Omogočanje protokola za preverjanje pristnosti NTLM 2

Prevodi člankov Prevodi člankov
ID članka: 239869 - Oglejte si izdelke, na katere se nanaša ta članek.
Pomembno Ta članek vsebuje informacije o spreminjanju registra. Preden se lotite opravila, register varnostno kopirajte in preberite navodila za njegovo obnovo, če bi prišlo do težav. Če želite več informacij o varnostnem kopiranju, obnovi in urejanju registra, kliknite naslednjo številko članka iz Microsoftove zbirke znanja:
256986 Opis registra v operacijskem sistemu Microsoft Windows (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini.)
Razširi vse | Zmanjšaj

Na tej strani

POVZETEK

Windows NT podpira za omrežne prijave dve različici protokola za preverjanje pristnosti tipa poziv/odgovor (challenge/response):
  • Protokol LAN Manager (LM) poziv/odgovor
  • Protokol Windows NT poziv/odgovor (imenovan tudi protokol NTLM različica 1 poziv/odgovor)
Različica protokola LM omogoča medsebojno delovanje z nameščeno osnovo odjemalcev in strežnikov operacijskih sistemov Windows 95, Windows 98 in Windows 98 Second Edition. Protokol NTLM omogoča izboljšano varnost za povezave med odjemalci in strežniki operacijskega sistema Windows NT. Operacijski sistem Windows NT podpira tudi mehanizem varnostne seje protokola NTLM, ki omogoča zaupnost sporočil (šifriranje) in celovitost (podpisovanje).

Zaradi zadnjih izboljšav algoritmov računalniške strojne in programske opreme so ti protokoli izpostavljeni splošno objavljenim napadom za pridobivanje uporabniških gesel. V okviru nenehnih prizadevanj, da bi izdelali varnejše izdelke za stranke, je Microsoft razvil izboljšano različico, imenovano NTLM različica 2, ki zelo izboljšuje preverjanje pristnosti in mehanizme varnostne seje. Protokol NTLM 2 je bil na voljo za operacijski sistem Windows NT 4.0, odkar je bil izdan servisni paket SP4, prav tako pa je podprt v operacijskem sistemu Windows 2000. Protokol NTLM 2 lahko dodate operacijskemu sistemu Windows 98, tako da namestite razširitve za odjemalca imenika Active Directory.

Ko nadgradite vse računalnike, v katerem so nameščeni operacijski sistemi Windows 95, Windows 98, Windows 98 Second Edition ali Windows NT 4.0, lahko zelo izboljšate varnost v podjetju, tako da nastavite odjemalce, strežnike in krmilnike domen, da uporabljajo samo protokol NTLM 2 (ne LM ali NTLM).

DODATNE INFORMACIJE

Če želite več informacij o namestitvi ustrezne razišitve odjemalca za imenik Active Directory, kliknite naslednjo številko članka iz Microsoftove zbirke znanja:
288358 Namestitev razširitve odjemalca za imenik Active Directory (Ta članek lahko vodi k besedilu, ki je delno ali v celoti v angleščini.)
Ko namestite razširitve odjemalca za imenik Active Directory v računalniku, v katerem je nameščen operacijski sistem Windows 98, računalnik samodejno namesti tudi sistemske datoteke, ki zagotavljajo podporo protokolu NTLM 2. Te datoteke so Secur32.dll, Msnp32.dll, Vredir.vxd in Vnetsup.vxd. Če odstranite razširitev odjemalca za imenik Active Directory, računalnik ne odstrani sistemskih datotek protokola NTLM 2, ker datoteke zagotavljajo izboljšano funkcijo varnosti in popravke, povezane z varnostjo.

Šifriranje varnostne seje protokola NTLM 2 je privzeto omejena na najdaljšo dolžino ključa, in sicer na 56 bitov. Sistem samodejno namesti izbirno podporo za 128-bitne ključe, če izpolnjuje ameriške predpise za izvoz. Če želite omogočiti podporo za 128-bitno varnostno sejo protokola NTLM 2, morate namestiti Microsoft Internet Explorer 4.x ali 5 in nadgraditi podporo za 128-bitno varno povezavo, preden namestite razširitev odjemalca za imenik Active Directory.

Če želite preveriti različico namestitve:
  1. Z Windows Explorerjem poiščite datoteko Secur32.dll v mapi %SystemRoot%\System.
  2. Z desno miškino tipko kliknite datoteko in nato kliknite Lastnosti.
  3. Kliknite jeziček Različica. Opis 56-bitne različice je »Microsoft Win32 Security Services (Export Version)«. Opis 128-bitne različice je »Microsoft Win32 Security Services (US and Canada Only)«.
Preden omogočite protokol za preverjanje pristnosti NTLM 2 za odjemalce operacijskega sistema Windows 98, preverite, ali vsi krmilniki domen za uporabnike, ki se prijavljajo v omrežje s teh odjemalcev, uporabljajo servisni paket SP4 za Windows NT 4.0 ali novejšo različico. (Krmilniki domen lahko uporabljajo servisni paket SP6 za Windows NT 4.0, če sta odjemalec in strežnik povezana v različnih domenah.) Za podporo protokolu NTLM 2 ni potrebna nobena nastavitev krmilnikov domen. Krmilnike domen morate nastaviti, da onemogočite podporo protokolu za preverjanje pristnosti NTLM 1 ali LM. Če želite več informacij o razlikah med različicami teh protokolov in o pomebnosti nadgradnje, da uporabljate samo protokol NTLM 2, kliknite naslednjo številko članka iz Microsoftove zbirke znanja:
147706 Onemogočanje protokola za preverjanje pristnosti LM v operacijskem sistemu Windows NT (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini.)

Omogočanje protokola NTLM 2 za odjemalce operacijskih sistemov Windows 95, Windows 98 ali Windows 98 Second Edition

Opozorilo Če urejevalnika registra ne uporabite pravilno, lahko nastanejo resne težave, zaradi katerih boste morali ponovno namestiti operacijski sistem. Microsoft ne more jamčiti za odpravo vseh težav, ki nastanejo zaradi nepravilne uporabe urejevalnika registra. Urejevalnik registra uporabljate na lastno odgovornost.
Če želite odjemalcem operacijskih sistemov Windows 95, Windows 98 ali Windows 98 Second Edition omogočiti protokol za preverjanje pristnosti NTLM 2, namestite posodobitev Directory Services Client. Če želite aktivirati protokol NTLM 2 v odjemalcu, sledite tem korakom:
  1. Zaženite urejevalnik registra (Regedit.exe).
  2. V registru poiščite in kliknite naslednji ključ:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Ustvarite registrski ključ LSA, ki je prikazan zgoraj.
  4. V meniju Urejanje kliknite Dodaj vrednost in dodajte naslednjo vrednost registra
    Ime vrednosti: LMCompatibility
    Vrsta podatkov: REG_DWORD
    Vrednost: 3
    Veljaven obseg: 0,3
    Opis: Ta parameter določa način preverjanja pristnosti in varnostno sejo, ki jo je mogoče uporabiti za prijave v omrežje in ne vpliva na neaktivne prijave.
    • Raven 0 – pošlje odziv protokolov LM in NTLM; nikoli ne uporabi varnostne seje protokola NTLM 2. Odjemalci bodo uporabljali protokol za preverjanje pristnosti LM in NTLM in nikoli varnostne seje protokola NTLM 2, krmilniki domen pa sprejemajo protokole za preverjanje pristnosti LM, NTLM in NTLM 2.
    • Raven 3 – pošlje samo odziv protokola NTLM 2. Odjemalci bodo uporabljali protokol za preverjanje pristnosti NTLM 2 in varnosotno sejo protokola NTLM 2, če jo strežnik podpira, krmilniki domen pa sprejemajo protokole za preverjanje pristnosti LM, NTLM in NTLM 2.
    Opomba Če želite omogočiti protokol NTLM 2 za odjemalce sistema Windows 95, namestite storitev Distributed File System (DFS) Client, posodobitev WinSock 2.0 Update in posodobitev Microsoft DUN 1.3 for Windows 2000.

  5. Zaprite urejevalnik registra.

Opomba Za operacijski sistem Windows NT 4.0 in Windows 2000 je registrski ključ LMCompatibilityLevel, za operacijski sistem Windows 95 in Windows 98 pa je registrski ključ LMCompatibility.

Celoten obseg vrednosti za vrednost LMCompatibilityLevel, ki jo podpira operacijski sistem Windows NT 4.0 in Windows 2000, vključuje:
  • Raven 0 – pošlje odziv protokolov LM in NTLM; nikoli ne uporabi varnostne seje protokola NTLM 2. Odjemalci bodo uporabljali protokol za preverjanje pristnosti LM in NTLM in nikoli varnostne seje protokola NTLM 2, krmilniki domen pa sprejemajo protokole za preverjanje pristnosti LM, NTLM in NTLM 2.
  • Raven 1 – uporablja varnosotno sejo protokola NTLM 2, če je ta sklenjena. Odjemalci bodo uporabljali protokol za preverjanje pristnosti LM in NTLM in varnostno sejo protokola NTLM 2, če jo strežnik podpira, krmilniki domen pa sprejemajo protokole za preverjanje pristnosti LM, NTLM in NTLM 2.
  • Raven 2 – pošlje samo odziv protokola NTLM. Odjemalci bodo uporabljali samo protokol za preverjanje pristnosti NTLM in varnostno sejo protokola NTLM 2, če jo strežnik podpira, krmilniki domen pa sprejemajo protokole za preverjanje pristnosti LM, NTLM in NTLM 2.
  • Raven 3 – pošlje samo odziv protokola NTLM 2. Odjemalci bodo uporabljali protokol za preverjanje pristnosti NTLM 2 in varnosotno sejo protokola NTLM 2, če jo strežnik podpira, krmilniki domen pa sprejemajo protokole za preverjanje pristnosti LM, NTLM in NTLM 2.
  • Raven 4 – krmilniki domen zavračajo odgovore protokola LM. Odjemalci bodo uporabljali protokol za preverjanje pristnosti NTLM in varnosotno sejo protokola NTLM 2, če jo strežnik podpira, krmilniki domen pa zavračajo protokol za preverjanje pristnosti LM (vendar sprejemajo protokol NTLM in NTLM 2).
  • Raven 5 – krmilniki domen zavračajo odzive protokola LM in NTLM (sprejemajo samo protokol NTLM 2). Odjemalci bodo uporabljali protokol za preverjanje pristnosti NTLM 2 in varnosotno sejo protokola NTLM 2, če jo strežnik podpira, krmilniki domen pa zavračajo protokol za preverjanje pristnosti NTLM in LM (sprejemajo samo protokol NTLM 2).
Odjemalski računalnik pri sporazumevanju z vsemi strežniki lahko uporabi samo en protokol. Ne morete ga nastaviti tako, da na primer za vzpostavitev povezave s strežniki operacijskega sistema Windows 2000 uporabi protokol NTLM 2 in nato protokol NTLM, da vzpostavi povezavo z drugimi strežniki. Takšno delovanje je predvideno.

Najmanjšo varnost, uporabljeno za programe, ki uporabljajo storitve NTLM Security Support Provider (SSP), lahko nastavite tako, da spremenite naslednji registrski ključ: Te vrednosti so odvisne od vrednosti ključa LMCompatibilityLevel:
  1. Zaženite urejevalnik registra (Regedit.exe).
  2. V registru poiščite in kliknite naslednji ključ:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. V meniju Urejanje kliknite Dodaj vrednost in dodajte naslednjo vrednost registra
    Ime vrednosti: NtlmMinClientSec
    Vrsta podatkov: REG_WORD
    Vrednost: ena od spodnjih vrednosti:
    • 0x00000010 – Integriteta sporočila
    • 0x00000020 – Zaupnost sporočila
    • 0x00080000 – Varnostna seja protokola NTLM 2
    • 0x20000000 – 128-bitno šifriranje
    • 0x80000000 – 56-bitno šifriranje

  4. Zaprite urejevalnik registra.
Če odjemalski/strežniški program uporablja storitve NTLM SSP (ali klic za oddaljeni postopek [RPC], ki uporablja storitve NTLM SSP), da zagotovi varnostno sejo za vzpostavljanje povezave, je vrsta varnostne seje, ki jo morate uporabiti, določena z naslednjim:
  • Odjemalec zahteva nekaj naslednjih elementov ali vse od njih: integriteto sporočila, zaupnost sporočila, varnostno sejo protokola NTLM 2 in 128-bitno ali 56-bitno šifriranje.
  • Strežnik odgovori in prikaže, katere elemente zahtevanega nabora želi.
  • Izbran nabor se imenuje »sklenjen«.
Uporabite lahko vrednost NtlmMinClientSec in tako povzročite, da vzpostavitev povezave z odjemalcem/strežnikom sklene dano kakovost ali da povezava ne uspe. Vendar morate paziti na naslednje elemente:
  • Če uporabite 0x00000010 za vrednost NtlmMinClientSec, vzpostavljanje povezave ne bo uspelo, če integriteta sporočila ni sklenjena.
  • Če uporabite 0x00000020 za vrednost NtlmMinClientSec, vzpostavljanje povezave ne bo uspelo, če zaupnost sporočila ni sklenjena.
  • Če uporabite 0x00080000 za vrednost NtlmMinClientSec, vzpostavljanje povezave ne bo uspelo, če varnostna seja protokola NTLM 2 ni sklenjena.
  • Če uporabite 0x20000000 za vrednost NtlmMinClientSec, vzpostavljanje povezave ne bo uspelo, če je zaupnost sporočila v uporabi, vendar 128-bitno šifriranje ni sklenjeno.

Lastnosti

ID članka: 239869 - Zadnji pregled: 6. februar 2006 - Revizija: 4.3
VELJA ZA
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Ključne besede: 
kbenv kbhowto KB239869

Pošlji povratne informacije

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com