM e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 3 - Envia apenas resposta NTLM 2. Os clientes usam autenticação NTLM 2 e segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 4 - Controladores de domínio recusam respostas LM. Os clientes usam autenticação NTLM e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio recusam autenticação LM ( ou seja, eles aceitam NTLM e NTLM 2).
  • Nível 5 - Controladores de domínio recusam respostas LM e NTLM (aceitam apenas NTLM 2). Os clientes usam autenticação NTLM 2 e usam segurança da sessão NTLM 2 se o servidor suportar; controladores de domínio recusam autenticação NTLM e LM ( ou seja, eles aceitam apenas NTLM 2).
Um computador cliente pode usar apenas um protocolo ao comunicar-se com todos os servidores. Não é possível configurá-lo, por exemplo, para usar NTLM v2 para se conectar a servidores com Windows 2000 e, então, usar NTLM para se conectar a outros servidores. Isso é próprio do projeto.

É possível configurar a segurança mínima usada para programas que usam o SSP (provedor de suporte de segurança) de NTLM modificando a seguinte chave do Registro. Esses valores dependem do valor LMCompatibilityLevel:
  1. Inicie o Editor do Registro (Regedit.exe).
  2. Localize e clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
    Nome do valor: NtlmMinClientSec
    Tipo de dados: REG_WORD
    Valor: um dos valores abaixo:
    • 0x00000010- Integridade de mensagem
    • 0x00000020- Confidencialidade de mensagem
    • 0x00080000- segurança da sessão NTLM 2
    • 0x20000000- criptografia de 128 bits
    • 0x80000000- criptografia de 56 bits

  4. Feche o Editor do Registro.
Se um programa cliente/servidor usa o SSP de NTLM (ou usa a chamada de procedimento remoto [RPC] segura, que usam o SSP de NTLM) para fornecer segurança da sessão para uma conexão, o tipo de segurança da sessão a ser usado será determinado da seguinte maneira:
  • O cliente solicita qualquer um dos seguintes itens: Integridade de mensagem, confidencialidade de mensagem, segurança da sessão NTLM 2 e criptografia 128 bits ou 56 bits.
  • O servidor responde, indicando quais itens do conjunto selecionado ele deseja.
  • O conjunto resultante é chamado de "negociado".
É possível usar o valor NtlmMinClientSec para fazer com que as conexões cliente/servidor negociem uma determinada qualidade de segurança da sessão ou não tenham êxito. No entanto, observe os seguintes itens:
  • Se você usar 0x00000010 para o valor NtlmMinClientSec, a conexão não terá êxito se a integridade da mensagem não for negociada.
  • Se você usar 0x00000020 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem não for negociada.
  • Se você usar 0x00080000 para o valor NtlmMinClientSec, a conexão não terá êxito se a segurança da sessão NTLM 2 não for negociada.
  • Se você usar 0x20000000 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem estiver sendo usada, mas a criptografia de 128 bits não for negociada.

Propriedades

ID do artigo: 239869 - Última revisão: segunda-feira, 7 de fevereiro de 2005 - Revisão: 4.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palavras-chave: 
kbhowto kbenv KB239869

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com