Код статьи: 239869 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Исторически ОС Windows NT поддерживает два способа проверки подлинности типа «запрос/ответ» при входе в систему:
  • запрос/ответ LanManager (LM)
  • запрос/ответ Windows NT (другое название – запрос/ответ NTLM версии 1)
Вариант LM обеспечивает возможность взаимодействия с установленной базой клиентов и серверов Windows 95, Windows 98 и Windows 98 Second Edition. NTLM обеспечивает повышенную безопасность соединений между клиентами и серверами Windows NT. Windows NT также поддерживает сеансовый механизм безопасности, обеспечивающий конфиденциальность (шифрование) и целостность (подпись) сообщений.

В последнее время многочисленные нововведения в области компьютерного оборудования и программного обеспечения сделали эти протоколы уязвимыми для несанкционированных попыток получения паролей пользователей. В целях обеспечения повышенной безопасности продуктов корпорация Майкрософт разработала протокол NTLM версии 2, значительно улучшающий характеристики механизма проверки подлинности и сеансового механизма безопасности. NTLM 2 поддерживается в Windows NT 4.0 с момента выпуска пакета обновления 4 (SP4) и изначально поддерживался в Windows 2000. Для добавления поддержки NTLM 2 в Windows 98 установите клиентское расширение Active Directory.

После модернизации всех компьютеров с системами Windows 95, Windows 98, Windows 98 Second Edition и Windows NT 4.0 появляется возможность значительно повысить безопасность организации, установив в настройках клиентов, серверов и контроллеров доменов использование только NTLM 2 (а не LM или NTLM).

Дополнительная информация

Дополнительные сведения об установке клиентского расширения Active Directory содержатся в следующей статье базы знаний Майкрософт:
288358 Как установить клиентское расширение Active Directory
При установке клиентского расширения Active Directory на компьютере с Windows 98 также автоматически устанавливаются системные файлы поддержки NTLM 2. К этим файлам относятся Secur32.dll, Msnp32.dll, Vredir.vxd и Vnetsup.vxd. При удалении клиентского расширения Active Directory системные файлы NTLM 2 не удаляются, поскольку они обеспечивают повышенную безопасность и содержат исправления системы безопасности.

По умолчанию для шифрования сеансовой безопасности NTLM 2 используются ключи с максимальной длиной 56 бит. Дополнительная поддержка 128-разрядных ключей автоматически устанавливается, если система соответствует ограничениям на экспорт США. Для активизации поддержки 128-разрядных ключей сеансовой безопасности NTLM 2 необходимо установить Microsoft Internet Explorer 4.x или 5 и добавить поддержку 128-разрядного безопасного соединения, прежде чем устанавливать клиентское расширение Active Directory.

Чтобы узнать версию программы:
  1. С помощью проводника Windows Explorer найдите файл Secur32.dll в папке %SystemRoot%\System.
  2. Щелкните файл правой кнопкой мыши и выберите команду Свойства.
  3. Откройте вкладку Версия. 56-разрядной версии соответствует описание «Microsoft Win32 Security Services (Export Version)». 128-разрядной версии соответствует описание «Microsoft Win32 Security Services (US and Canada Only)».
До включения проверки подлинности NTLM 2 для клиентов Windows 98 убедитесь, что все контроллеры доменов для пользователей, осуществляющих вход в сеть с этих клиентов, находятся под управлением Windows NT 4.0 с пакетом обновления 4 или выше. (Контроллеры доменов могут работать под управлением Windows NT 4.0 с пакетом обновления 6, если клиент и сервер относятся к разным доменам.) Для поддержки NTLM 2 не требуется настройка контроллеров доменов. Изменение в настройке контроллеров доменов необходимо только для отключения поддержки проверки подлинности NTLM 1 или LM. Дополнительные сведения о различиях между этими вариантами протоколов и важности использования только NTLM 2 содержатся в следующей статье базы знаний Майкрософт:
147706 Запрет проверки подлинности LM в Microsoft Windows NT

Активизация NTLM 2 для клиентов Windows 95, Windows 98 или Windows 98 Second Edition

Предупреждение. Неправильное использование редактора реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Чтобы активизировать проверку подлинности NTLM 2 для клиентов Windows 95, Windows 98 или Windows 98 Second Edition, установите клиент службы каталогов (Directory Services Client). Для активизации NTLM 2 для клиента выполните следующие действия.
  1. Запустите редактор реестра (Regedit.exe).
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Создайте раздел реестра LSA в разделе реестра, приведенном выше.
  4. В меню Правка выберите пункт Добавить значение и добавьте следующий параметр реестра.
    Параметр: LMCompatibility
    Тип данных: REG_DWORD
    Значение: 3
    Допустимые значения: 0,3
    Описание: Этот параметр определяет режим проверки подлинности и механизм сеансовой безопасности, использующиеся при входе в сеть. Параметр не используется при интерактивном входе.
    • Уровень 0. Отправлять ответы LM и NTLM; не использовать сеансовую безопасность NTLM 2. Клиенты используют протоколы LM и NTLM для проверки подлинности и никогда не используют сеансовую безопасность NTLM 2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLM 2.
    • Уровень 3. Отправлять только ответы NTLM 2. Клиенты используют протокол NTLM 2 для проверки подлинности и сеансовую безопасность NTLM 2, если она поддерживается сервером; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLM 2.
    Примечание. Для активизации NTLM 2 для клиентов Windows 95 установите клиент распределенной файловой системы (DFS), обновление WinSock 2.0 Update и Microsoft DUN 1.3 для Windows 2000.

  5. Закройте редактор реестра.

Примечание. Для Windows NT 4.0 и Windows 2000 используется раздел реестра LMCompatibilityLevel; для Windows 95 и Windows 98 используется раздел реестра LMCompatibility.

Ниже приводится полный перечень допустимых значений параметра LMCompatibilityLevel, поддерживаемых Windows NT 4.0 и Windows 2000.
  • Уровень 0. Отправлять ответы LM и NTLM; не использовать сеансовую безопасность NTLM 2. Клиенты используют протоколы LM и NTLM для проверки подлинности и никогда не используют сеансовую безопасность NTLM 2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLM 2.
  • Уровень 1. Использовать сеансовую безопасность NTLM 2 по согласованию. Клиенты используют протоколы LM и NTLM для проверки подлинности и сеансовую безопасность NTLM 2, если она поддерживается сервером; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLM 2.
  • Уровень 2. Отправлять только ответы NTLM. Клиенты используют протоколы NTLM для проверки подлинности и сеансовую безопасность NTLM 2, если она поддерживается сервером; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLM 2.
  • Уровень 3. Отправлять только ответы NTLM 2. Клиенты используют протокол NTLM 2 для проверки подлинности и сеансовую безопасность NTLM 2, если она поддерживается сервером; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLM 2.
  • Уровень 4. Контроллеры доменов не допускают проверку подлинности по протоколу LM. Клиенты используют протокол NTLM для проверки подлинности и сеансовую безопасность NTLM 2, если она поддерживается сервером; контроллеры домена не допускают проверку подлинности по протоколу LM (то есть, используют протоколы NTLM и NTLM 2).
  • Уровень 5. Контроллеры доменов не допускают проверку подлинности по протоколам LM и NTLM (используют только NTLM 2). Клиенты используют протокол NTLM 2 для проверки подлинности и сеансовую безопасность NTLM 2, если она поддерживается сервером; контроллеры домена не допускают проверку подлинности по протоколам LM и NTLM (то есть используют только протокол NTLM 2).
Клиентский компьютер может использовать только один протокол при связи с любыми серверами. Например, нельзя использовать NTLM v2 для подключения к серверам с Windows 2000 и NTLM при подключении ко всем остальным серверам. Данное поведение является особенностью операционной системы.

Можно установить минимальный уровень безопасности для программ, использующих поставщик поддержки безопасности (SSP) NTLM, изменив следующий раздел реестра. Эти значения зависят от значения параметра LMCompatibilityLevel.
  1. Запустите редактор реестра (Regedit.exe).
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. В меню Правка выберите пункт Добавить значение и добавьте следующий параметр реестра.
    Параметр: NtlmMinClientSec
    Тип данных: REG_WORD
    Значение: одно из значений, приведенных ниже:
    • 0x00000010- Целостность сообщений
    • 0x00000020- Конфиденциальность сообщений
    • 0x00080000- сеансовая безопасность NTLM 2
    • 0x20000000- 128-разрядное шифрование.
    • 0x80000000- 56-разрядное шифрование.

  4. Закройте редактор реестра.
Если клиентская/серверная программа в целях обеспечения безопасности соединения использует SSP NTLM (или безопасный удаленный вызов процедур [RPC], использующий SSP NTLM), тип сеансовой безопасности определяется следующим образом.
  • Клиент включает в запрос любой или все из следующих элементов: целостность сообщения, конфиденциальность сообщения, сеансовая безопасность NTLM 2 и 128- или 56-разрядное шифрование.
  • В ответе сервера указываются необходимые элементы из запрошенного списка.
  • В результате элементы используются «по согласованию».
Значение NtlmMinClientSec можно использовать для согласования уровня сеансовой безопасности между клиентом и сервером либо отмены соединения. Однако следует иметь в виду следующее:
  • При использовании значения 0x00000010 для параметра NtlmMinClientSec соединение не состоится, если не будет согласована целостность сообщений.
  • При использовании значения 0x00000020 для параметра NtlmMinClientSec соединение не состоится, если не будет согласована конфиденциальность сообщений.
  • При использовании значения 0x00080000 для параметра NtlmMinClientSec соединение не состоится, если не будет согласовано использование сеансовой безопасности NTLM 2.
  • При использовании значения 0x20000000 для параметра NtlmMinClientSec соединение не состоится, если не будет согласовано использование 128-разрядного шифрования.

Свойства

Код статьи: 239869 - Последний отзыв: 7 сентября 2005 г. - Revision: 4.3
Информация в данной статье применима к:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Операционная система Microsoft Windows 95
Ключевые слова: 
kbhowto kbenv KB239869

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com