Identifikator ?lanka: 239869 - Prika?ite proizvode na koje se odnosi ovaj ?lanak.
Va?no Ovaj ?lanak sadr?i informacije o menjanju registra. Pre nego ?to izmenite registar, postarajte se da napravite rezervnu kopiju i uverite se da ste shvatili kako da povratite registar ukoliko se pojavi problem. Za informacije o tome kako da napravite rezervnu kopiju, povratite i uredite registar, kliknite na slede?i broj ?lanka da biste videli ?lanak u Microsoft bazi znanja:
256986 Opis Microsoft Windows registra (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)
Pro?iri sve | Skupi sve

Na ovoj stranici

REZIME

Istorijski, operativni sistem Windows NT podr?ava dve varijante provere identiteta izazova/odgovora za mre?na prijavljivanja:
  • LAN Manager (LM) izazov/odgovor
  • Windows NT izazov/odgovor (poznat i kao NTLM verzija 1 izazov/odgovor)
LM varijanta dozvoljava rad sa instaliranom bazom za klijente i servere operativnih sistema Windows 95, Windows 98 i Windows 98 Second Edition. NTLM omogu?ava pobolj?anu bezbednost veza izme?u Windows NT klijenata i servera. Windows NT tako?e podr?ava bezbednosni mehanizam NTLM sesije koji je zadu?en za poverljivost (?ifrovanje) i integritet (potpisivanje) poruka.

Nedavna pobolj?anja u algoritmima ra?unarskih hardvera i softvera u?inila su ove protokole podlo?nima ?irokom spektru objavljenih napada za pribavljanje korisni?kih lozinki. U upornim nastojanjima da isporu?i bezbednije proizvode svojim korisnicima, kompanija Microsoft je razvila pobolj?anje zvano NTLM verzija 2, koje zna?ajno pobolj?ava sigurnosne mehanizme provere identiteta i sesija. NTLM 2 je dostupan za operativni sistem Windows NT 4.0 od objavljivanja Servisnog paketa 4 (SP4) i originalno je podr?an od strane operativnog sistema Windows 2000. NTLM 2 podr?ku mo?ete dodati operativnom sistemu Windows 98 putem instaliranja Klijentskog pro?irenja aktivnog kataloga.

Nakon nadogradnje svih ra?unara koji rade pod operativnim sistemima Windows 95, Windows 98, Windows 98 Second Edition i Windows NT 4.0, mo?ete da uveliko pobolj?ate bezbednost Va?e organizacije konfigurisanjem kontrolora klijenata, servera i domena, tako da oni koriste samo NTLM 2 (a ne LM ili NTLM).

DODATNE INFORMACIJE

Za vi?e informacija o tome kako se instalira odgovaraju?e Klijentsko pro?irenje aktivnog kataloga kliknite na slede?i broj ?lanka da biste videli ?lanak u Microsoft bazi znanja:
288358 Kako da instalirate Klijentsko pro?irenje aktivnog kataloga (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)
Kada instalirate Klijentska pro?irenja aktivnog kataloga na ra?unar koji radi pod operativnim sistemom Windows 98, sistemske datoteke koje obezbe?uju NTLM 2 podr?ku se tako?e instaliraju automatski. Te datoteke su Secur32.dll, Msnp32.dll, Vredir.vxd i Vnetsup.vxd. Ako uklonite Klijentsko pro?irenje aktivnog kataloga, NTLM 2 sistemske datoteke se ne uklanjaju jer one obezbe?uju i pove?anu bezbednosnu funkcionalnost i bezbednosne zakrpe.

Po podrazumevanoj vrednosti, bezbednosno ?ifrovanje NTLM 2 sesije je ograni?eno na maksimalnu du?inu klju?a od 56 bita. Opcionalna podr?ka za 128-bitne klju?eve je automatski instalirana ako sistem zadovoljava izvozne propise SAD. Da biste omogu?ili 128-bitnu bezbednosnu podr?ku NTLM 2 sesije, pre instaliranja Klijentskog pro?irenja aktivnog kataloga morate instalirati program Microsoft Internet Explorer 4.x ili 5 i nadograditi 128-bitnu podr?ku bezbednosne veze.

Da biste potvrdili Va?u instalacionu verziju:
  1. Koristite program Windows Explorer da biste locirali datoteku Secur32.dll u fascikli %SystemRoot%\System.
  2. Kliknite desnim tasterom mi?a na datoteku i zatim izaberite stavku Svojstva.
  3. Izaberite karticu Verzija. Opis 56-bitne verzije je ?Microsoft Win32 Security Services (Export Version)-Microsoft Win32 Bezbednosne usluge (verzija za izvoz).? Opis 128-bitne verzije je ?Microsoft Win32 Security Services (US and Canada Only)-Microsoft Win32 Bezbednosne usluge (samo za SAD i Kanadu).?
Pre nego ?to omogu?ite NTLM 2 proveru identiteta za klijente operativnog sistema Windows 98, potvrdite da svi kontrolori domena za korisnike koji se prijavljuju na Va?u mre?u sa ovih klijenata koriste Windows NT 4.0 Servisni paket 4 ili noviju verziju. (Kontrolori domena mogu da koriste Windows NT 4.0 Servisni paket 6 ako su klijent i server pridru?eni razli?itim domenima.) Konfiguracije kontrolora domena nije potrebna za podr?ku NTLM 2. Kontrolore domena morate konfigurisati jedino da biste onemogu?ili podr?ku za proveru identiteta NTLM 1 ili LM. Za vi?e informacija o razlikama izme?u ovih varijanti protokola i va?nosti nadogradnje za isklju?ivo kori??enje NTLM 2, kliknite na slede?i broj ?lanka da biste videli ?lanak u Microsoft bazi znanja:
147706 Kako da onemogu?ite LM proveru identiteta za operativni sistem Windows NT (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)

Omogu?avanje NTLM 2 za klijente operativnih sistema Windows 95, Windows 98 ili Windows 98 Second Edition

Upozorenje Ako nepravilno koristite program Registry Editor, mo?ete izazvati ozbiljne probleme koji mogu zahtevati ponovno instaliranje Va?eg operativnog sistema. Microsoft ne mo?e da garantuje da ste u stanju da re?ite probleme koji nastaju usled nepravilnog kori??enja programa Registry Editor. Program Registry Editor koristite na sopstveni rizik.
Da biste omogu?ili klijentima operativnih sistema Windows 95, Windows 98 ili Windows 98 Second Edition NTLM 2 proveru identiteta, instalirajte program Directory Services Client. Da biste aktivirali NTLM 2 na klijentskom ra?unaru, sledite ove korake:
  1. Pokrenite program Registry Editor (Regedit.exe).
  2. Prona?ite u registru slede?i klju? i kliknite na njega:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Kreirajte LSA registarski klju? u registarskom klju?u prikazanom iznad.
  4. U meniju Ure?ivanje, izaberite stavku Dodaj vrednost i zatim dodajte slede?u registarsku vrednost:
    Ime vrednosti: LMCompatibility
    Tip podataka: REG_DWORD
    Vrednost: 3
    Opseg valjanosti: 0,3
    Opis: Ovaj parametar odre?uje re?im provere identiteta i bezbednosti sesije koji se koristi za mre?na prijavljivanja. On ne uti?e na interaktivna prijavljivanja.
    • Nivo 0 - Po?alji LM i NTLM odgovor; nikad ne koristi NTLM 2 bezbednost sesije. Klijenti ?e koristiti LM i NTLM proveru identiteta i nikada ne?e koristiti NTLM 2 bezbednost sesije; kontrolori domena prihvataju LM, NTLM i NTLM 2 proveru identiteta.
    • Nivo 3 - Po?alji samo NTLM 2 odgovor. Klijenti ?e koristiti NTLM 2 proveru identiteta i NTLM 2 bezbednost sesije ako ga server podr?ava; kontrolori domena prihvataju LM, NTLM i NTLM 2 proveru identiteta.
    Napomena Da biste omogu?ili NTLM 2 za klijente operativnog sistema Windows 95, instalirajte programe Distributed File System (DFS) Client, WinSock 2.0 Update i Microsoft DUN 1.3 za Windows 2000.

  5. Iza?ite iz programa Registry Editor.

Napomena Za operativne sisteme Windows NT 4.0 i Windows 2000 registarski klju? je ?LMCompatibilityLevel?, a za ra?unare koji rade pod sistemima Windows 95 i Windows 98, registarski klju? je ?LMCompatibility?.

Napominjemo, pun opseg vrednosti za vrednost ?LMCompatibilityLevel? koje podr?avaju sisteme Windows NT 4.0 i Windows 2000 uklju?uje:
  • Nivo 0 - Po?alji LM i NTLM odgovor; nikad ne koristi NTLM 2 bezbednost sesije. Klijenti koriste LM i NTLM proveru identiteta i nikada ne koriste NTLM 2 bezbednost sesije; kontrolori domena prihvataju LM, NTLM i NTLM 2 proveru identiteta.
  • Nivo 1 - Koristi NTLM 2 bezbednost sesije ako je utvr?ena. Klijenti koriste LM i NTLM proveru identiteta i koriste NTLM 2 bezbednost sesije ako je server podr?ava; kontrolori domena prihvataju LM, NTLM i NTLM 2 proveru identiteta.
  • Nivo 2 - Po?alji samo NTLM odgovor. Klijenti koriste samo LM i NTLM proveru identiteta i koriste NTLM 2 bezbednost sesije ako je server podr?ava; kontrolori domena prihvataju LM, NTLM i NTLM 2 proveru identiteta.
  • Nivo 3 - Po?alji samo NTLM 2 odgovor. Klijenti koriste NTLM 2 proveru identiteta i NTLM 2 bezbednost sesije ako je server podr?ava; kontrolori domena prihvataju LM, NTLM i NTLM 2 proveru identiteta.
  • Nivo 4 - Kontrolori domena odbijaju LM odgovore. Klijenti koriste NTLM 2 proveru identiteta i NTLM 2 bezbednost sesije ako je server podr?ava; kontrolori domena odbijaju LM proveru identiteta (tj. prihvataju NTLM i NTLM 2).
  • Nivo 5 - Kontrolori domena odbijaju LM i NTLM odgovore (prihvataju samo NTLM 2). Klijenti koriste NTLM 2 proveru identiteta i NTLM 2 bezbednost sesije ako je server podr?ava; kontrolori domena odbijaju NTLM i LM proveru identiteta (tj. prihvataju NTLM 2).
Ra?unar klijenta mo?e da koristi samo jedan protokol prilikom komunikacije sa svim serverima. Ne mo?ete ga konfigurisati tako da, na primer, koristi NTLM v2 da bi se povezao sa serverima baziranim na sistemu Windows 2000 i da zatim koristi NTLM za povezivanje sa ostalim serverima. Tako je dizajniran.

Mo?ete konfigurisati minimalnu bezbednost za programe koji koriste NTLM dobavlja?a bezbednosne podr?ke (SSP) modifikovanjem slede?eg registarskog klju?a. Ove vrednosti zavise od vrednosti ?LMCompatibilityLevel?:
  1. Pokrenite program Registry Editor (Regedit.exe).
  2. U registru prona?ite slede?i klju?:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. U meniju Ure?ivanje, izaberite stavku Dodaj vrednost i zatim dodajte slede?u registarsku vrednost:
    Ime vrednosti: NtlmMinClientSec
    Tip podataka: REG_WORD
    Vrednost: jedna od vrednosti ispod:
    • 0x00000010- Integritet poruke
    • 0x00000020- Poverljivost poruke
    • 0x00080000- NTLM 2 bezbednost sesije
    • 0x20000000- 128-bitno ?ifrovanje
    • 0x80000000-56-bitno ?ifrovanje

  4. Iza?ite iz programa Registry Editor.
Ako program klijenta/servera koristi NTLM SSP (ili koristi bezbedni Remote Procedure Call (poziv za daljinsku proceduru) [RPC], koji koristi NTLM SSP) za pribavljanje bezbednosti sesije za vezu, tip bezbednosti sesije koja ?e se koristiti odre?uje se prema slede?em:
  • Klijent zahteva neke ili sve od slede?ih stavki: integritet poruke, poverljivost poruke, NTLM 2 bezbednost sesije i 128-bitno ili 56-bitno ?ifrovanje.
  • Server odgovara, navode?i stavke iz zahtevanog skupa koje ?eli.
  • Rezultiraju?i skup se smatra ?utvr?enim?.
Mo?ete koristiti vrednost ?NtlmMinClientSec? kako biste izazvali veze klijenta/servera da ili utvrde dati kvalitet bezbednosti sesije ili da ne uspeju. Me?utim, treba da imate na umu slede?e stavke:
  • Ako koristite 0x00000010 za vrednost ?NtlmMinClientSec?, veza ne uspeva ako nije utvr?en integritet poruke.
  • Ako koristite 0x00000020 za vrednost ?NtlmMinClientSec?, veza ne uspeva ako nije utvr?ena poverljivost poruke.
  • Ako koristite 0x00080000 za vrednost ?NtlmMinClientSec?, veza ne uspeva ako nije utvr?ena NTLM 2 bezbednost sesije.
  • Ako koristite 0x20000000 za vrednost ?NtlmMinClientSec?, veza ne uspeva ako je poverljivost poruke u upotrebi ali nije utvr?eno 128-bitno ?ifrovanje.

Svojstva

Identifikator ?lanka: 239869 - Poslednji pregled: 3. februar 2006. - Revizija: 4.3
ODNOSI SE NA
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Klju?ne re?i: 
kbenv kbhowto KB239869

Po?aljite povratne informacije

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com