NTLM 2 kimlik doğrulaması nasıl etkinleştirilir

Makale çevirileri Makale çevirileri
Makale numarası: 239869 - Bu makalenin geçerli olduğu ürünleri görün.
Önemli Bu makale, kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce, yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini nasıl geri yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986 Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

Tarihsel olarak, Windows NT ağ oturumu açarken sınama/yanıt kimlik doğrulamasının iki çeşidini destekler:
  • LAN Manager (LM) sınama/yanıt
  • Windows NT sınama(yanıt (NTLM sürüm 1 sınama/yanıt olarak da bilinir)
LM çeşidi, yüklü Windows 95, Windows 98 ve Windows 98 İkinci Sürüm istemci ve sunucu tabanıyla birlikte çalışmayı destekler. NTLM, Windows NT istemcileri ve sunucuları arasındaki bağlantılarda gelişmiş güvenlik sağlar. Windows NT ayrıca, ileti gizliliği (şifreleme) ve bütünlüğü (imzalama) sağlayan NTLM oturum güvenliği mekanizmasını destekler.

Bilgisayar donanımı ve yazılım algoritmalarındaki son gelişmeler, bu protokolleri kullanıcı parolalarını ele geçirmeye yönelik yaygın olarak yayımlanmış saldırılara karşı savunmasız kılmaktadır. Microsoft, müşterilerine daha güvenli ürünler sunma konusunda süregiden çabaları çerçevesinde, NTLM sürüm 2 adı verilen ve hem kimlik doğrulamasını hem de oturum güvenliği mekanizmasını önemli ölçüde iyileştiren bir yenilik geliştirmiştir. NTLM 2, Service Pack 4'ün (SP4) yayımlanmasından beri Windows NT 4.0'da kullanılmaktadır ve Windows 2000'de özgün olarak desteklenmektedir. Active Directory İstemci Uzantıları'nı yükleyerek Windows 98'e NTLM 2 desteği ekleyebilirsiniz.

Windows 95, Windows 98, Windows 98 İkinci Sürüm ve Windows NT 4.0 tabanlı tüm bilgisayarları yükselttikten sonra, istemci, sunucu ve etki alanı denetleyicilerini NTLM 2'yi (LM veya NTLM değil) kullanacak şekilde yapılandırarak kuruluşunuzun güvenliğini büyük ölçüde artırabilirsiniz.

Daha fazla bilgi

Active Directory İstemci Uzantısı'nı yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
288358 Active Directory istemci uzantısı nasıl yüklenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Windows 98 çalıştıran bir bilgisayara Active Directory İstemci Uzantıları'nı yüklediğinizde, NTLM 2 desteğini sağlayan sistem dosyaları da otomatik olarak yüklenir Bunlar Secur32.dll, Msnp32.dll, Vredir.vxd ve Vnetsup.vxd dosyalarıdır. Active Directory İstemci Uzantısı'nı kaldırırsanız, NTLM 2 sistem dosyaları kaldırılmaz, çünkü dosyalar hem gelişmiş güvenlik işlevleri hem de güvenlikle ilgili düzeltmeler sağlamaktadır.

Varsayılan olarak, NTLM 2 oturum güvenliği şifreleme 56 bitlik en fazla anahtar uzunluğuyla sınırlıdır. Sistem ABD'nin ihracat mevzuatına uyuyorsa, 128-bit anahtarlar için isteğe bağlı destek de otomatik olarak yüklenir. 128-bit NTLM 2 oturum güvenliği desteğini etkinleştirmek için, Active Directory İstemci Uzantısı'nı yüklemeden önce Microsoft Internet Explorer 4.x veya 5 sürümünü yüklemeniz ve 128-bit güvenlik bağlantı desteğine yükseltmeniz gerekir.

Yükleme sürümünüzü doğrulamak için:
  1. Windows Gezgini'ni kullanarak %SystemRoot%\System klasöründeki Secur32.dll dosyasını bulun.
  2. Dosyayı sağ tıklatın ve sonra Özellikler'i tıklatın.
  3. Sürüm sekmesini tıklatın. 56-bit sürümler için açıklama "Microsoft Win32 Security Services (Export Version)" (Microsoft Win32 Güvenlik Hizmetleri (İhraç Sürümü))" şeklindedir. 128-bit sürümler için açıklama "Microsoft Win32 Security Services (US and Canada Only)" (Microsoft Win32 Güvenlik Hizmetleri (Yalnızca ABD ve Kanada))" şeklindedir.
Windows 98 istemcilerde NTLM 2 kimlik doğrulamasını etkinleştirmeden önce, bu istemcilerden ağınızda oturum açan kullanıcılara yönelik tüm etki alanı denetleyicilerinin Windows NT 4.0 Service Pack 4 veya üstünü çalıştırdığını doğrulayın. (İstemci ve sunucu farklı etki alanlarına dahilse, etki alanı denetleyicileri Windows NT 4.0 Service Pack 6 çalıştırabilir.) NTLM 2'yi desteklemek için etki alanı denetleyicilerinde herhangi bir yapılandırma yapılması gerekmez. Etki alanı denetleyicilerini yalnızca NTLM 1 veya LM kimlik doğrulaması desteğini devre dışı bırakmak için yapılandırmanız gerekir. Bu protokol çeşitleri arasındaki farklar ve yalnızca NTLM 2 kullanmak üzere yükseltmenin önemi hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
147706 Windows NT'de LM kimlik doğrulaması nasıl devre dışı bırakılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Windows 95, Windows 98 veya Windows 98 İkinci Sürüm istemciler için NTLM 2'yi etkinleştirme

Uyarı Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.
Bir Windows 95, Windows 98 veya Windows 98 İkinci Sürüm istemcinin NTLM 2 kimlik doğrulamasını kullanmasını sağlamak için Dizin Hizmetleri İstemcisi'ni yükleyin. İstemcide NTLM 2'yi etkinleştirmek için şu adımları izleyin:
  1. Kayıt Defteri Düzenleyicisi'ni (Regedit.exe) başlatın.
  2. Kayıt defterinde şu anahtarı bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Yukarıdaki kayıt defteri anahtarının altında bir LSA kayıt defteri anahtarı oluşturun.
  4. Düzen menüsünde, Değer Ekle'yi tıklatın ve sonra aşağıdaki kayıt defteri değerini ekleyin:
    Değer Adı: LMCompatibility
    Veri Türü: REG_DWORD
    Değer: 3
    Geçerli Aralık: 0,3
    Açıklama: Bu parametre, ağda oturum açarken kullanılacak kimlik doğrulama modunu ve oturum güvenliğini belirtir. Etkileşimli oturum açma işlemlerini etkilemez.
    • Düzey 0 - LM ve NTLM yanıtı gönder; asla NTLM 2 oturum güvenliği kullanma. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve asla NTLM 2 oturum güvenliği kullanmaz; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulaması kabul eder.
    • Düzey 3 - Yalnızca NTLM 2 yanıtı gönder. İstemciler NTLM 2 kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLM 2 oturum güvenliği kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulaması kabul eder.
    Not Windows 95 istemciler için NTLM 2'yi etkinleştirmek için, Dağıtılmış Dosya Sistemi (DFS) İstemcisi'ni, WinSock 2.0 Güncelleştirmesi'ni ve Windows 2000 için Microsoft DUN 1.3'ü yükleyin.

  5. Kayıt Defteri Düzenleyicisi'nden çıkın.

Not Windows NT 4.0 ve Windows 2000 için kayıt defteri anahtarı LMCompatibilityLevel'dır, Windows 95 ve Windows 98 tabanlı bilgisayarlar için kayıt defteri anahtarı LMCompatibility'dir.

Başvuru için, Windows NT 4.0 ve Windows 2000 tarafından desteklenen tüm LMCompatibilityLevel değerleri şunlardır:
  • Düzey 0 - LM ve NTLM yanıtı gönder; asla NTLM 2 oturum güvenliği kullanma. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve asla NTLM 2 oturum güvenliği kullanmaz; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulaması kabul eder.
  • Düzey 1 - Anlaşma sağlanırsa NTLM 2 oturum güvenliği kullan. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLM 2 oturum güvenliği kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulaması kabul eder.
  • Düzey 2 - Yalnızca NTLM yanıtı gönder. İstemciler yalnızca NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLM 2 oturum güvenliği kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulaması kabul eder.
  • Düzey 3 - Yalnızca NTLM 2 yanıtı gönder. İstemciler NTLM 2 kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLM 2 oturum güvenliği kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulaması kabul eder.
  • Düzey 4 - Etki alanı denetleyicileri LM yanıtlarını reddeder. İstemciler NTLM kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLM 2 oturum güvenliği kullanır; etki alanı denetleyicileri LM kimlik doğrulamasını reddeder (yani, NTLM ve NTLM 2'yi kabul eder).
  • Düzey 5 - Etki alanı denetleyicileri LM ve NTLM yanıtlarını reddeder (yalnızca NTLM 2'yi kabul eder). İstemciler NTLM 2 kimlik doğrulaması kullanır ve sunucu destekliyorsa NTLM 2 oturum güvenliği kullanır; etki alanı denetleyicileri NTLM ve LM kimlik doğrulamasını reddeder (yalnızca NTLM 2'yi kabul eder).
Bir istemci bilgisayar sunucularla konuşurken yalnızca bir protokol kullanabilir. Örneğin, Windows 2000 tabanlı bilgisayarlara bağlanırken NTLM v2'yi, diğer sunuculara bağlanırken NTLM'yi kullanacak şekilde yapılandıramazsınız. Bu, tasarım gereğidir.

Aşağıdaki kayıt defteri anahtarını değiştirerek NTLM Güvenlik Desteği Sağlayıcısı (SSP) kullanan programlar tarafından kullanılan en düşük güvenlik düzeyini yapılandırabilirsiniz. Bu değerler LMCompatibilityLevel değerine bağımlıdır:
  1. Kayıt Defteri Düzenleyicisi'ni (Regedit.exe) başlatın.
  2. Kayıt defterinde şu anahtarı bulun:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. Düzen menüsünde, Değer Ekle'yi tıklatın ve sonra aşağıdaki kayıt defteri değerini ekleyin:
    Değer Adı: NtlmMinClientSec
    Veri Türü: REG_WORD
    Değer: aşağıdaki değerlerden biri:
    • 0x00000010- İleti bütünlüğü
    • 0x00000020- İleti gizliliği
    • 0x00080000- NTLM 2 oturum güvenliği
    • 0x20000000- 128-bit şifreleme
    • 0x80000000- 56-bit şifreleme

  4. Kayıt Defteri Düzenleyicisi'nden çıkın.
Bir istemci/sunucu programı bir bağlantı için oturum güvenliği sağlamak amacıyla NTLM SSP kullanıyorsa (veya NTLM SPP kullanan güvenli Uzaktan Yordam Çağrısı (RPC) kullanıyor) kullanılacak oturum güvenliği türü aşağıdaki şekilde belirlenir:
  • İstemci aşağıdaki öğelerden herhangi birini ister: iletini bütünlüğü, ileti gizliliği, NTLM 2 oturum güvenliği ve 128-bit veya 56-bit şifreleme.
  • Sunucu, istenen kümedeki hangi öğeleri istediğini belirterek yanıtlar.
  • Sonuç kümesi "anlaşılmış" kabul edilir.
NtlmMinClientSec değerini, istemci/sunucu bağlantılarında belirli bir oturum güvenliği üzerinde anlaşılmasına ya da başarısız olmasına neden olacak şekilde kullanabilirsiniz. Ancak, aşağıdaki hususlara dikkat etmelisiniz:
  • NtlmMinClientSec değeri olarak 0x00000010 kullanırsanız, ileti bütünlüğünde anlaşılmadığında bağlantı kurulamaz.
  • NtlmMinClientSec değeri olarak 0x00000020 kullanırsanız, ileti gizliliğinde anlaşılmadığında bağlantı kurulamaz.
  • NtlmMinClientSec değeri olarak 0x00080000 kullanırsanız, NTLM 2 oturum güvenliğinde anlaşılmadığında bağlantı kurulamaz.
  • NtlmMinClientSec değeri olarak 0x20000000 kullanırsanız, ileti gizliliği kullanılıyor olduğunda ancak 128-bit şifrelemede anlaşılmadığında bağlantı kurulamaz.

Özellikler

Makale numarası: 239869 - Last Review: 17 Mayıs 2006 Çarşamba - Gözden geçirme: 4.3
Bu makaledeki bilginin uygulandigi durum:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 İkinci Sürüm
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Anahtar Kelimeler: 
kbenv kbhowto KB239869

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com