ID articol: 239869 - View products that this article applies to.
Important Acest articol conține informații despre modificarea valorilor din registry. Înainte de a face modificări în registry, asigurați-vă că ați realizat o copie de rezervă și că știți să restabiliți registry dacă apare o problemă. Pentru informații despre copierea de rezervă, restaurarea și editarea registry, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
256986 Descrierea Registry din Microsoft Windows
Măriți totul | Reduceți totul

În această pagină

REZUMAT

De-a lungul timpului, Windows NT a acceptat două variante de autentificare de tip provocare/răspuns (NTLM) pentru conectarea la rețea:
  • Provocare/răspuns LAN Manager (LM)
  • Provocare/răspuns Windows NT (cunoscută și ca provocare/răspuns NTLM versiunea 1)
Varianta LM permite interoperabilitate cu baza instalată de clienți și servere de Windows 95, Windows 98 și Windows 98 Second Edition. NTLM furnizează securitate îmbunătățită pentru conexiunile între clienții și serverele Windows NT. Windows NT acceptă, de asemenea, mecanismul de securitate al sesiunii NTLM care furnizează confidențialitatea mesajelor (criptare) și integritate (semnătură).

Îmbunătățirile recente ale hardware-ului și ale algoritmilor software au făcut ca aceste protocoale să devină vulnerabile la atacurile publicate pe scară largă pentru obținerea parolelor de utilizator. În efortul continuu de a oferi clienților produse mai sigure, Microsoft a dezvoltat versiunea 2 de NTLM, perfecționată, care aduce îmbunătățiri semnificative atât pentru autentificarea, cât și pentru mecanismele de securitate a sesiunii. NTLM 2 a fost disponibil pentru Windows NT 4.0 începând cu lansarea Service Pack 4 (SP4) și este acceptat nativ în Windows 2000. Suportul NTLM 2 se poate adăuga la Windows 98 prin instalarea extensiilor de client Active Directory.

După actualizarea tuturor computerelor bazate pe Windows 95, Windows 98, Windows 98 Second Edition și Windows NT 4.0, securitatea organizației se poate îmbunătăți în mare măsură prin configurarea clienților, serverelor și controlerilor de domeniu pentru a utiliza numai NTLM 2 (nici LM, nici NTLM).

INFORMAȚII SUPLIMENTARE

Pentru informații suplimentare despre instalarea extensiei de client Active Directory adecvate, faceți clic pe următorul număr de articol pentru a vedea articolul din Baza de cunoștințe Microsoft:
288358 Cum se instalează extensia client Active Directory (Această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză.)
Când instalați extensiile client Active Directory pe un computer care execută Windows 98, fișierele de sistem care furnizează suport NTLM 2 se instalează automat. Aceste fișiere sunt Secur32.dll, Msnp32.dll, Vredir.vxd și Vnetsup.vxd. Dacă eliminați extensia de client Active Directory, fișierele de sistem NTLM 2 nu se elimină, datorită faptului că ele furnizează atât funcționalitate de securitate îmbunătățită cât și remedii referitoare la securitate.

În mod implicit, criptarea de securitate a sesiunii NTLM 2 este restricționată la o lungime de cheie maximă de 56 biți. Dacă sistemul satisface reglementările de export ale SUA, se instalează automat suport opțional pentru chei de 128 biți. Pentru a activa suportul de securitate a sesiunii NTLM 2 pe 128 biți, trebuie să instalați Microsoft Internet Explorer 4.x sau 5 și să faceți upgrade la suport de conexiune pe 128 biți înainte de a instala extensia de client Active Directory.

Pentru a verifica versiunea instalării:
  1. Utilizați Windows Explorer pentru a găsi fișierul Secur32.dll în folderul %SystemRoot%\System.
  2. Faceți clic cu butonul din dreapta pe fișier, apoi faceți clic pe Proprietăți.
  3. Faceți clic pe fila Versiune. Descrierea pentru versiunea pe 56 biți este „Microsoft Win32 Security Services (Export Version)”. Descrierea pentru versiunea pe 128 biți este „Microsoft Win32 Security Services (US and Canada Only)”.
Înainte de a activa autentificarea NTLM 2 pentru clienții Windows 98, verificați ca toți controlerii de domeniu pentru utilizatorii care se conectează la rețeaua dvs. de la acești clienți să execute Windows NT 4.0 Service Pack 4 sau versiuni mai recente. (Controlerii de domeniu pot executa Windows NT 4.0 Service Pack 6 în cazul în care clientul și serverul sunt asociați la domenii diferite.) Nu este obligatorie nici o configurație de controler de domeniu pentru a avea suport NTLM 2. Trebuie să configurați controlerii de domeniu numai pentru a dezactiva suportul pentru NTLM 1 sau pentru autentificarea LM. Pentru informații suplimentare despre despre diferențele între aceste variante de protocol și importanța upgrade-ului pentru a utiliza numai NTLM 2, faceți clic pe următorul număr de articol pentru a vedea articolul din Baza de cunoștințe Microsoft:
147706 Cum se dezactivează autentificarea LM în Windows NT (Această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză.)

Activarea NTLM 2 pentru clienții Windows 95, Windows 98 sau Windows 98 Second Edition

Avertisment Dacă nu utilizați corect Registry Editor, pot apărea probleme grave care să necesite reinstalarea sistemului de operare. Microsoft nu poate garanta că problemele care rezultă din utilizarea incorectă a Registry Editor pot fi remediate. Utilizați Registry Editor pe propriul risc.
Pentru a activa un client Windows 95, Windows 98 sau Windows 98 Second Edition pentru autentificarea NTLM 2, instalați Directory Services Client. Pentru a activa NTLM 2 la client, urmați acești pași:
  1. Porniți Registry Editor (Regedit.exe).
  2. Căutați și faceți clic pe următoarea cheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Creați o cheie de registry LSA în cheia de registry de mai sus.
  4. În meniul Edit, faceți clic pe Add Value, apoi adăugați următoarea valoare de registry:
    Nume valoare: LMCompatibility
    Tip de date: REG_DWORD
    Valoare: 3
    Interval valid: 0,3
    Descriere: Acest parametru specifică modul de autentificare și de securitate a sesiunii utilizate pentru conectările la rețea. El nu are influență asupra conectărilor interactive.
    • Nivel 0 - Trimite răspuns LM și NTLM; nu utilizează niciodată securitate de sesiune NTLM 2. Clienții vor utiliza autentificare LM și NTLM și nu vor utiliza niciodată securitatea de sesiune NTLM 2; controlerii de domeniu acceptă autentificare LM, NTLM și NTLM 2.
    • Nivel 3 - Trimite numai răspuns NTLM 2. Clienții vor utiliza autentificare NTLM 2 și vor utiliza securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM și NTLM 2.
    Notă Pentru a activa NTLM 2 pentru clienții Windows 95, instalați clientul sistem de fișiere distribuite (DFS), WinSock 2.0 Update și Microsoft DUN 1.3 pentru Windows 2000.

  5. Părăsiți Registry Editor.

Notă Pentru Windows NT 4.0 și Windows 2000, cheia de registry este LMCompatibilityLevel, iar pentru computerele bazate pe Windows 95 și Windows 98, cheia de registry este LMCompatibility.

Ca referință, intervalul complet de valori pentru valoarea LMCompatibilityLevel acceptat de Windows NT 4.0 și Windows 2000 cuprinde:
  • Nivel 0 - Trimite răspuns LM și NTLM; nu utilizează niciodată securitate de sesiune NTLM 2. Clienții utilizează autentificare LM și NTLM și nu vor utiliza niciodată securitatea de sesiune NTLM 2; controlerii de domeniu acceptă autentificare LM, NTLM și NTLM 2.
  • Nivel 1 - Utilizează securitatea de sesiune NTLM 2, dacă s-a negociat. Clienții utilizează autentificare LM și NTLM și utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM și NTLM 2.
  • Nivel 2 - Trimite numai răspuns NTLM. Clienții utilizează numai autentificare NTLM și utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM și NTLM 2.
  • Nivel 3 - Trimite numai răspuns NTLM 2. Clienții utilizează autentificare NTLM 2 și utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM și NTLM 2.
  • Nivel 4 - Controlerii de domeniu refuză răspunsuri LM. Clienții utilizează autentificare NTLM și utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu refuză autentificarea LM (adică, acceptă autentificare NTLM și NTLM 2).
  • Nivel 5 - Controlerii de domeniu refuză răspunsuri LM și NTLM (acceptă numai NTLM 2). Clienții utilizează autentificare NTLM, utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu refuză autentificarea NTLM și LM (acceptă numai NTLM 2).
Un computer client poate utiliza numai un singur protocol la comunicarea cu toate serverele. Nu poate fi configurat, de exemplu, pentru a utiliza NTLM v2 pentru conectarea la serverele bazate pe Windows 2000, apoi NTLM pentru conectarea la alte servere. Acest comportament este cel proiectat.

Se poate configura securitatea minimă care se utilizează pentru programele care utilizează furnizorul de suport de securitate NTLM (SSP) modificând următoarea cheie de registry. Aceste valori depind de valoarea LMCompatibilityLevel:
  1. Porniți Registry Editor (Regedit.exe).
  2. Căutați și faceți clic pe următoarea cheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. În meniul Edit, faceți clic pe Add Value, apoi adăugați următoarea valoare de registry:
    Nume valoare: NtlmMinClientSec
    Tip de date: REG_WORD
    Valoare: una dintre valorile de mai jos:
    • 0x00000010- Integritatea mesajelor
    • 0x00000010- Confidențialitatea mesajelor
    • 0x00080000- Securitate de sesiune NTLM 2
    • 0x20000000- criptare pe 128 biți
    • 0x80000000- criptare pe 56 biți

  4. Părăsiți Registry Editor.
Dacă un program client/server utilizează NTLM SSP (sau utilizează RPC securizat [Remote Procedure Call - apel de procedură la distanță], care utilizează NTLM SSP) pentru a furniza securitate de sesiune pentru o conexiune, tipul de securitate de sesiune care se utilizează este stabilit după cum urmează:
  • Clientul solicită unul sau toate elementele următoare: integritatea mesajelor, confidențialitatea mesajelor, securitate de sesiune NTLM 2 și criptare pe 128 biți sau pe 56 biți.
  • Serverul răspunde, indicând care elemente ale setului solicitat îi sunt necesare.
  • Se spune că setul rezultat a fost „negociat”.
Valoarea NtlmMinClientSec se poate utiliza fie pentru negocierea unei anumite calități a securității de sesiune de către conexiunile client/server, fie pentru nereușită. Țineți însă seama de următoarele elemente:
  • Dacă utilizați 0x00000010 pentru valoarea NtlmMinClientSec, conexiunea nu va reuși dacă nu se negociază integritatea mesajelor.
  • Dacă utilizați 0x00000020 pentru valoarea NtlmMinClientSec, conexiunea nu va reuși dacă nu se negociază confidențialitatea mesajelor.
  • Dacă utilizați 0x00080000 pentru valoarea NtlmMinClientSec, conexiunea nu va reuși dacă nu se negociază securitatea de sesiune NTLM 2.
  • Dacă utilizați 0x20000000 pentru valoarea NtlmMinClientSec, conexiunea nu va reuși dacă se utilizează confidențialitatea mesajelor, dar nu se negociază criptarea pe 128 biți.

Proprietă?i

ID articol: 239869 - Ultima examinare: 6 februarie 2006 - Revizie: 4.3
SE APLICĂ LA
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Cuvinte cheie: 
kbenv kbhowto KB239869

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com