Artigo: 239869 - Ver produtos para os quais este artigo se aplica.
Importante: este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que compreende como o pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows


Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Historicamente, o Windows NT suporta duas variantes de autenticação challenge/response para inícios de sessão na rede:
  • Challenge/response de LAN Manager (LM)
  • Challenge/response do Windows NT (também conhecido como challenge/response de NTLM versão 1)
A variante LM permite interoperabilidade com a base instalada dos clientes e servidores com o Windows 95, Windows 98 e Windows 98 Segunda Edição. O NTLM fornece segurança melhorada para ligações entre clientes e servidores com o Windows NT. O Windows NT também suporta o mecanismo de segurança de sessão NTLM fornecido para confidencialidade (encriptação) e integridade (assinatura) de mensagens.

Os melhoramentos recentes introduzidos nos algoritmos de hardware e software do computador tornaram estes protocolos vulneráveis a ataques muito conhecidos para obtenção de palavras-passe de utilizadores. A Microsoft, no esforço contínuo de comercializar produtos mais seguros para os clientes, desenvolveu um melhoramento, denominado NTLM versão 2, que optimiza os mecanismos de segurança de autenticação e de sessão. O NTLM 2 foi incluído no Windows NT 4.0 desde o Service Pack 4 (SP4) e é suportado de forma nativa no Windows 2000. Pode adicionar suporte do NTLM 2 ao Windows 98 instalando as extensões de cliente do Active Directory.

Depois de actualizar todos os computadores baseados no Windows 95, Windows 98, Windows 98 Segunda Edição e Windows NT 4.0, poderá melhorar significativamente a segurança da sua empresa configurando clientes, servidores e controladores de domínio para utilizarem apenas o NTLM 2 (não o LM nem o NTLM).

Mais Informação

Para obter informações adicionais sobre como instalar a extensão de cliente do Active Directory adequada, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
288358 How to install the Active Directory client extension
Quando instala as extensões de cliente do Active Directory num computador com o Windows 98, os ficheiros de sistema que fornecem suporte de NTLM 2 também são automaticamente instalados. Estes ficheiros são o Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se remover a extensão de cliente do Active Directory, os ficheiros de sistema de NTLM 2 não serão removidos porque os ficheiros fornecem funcionalidade de segurança melhorada e correcções relacionadas com segurança.

Por predefinição, a encriptação de segurança de sessão NTLM 2 é restrita a um comprimento máximo de chave de 56 bits. Um suporte opcional para chaves de 128 bits é automaticamente instalado, se o sistema cumprir os regulamentos de exportação dos Estados Unidos. Para activar o suporte de segurança de sessão NTLM 2 de 128 bits, tem de instalar o Microsoft Internet Explorer 4.x ou 5 e actualizar para um suporte de ligação segura de 128 bits antes de instalar a extensão de cliente do Active Directory.

Para verificar a versão da instalação:
  1. Utilize o Explorador do Windows (Windows Explorer) para localizar o ficheiro Secur32.dll na pasta %SystemRoot%\System.
  2. Clique com o botão direito do rato no ficheiro e clique em Propriedades (Properties).
  3. Clique no separador Versão (Version). A descrição da versão de 56 bits é "Microsoft Win32 Security Services (Export Version)." A descrição da versão de 128 bits é "Microsoft Win32 Security Services (US and Canada Only)."
Antes de activar a autenticação NTLM 2 para clientes com o Windows 98, verifique se todos os controladores de domínio de utilizadores que iniciam sessão na rede a partir destes clientes têm o Windows NT 4.0 Service Pack 4 ou posterior. (Os controladores de domínio podem utilizar o Windows NT 4.0 Service Pack 6 se o cliente e o servidor estiverem associados a diferentes domínios.) Não é necessária qualquer configuração de controlador de domínio para suportar o NTLM 2. Só tem de configurar os controladores de domínio para desactivar o suporte de NTLM 1 ou autenticação LM. Para obter informações adicionais sobre as diferenças entre estas variantes de protocolo e a importância da actualização para utilizar apenas o NTLM 2, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
147706 How to disable LM authentication on Windows NT

Activar o NTLM 2 em clientes com o Windows 95, Windows 98 ou Windows 98 Segunda Edição

Aviso: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.
Para activar a autenticação NTLM 2 num cliente com o Windows 95, Windows 98 ou Windows 98 Segunda Edição, instale o Directory Services Client. Para activar o NTLM 2 no cliente, siga estes passos:
  1. Inicie o Editor de registo (Registry Editor) (Regedit.exe).
  2. Localize e clique na seguinte chave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Crie uma chave de registo LSA na chave de registo listada acima.
  4. No menu Editar (Edit), clique em Adicionar valor (Add Value) e adicione o seguinte valor de registo:
    Nome do valor: LMCompatibility
    Tipo de dados: REG_DWORD
    Valor: 3
    Intervalo válido: 0,3
    Descrição: Este parâmetro especifica o modo de segurança de autenticação e de sessão para ser utilizado nos inícios de sessão na rede. Não afecta os inícios de sessão interactivos. (This parameter specifies the mode of authentication and session security to be used for network logons. It does not affect interactive logons).
    • Nível 0 - Enviar resposta de LM e de NTLM; nunca utilizar segurança de sessão NTLM 2. Os clientes utilizarão autenticação LM e NTLM e nunca utilizarão segurança de sessão NTLM 2; os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
    • Nível 3 - Enviar apenas resposta de NTLM 2. Os clientes utilizarão autenticação NTLM 2 e utilizarão segurança de sessão NTLM 2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
    Nota: para activar o NTLM 2 em clientes com o Windows 95, instale o cliente com o sistema de ficheiros distribuídos (DFS, Distributed File System), actualização WinSock 2.0 e Microsoft DUN 1.3 para Windows 2000.

  5. Saia do Editor de registo (Registry Editor).

Nota: para o Windows NT 4.0 e Windows 2000 a chave de registo é LMCompatibilityLevel e para computadores baseados no Windows 95 e Windows 98, a chave de registo é LMCompatibility.

Para referência, o intervalo completo de valores para o valor LMCompatibilityLevel suportado pelo Windows NT 4.0 e Windows 2000 inclui:
  • Nível 0 - Enviar resposta de LM e de NTLM; nunca utilizar segurança de sessão NTLM 2. Os clientes utilizam autenticação LM e NTLM e nunca utilizam segurança de sessão NTLM 2; os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 1 - Usar segurança de sessão NTLM 2 se negociada. Os clientes utilizam autenticação LM e NTLM e utilizam segurança de sessão NTLM 2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 2 - Enviar apenas resposta de NTLM. Os clientes utilizam apenas autenticação NTLM e utilizam segurança de sessão NTLM 2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 3 - Enviar apenas resposta de NTLM 2. Os clientes utilizam autenticação NTLM 2 e utilizam segurança de sessão NTLM 2 caso seja suportada pelo servidor; os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 4 - Os controladores de domínio recusam respostas de LM. Os clientes utilizam autenticação NTLM e utilizam segurança de sessão NTLM 2 caso seja suportada pelo servidor; os controladores de domínio recusam autenticação LM (isto é, aceitam NTLM e NTLM 2).
  • Nível 5 - Os controladores de domínio recusam respostas de LM e de NTLM (aceitam apenas de NTLM 2). Os clientes utilizam autenticação NTLM 2, utilizam segurança de sessão NTLM 2 caso seja suportada pelo servidor; os controladores de domínio recusam autenticação NTLM e LM (aceitam apenas NTLM 2).
Um computador cliente só pode utilizar um protocolo para comunicar com todos os servidores. Não é possível configurá-lo, por exemplo, para utilizar NTLM v2 para ligar a servidores baseados no Windows 2000 e, em seguida, utilizar o NTLM para ligar a outros servidores. Este comportamento ocorre por predefinição.

Pode configurar a segurança mínima que é utilizada nos programas que utilizam o fornecedor de suporte de segurança (SSP, Security Support Provider) do NTLM modificando a seguinte chave de registo. Estes valores estão dependentes do valor LMCompatibilityLevel:
  1. Inicie o Editor de registo (Registry Editor) (Regedit.exe).
  2. Localize a seguinte chave no registo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. No menu Editar (Edit), clique em Adicionar valor (Add Value) e adicione o seguinte valor de registo:
    Nome do valor: NtlmMinClientSec
    Tipo de dados: REG_WORD
    Valor: um dos valores abaixo:
    • 0x00000010- Integridade de mensagem
    • 0x00000020- Confidencialidade da mensagem
    • 0x00080000- Segurança de sessão NTLM 2
    • 0x20000000- Encriptação de 128 bits
    • 0x80000000- Encriptação de 56 bits

  4. Saia do Editor de registo (Registry Editor).
Se um programa de cliente/servidor utilizar o SSP de NTLM [ou utilizar a chamada de procedimento remoto (RPC, Remote Procedure Call) segura, que utiliza o SSP de NTLM] para fornecer segurança de sessão a uma ligação, o tipo de segurança de sessão a utilizar será determinado da seguinte forma:
  • O cliente pede um ou todos os itens que se seguem: integridade de mensagem, confidencialidade da mensagem, segurança de sessão NTLM 2 e encriptação de 128 bits ou de 56 bits.
  • O servidor responde, indicando quais os itens pretendidos do conjunto pedido.
  • O conjunto resultante diz-se que foi "negociado."
Pode utilizar o valor NtlmMinClientSec para fazer com que ligações cliente/servidor negoceiem uma determinada qualidade de segurança de sessão ou para que não sejam efectuadas com êxito. No entanto, deverá ter em conta os seguintes itens:
  • Se utilizar 0x00000010 para o valor NtlmMinClientSec, a ligação não será efectuada com êxito caso a integridade de mensagem não seja negociada.
  • Se utilizar 0x00000020 para o valor NtlmMinClientSec, a ligação não será efectuada com êxito caso a confidencialidade da mensagem não seja negociada.
  • Se utilizar 0x00080000 para o valor NtlmMinClientSec, a ligação não será efectuada com êxito caso a segurança de sessão NTLM 2 não seja negociada.
  • Se utilizar 0x20000000 para o valor NtlmMinClientSec, a ligação não será efectuada com êxito caso a confidencialidade da mensagem esteja a ser utilizada, mas a encriptação de 128 bits não seja negociada.

Propriedades

Artigo: 239869 - Última revisão: 28 de setembro de 2005 - Revisão: 4.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Segunda Edição
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palavras-chave: 
kbhowto kbenv KB239869

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com