วิธีการเปิดใช้งานการรับรองความถูกต้องของ NTLM 2

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 239869 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

historically, Windows NT สนับสนุนตัวแปรที่สองของการตอบสนอง/ที่รองรับการรับรองความถูกต้องสำหรับ logons เครือข่าย:
  • LAN Manager (LM) ที่รองรับ/ตอบ
  • windows NT รองรับ/ตอบ (เรียกอีกอย่างว่า NTLM รุ่น 1 รองรับ/ตอบ)
ตัวแปร LM ช่วยให้การทำงานร่วมกันกับฐานที่ติดตั้งของ Windows 95, Windows 98 และ Windows 98 Second Edition ไคลเอนต์และเซิร์ฟเวอร์ ntlm ให้การปรับปรุงความปลอดภัยสำหรับการเชื่อมต่อระหว่างไคลเอนต์ Windows NT และเซิร์ฟเวอร์ Windows NT ยังสนับสนุนกลไกความปลอดภัยของเซสชัน NTLM ที่ความลับของข้อความ (การเข้ารหัสลับ) และความถูกต้อง (เซ็น)

ปรับปรุงล่าสุดในคอมพิวเตอร์ฮาร์ดแวร์และซอฟต์แวร์ algorithms ทำโพรโทคอลเหล่านี้ต่อการโจมตีที่มีการเผยแพร่ต่าง ๆ สำหรับการขอรับรหัสผ่านของผู้ใช้ ในการต่อเนื่อง efforts การส่งมอบผลิตภัณฑ์ที่มีความปลอดภัยมากขึ้นให้แก่ลูกค้าของ Microsoft ได้พัฒนาขึ้นเพิ่มประสิทธิภาพการ เรียก NTLM รุ่น 2 ที่ปรับปรุงการทั้งการรับรองความถูกต้องและเซสชันกลไกการรักษาความปลอดภัยมาก ขึ้น NTLM 2 ได้พร้อมใช้งานสำหรับ Windows NT 4.0 ตั้งแต่ Service Pack 4 (SP4) ถูกนำออกใช้ และจะได้รับการสนับสนุน natively ใน Windows 2000 คุณสามารถเพิ่มการสนับสนุน NTLM 2 กับ Windows 98 โดยการติดตั้งส่วนขยายไคลเอ็นต์ของไดเรกทอรีที่ใช้งานอยู่

หลังจากคุณปรับรุ่นคอมพิวเตอร์ทั้งหมดที่ใช้งานบน Windows 95, Windows 98, Windows 98 Second Edition และ Windows NT 4.0 คุณสามารถเพิ่มการรักษาความปลอดภัยขององค์กรของคุณ โดยการตั้งค่าคอนฟิกไคลเอนต์ เซิร์ฟเวอร์ และตัวควบคุมโดเมนจะใช้เฉพาะ NTLM 2 (ไม่ LM หรือ NTLM) เป็นอย่างมาก

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้งเหมาะสม Active Directory ไคลเอ็นต์ขยาย คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
288358วิธีการติดตั้งส่วนขยายไคลเอ็นต์ของ Active Directory
เมื่อคุณติดตั้งส่วนขยายไคลเอ็นต์ของไดเรกทอรีที่ใช้งานอยู่บนคอมพิวเตอร์ที่ใช้ Windows 98 แฟ้มระบบที่มีการสนับสนุน NTLM 2 จะถูกติดตั้งโดยอัตโนมัติเช่นกัน แฟ้มเหล่านี้มี Secur32.dll, Msnp32.dll, Vredir.vxd และ Vnetsup.vxd ถ้าคุณเอาออกส่วนขยายไคลเอ็นต์ของไดเรกทอรีที่ใช้งานอยู่ แฟ้มระบบของ NTLM 2 จะไม่เอาออกเนื่องจากแฟ้มให้ฟังก์ชันการทำงานของความปลอดภัยขั้นสูงและแก้ไขรักษาความปลอดภัย

โดยค่าเริ่มต้น การเข้ารหัสลับด้านความปลอดภัยในเซสชัน NTLM 2 ถูกจำกัดความยาวคีย์สูงสุดของ 56 บิต การสนับสนุนเพิ่มเติมของคีย์แบบ 128 บิตถูกติดตั้งโดยอัตโนมัติถ้าระบบ satisfies ข้อบังคับการส่งออกของสหรัฐอเมริกา เมื่อต้องการเปิดใช้งานการสนับสนุนการรักษาความปลอดภัยเซสชันของ NTLM 2 128 บิต คุณต้องติดตั้ง Microsoft Internet Explorer 4.x หรือ 5 และปรับรุ่นเป็น 128-บิตให้ปลอดภัยสนับสนุนการเชื่อมต่อก่อนที่คุณติดตั้งส่วนขยายไคลเอ็นต์ของไดเรกทอรีที่ใช้งานอยู่

เมื่อต้องการตรวจสอบรุ่นของคุณติดตั้ง:
  1. ใช้ Windows Explorer เพื่อค้นหาแฟ้ม Secur32.dll ในโฟลเดอร์ %SystemRoot%\System
  2. คลิกขวาแฟ้ม และจากนั้น คลิกคุณสมบัติ.
  3. คลิกการรุ่นแท็บ คำอธิบายสำหรับเวอร์ชัน 56 บิตเป็น "ความปลอดภัยของ Microsoft Win32 Services (รุ่นที่ส่งออก) คำอธิบายสำหรับเวอร์ชัน 128 บิตเป็น "Microsoft Win32 Security Services (สหรัฐอเมริกาและแคนาดาเท่านั้น)
ก่อนที่คุณเปิดใช้งานการรับรองความถูกต้องของ NTLM 2 สำหรับเครื่องไคลเอนต์ Windows 98 ตรวจสอบว่า ตัวควบคุมโดเมนทั้งหมดสำหรับผู้ใช้ที่ล็อกออนเข้าสู่เครือข่ายของคุณจากไคลเอ็นต์เหล่านี้กำลังเรียกใช้ Windows NT 4.0 Service Pack 4 หรือรุ่นที่ใหม่กว่า (ตัวควบคุมโดเมนที่สามารถเรียกใช้ Windows NT 4.0 Service Pack 6 หากไคลเอนต์และเซิร์ฟเวอร์จะเข้าร่วมกับโดเมนต่าง ๆ) ไม่มีการกำหนดค่าตัวควบคุมโดเมนไม่จำเป็นในการสนับสนุน NTLM 2 คุณต้องกำหนดค่าตัวควบคุมโดเมนเท่านั้นให้ปิดการใช้งานการสนับสนุนสำหรับการรับรองความถูกต้อง NTLM 1 หรือ LMสำหรับข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างระหว่างตัวแปรเหล่านี้โพรโทคอลและความสำคัญของการปรับรุ่นให้ใช้เฉพาะ NTLM 2 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
147706วิธีการรับรองความถูกต้องของ LM การปิดใช้งานบน Windows NT

การเปิดใช้งาน NTLM 2 สำหรับเครื่องไคลเอนต์ Windows 95, Windows 98 หรือ Windows 98 Second Edition

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows

เมื่อต้องการเปิดใช้งานกับ Windows 95, Windows 98 หรือไคลเอนต์ Windows 98 Second Edition สำหรับการรับรองความถูกต้องของ NTLM 2 ติดตั้งไคลเอ็นต์ของบริการไดเรกตอรี การเปิดใช้งานแบบ NTLM 2 บนไคลเอนต์ ดำเนินการดังต่อไปนี้:
  1. เริ่มการทำงานของตัวแก้ไขรีจิสทรี (Regedit.exe)
  2. ค้นหา และคลิกที่คีย์ต่อไปนี้ในรีจิสทรี:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. สร้างการ LSA รีจิสทรีคีย์ในรีจิสทรีคีย์ที่ระบุไว้ด้านบน
  4. ในการแก้ไขเมนู คลิกเพิ่มค่าแล้ว เพิ่มค่ารีจิสทรีต่อไปนี้:
    ค่าชื่อ: LMCompatibility
    ชนิดของข้อมูล: REG_DWORD
    ค่า: 3
    ช่วงที่ถูกต้อง: 0,3
    คำอธิบาย: พารามิเตอร์นี้ระบุวิธีการรับรองความถูกต้องและการรักษาความปลอดภัยของเซสชันที่จะใช้สำหรับเครือข่าย logons คุณไม่มีผลต่อ logons แบบโต้ตอบ
    • ระดับ 0 - LM ส่งและการตอบสนอง NTLM ไม่มีความปลอดภัยของเซสชันที่ใช้ NTLM 2 ไคลเอนต์จะใช้การรับรองความถูกต้อง LM และ NTLM และไม่ต้องใช้การรักษาความปลอดภัยของเซสชัน NTLM 2 ตัวควบคุมโดเมนยอมรับการรับรองความถูกต้อง LM, NTLM และ NTLM 2
    • Level 3 - Send NTLM 2 response only. Clients will use NTLM 2 authentication and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication.
    หมายเหตุ:To enable NTLM 2 for Windows 95 Clients, install Distributed File System (DFS) Client, WinSock 2.0 Update, and Microsoft DUN 1.3 for Windows 2000.

  5. ออกจากโปรแกรม Registry Editor

หมายเหตุ:For Windows NT 4.0 and Windows 2000 the registry key is LMCompatibilityLevel, and for Windows 95 and Windows 98-based computers, the registery key is LMCompatibility.

For reference, the full range of values for the LMCompatibilityLevel value that are supported by Windows NT 4.0 and Windows 2000 include:
  • Level 0 - Send LM and NTLM response; never use NTLM 2 session security. Clients use LM and NTLM authentication, and never use NTLM 2 session security; domain controllers accept LM, NTLM, and NTLM 2 authentication.
  • Level 1 - Use NTLM 2 session security if negotiated. Clients use LM and NTLM authentication, and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication.
  • Level 2 - Send NTLM response only. Clients use only NTLM authentication, and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication.
  • Level 3 - Send NTLM 2 response only. Clients use NTLM 2 authentication, and use NTLM 2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLM 2 authentication.
  • Level 4 - Domain controllers refuse LM responses. Clients use NTLM authentication, and use NTLM 2 session security if the server supports it; domain controllers refuse LM authentication (that is, they accept NTLM and NTLM 2).
  • Level 5 - Domain controllers refuse LM and NTLM responses (accept only NTLM 2). Clients use NTLM 2 authentication, use NTLM 2 session security if the server supports it; domain controllers refuse NTLM and LM authentication (they accept only NTLM 2).
A client computer can only use one protocol in talking to all servers. You cannot configure it, for example, to use NTLM v2 to connect to Windows 2000-based servers and then to use NTLM to connect to other servers. นี่คือ โดยการออกแบบ

You can configure the minimum security that is used for programs that use the NTLM Security Support Provider (SSP) by modifying the following registry key. These values are dependent on the LMCompatibilityLevel value:
  1. Start Registry Editor (Regedit.exe).
  2. ค้นหาคีย์ต่อไปนี้ในรีจิสทรี:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. ในการแก้ไขเมนู คลิกเพิ่มค่าแล้ว เพิ่มค่ารีจิสทรีต่อไปนี้:
    Value Name: NtlmMinClientSec
    Data Type: REG_WORD
    ค่า: หนึ่งในค่าด้านล่าง:
    • ความสมบูรณ์ของข้อความ 0x00000010
    • ความลับของข้อความ 0x00000020
    • ความปลอดภัยของเซสชัน NTLM 2 0x00080000-
    • การเข้ารหัสลับ 0x20000000 128-บิต
    • การเข้ารหัสลับ 0x80000000 56 บิต

  4. ออกจากโปรแกรม Registry Editor
ถ้าโปรแกรมไคลเอ็นต์/เซิร์ฟเวอร์ใช้ SSP NTLM (หรือใช้รักษาความปลอดภัยกระบวนงานเรียกระยะไกล [RPC], ซึ่งใช้ SSP NTLM) เพื่อให้การรักษาความปลอดภัยของเซสชันสำหรับการเชื่อมต่อ ชนิดของการรักษาความปลอดภัยของเซสชันที่ใช้ถูกกำหนดเป็นดังนี้:
  • ไคลเอ็นต์ร้องขอการใด ๆ หรือทั้งหมดในรายการต่อไปนี้: ข้อความแสดงข้อความ ความลับของข้อความ ความปลอดภัยของเซสชัน NTLM 2 และเข้ารหัสลับ 128 บิต หรือ 56 บิต
  • ตอบสนองเซิร์ฟเวอร์ต่อ การแสดงรายการใดของชุดที่ร้องขอต้อง
  • ชุดผลลัพธ์จะ said เพื่อที่ได้รับ "negotiated
คุณสามารถใช้ค่า NtlmMinClientSec เพื่อทำให้ไคลเอ็นต์/เซิร์ฟเวอร์เชื่อมต่ออย่างใดอย่างหนึ่งเจรจาคุณภาพที่กำหนดของการรักษาความปลอดภัยของเซสชันได้ หรือไม่สำเร็จ อย่างไรก็ตาม คุณควรพิจารณารายการต่อไปนี้:
  • ถ้าคุณใช้ 0x00000010 สำหรับค่า NtlmMinClientSec การเชื่อมต่อไม่สำเร็จหากไม่มี negotiated ความสมบูรณ์ของข้อความ
  • ถ้าคุณใช้ 0x00000020 สำหรับค่า NtlmMinClientSec การเชื่อมต่อไม่สำเร็จหากไม่มี negotiated ความลับของข้อความ
  • ถ้าคุณใช้ 0x00080000 สำหรับค่า NtlmMinClientSec การเชื่อมต่อไม่สำเร็จหากมีการรักษาความปลอดภัยของเซสชัน NTLM 2 ถูก negotiated ไม่
  • ถ้าคุณใช้ 0x20000000 สำหรับค่า NtlmMinClientSec การเชื่อมต่อไม่สำเร็จหากความลับของข้อความที่ถูกใช้งาน แต่จะไม่มี negotiated เข้ารหัสแบบ 128 บิต

คุณสมบัติ

หมายเลขบทความ (Article ID): 239869 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 95
Keywords: 
kbenv kbhowto kbmt KB239869 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:239869

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com