文章編號: 239869 - 上次校閱: 2007年1月25日 - 版次: 4.7

如何啟用 NTLM 2 驗證

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

在過去,Windows NT 會支援兩個變種的挑戰/回應驗證進行網路登入:
  • 區域網路管理員 (LM) 挑戰/回應
  • Windows NT 挑戰/回應 (也稱為 NTLM 第 1 版挑戰/回應)
LM Variant 允許與已安裝的 Windows 95、 Windows 98 和 Windows 98 第二版用戶端和伺服器的基底的互通性。 NTLM 提供改善的安全性的 Windows NT 用戶端與伺服器之間的連線。Windows NT 也支援 NTLM 工作階段安全性機制,提供訊息機密性 (加密) 及完整性 (簽章)。

改良電腦硬體及軟體的演算法,最近所做這些通訊協定用於取得使用者密碼的廣泛發佈攻擊。在傳遞更安全的產品到其客戶其持續努力,Microsoft 已發展出一個增強功能稱為 NTLM 版本 2,大幅改善驗證和工作階段安全性機制。NTLM 2 可能後服務都已經供 Windows NT 4.0 發行套件 4 (SP4),它在 Windows 2000 原生支援。您可以加入到 Windows 98 的 NTLM 2 的支援,藉由安裝 Active Directory 用戶端擴充功能。

根據 Windows 95]、 [Windows 98]、 [Windows 98 第二版] 和 [Windows NT 4.0 的所有電腦,您都升級後您可以大幅提升您組織的安全性藉由設定用戶端、 伺服器及網域控制站使用只 NTLM 2 (不 LM 或 NTLM)。
回此頁最上方

其他相關資訊

如其他有關安裝適當的 Active Directory 用戶端延伸模組的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
288358? (http://support.microsoft.com/kb/288358/ ) 如何安裝 Active Directory 的用戶端延伸
當您在上執行 Windows 98 的電腦安裝 Active Directory 用戶端擴充功能時提供 NTLM 2 支援 「 系統檔案會也會自動安裝。這些檔案是 Secur32.dll、 Msnp32.dll、 Vredir.vxd 及 Vnetsup.vxd。如果您移除 Active Directory 用戶端延伸,NTLM 2 系統檔案會不會移除,因為檔案提供增強的安全性功能與安全性相關修正。

預設情況下,會限定為最大的金鑰長度為 56 位元的 NTLM 2 工作階段安全性加密。如果系統滿足美國匯出法規,自動已安裝選擇性支援 128 位元的金鑰。若要以便 128 位元 NTLM 2 的工作階段安全性支援,您必須安裝 Microsoft Internet Explorer 4.x 或 5 和升級至 128 位元安全連線支援安裝 Active Directory 用戶端延伸模組之前。

若要確認您的安裝版本:
  1. 使用 Windows 檔案總管來 %SystemRoot%\System 資料夾中找出 Secur32.dll 檔案。
  2. 在檔案上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 按一下 [版本] 索引標籤。56 位元版本的描述是 Microsoft Win32 安全性服務 (匯出的版本) >。128 位元版本的描述是 Microsoft Win32 安全性服務 (美國和加拿大僅) >。
啟用 Windows 98 用戶端的 NTLM 2 驗證之前,驗證從這些用戶端登入您的網路使用者的所有網域控制站正在都執行 Windows NT 4.0 Service Pack 4 或更新版本。(網域控制站可以執行 Windows NT 4.0 服務封包 6 如果用戶端和伺服器聯結至不同的網域)。需要支援 NTLM 2 沒有網域控制站設定。您必須設定網域控制站,只以停用 NTLM 1 或 LM 驗證的支援。取得更多資訊有關這些通訊協定變種和升級使用只 NTLM 2 的重要性之間的差異按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
147706? (http://support.microsoft.com/kb/147706/ ) 如何停用 LM 驗證在 Windows NT 上
回此頁最上方

Windows 95、 Windows 98 或 Windows 98 第二版用戶端啟用 NTLM 2

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄

若要啟用 Windows 95、 Windows 98 或 NTLM 2 驗證的 Windows 98 第二版用戶端,安裝目錄服務用戶端。若要在用戶端啟動 NTLM 2,請依照下列步驟執行:
  1. 啟動 「 登錄編輯程式 」 (Regedit.exe)。
  2. 找出並按一下下列登錄機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. 在上面列出的登錄機碼中建立 LSA 登錄機碼。
  4. 在 [編輯] 功能表上按一下 [新增值],並再新增下列登錄值:
    數值名稱: LMCompatibility
    資料類型: REG_DWORD
    值: 3
    有效範圍: 0,3
    描述: 此參數指定驗證與要用來進行網路登入工作階段安全性的模式。它並不會影響互動式登入。
    • 層級 0-傳送 LM 和 NTLM 回應; 永遠不會使用 NTLM 2 工作階段安全性。用戶端會使用 LM 和 NTLM 驗證及永遠不會使用 NTLM 2 工作階段安全性,網域控制站接受 LM、 NTLM 及 NTLM 2 驗證。
    • 層級 3-傳送只有 NTLM 2 回應。用戶端會使用 NTLM 2 驗證及使用 NTLM 2 工作階段安全性,如果伺服器支援,網域控制站接受 LM、 NTLM 及 NTLM 2 驗證。
    附註若要以便 Windows 95 用戶端的 NTLM 2 安裝 [分散式檔案系統 (DFS) 用戶端、 WinSock 2.0 更新,以及 Windows 2000 的 Microsoft DUN 1.3]。

  5. 結束 「 登錄編輯程式 」。

附註Windows NT 4.0 和 Windows 2000 登錄機碼是 LMCompatibilityLevel,而 Windows 95 與 Windows 98 電腦,registery 索引鍵是 LMCompatibility。

參考,完整範圍 LMCompatibilityLevel 值的 Windows NT 4.0 和 Windows 2000 支援的值包括:
  • 層級 0-傳送 LM 和 NTLM 回應; 永遠不會使用 NTLM 2 工作階段安全性。用戶端使用 LM 和 NTLM 驗證和永遠不會使用 NTLM 2 工作階段安全性 ; 網域控制站接受 LM,NTLM,為 2 則 NTLM 驗證。
  • 層級 1-使用 NTLM 2 工作階段安全性如果交涉。 用戶端使用 LM 和 NTLM 驗證,並使用 NTLM 2 工作階段安全性,如果伺服器支援,網域控制站接受 LM、 NTLM 及 NTLM 2 驗證。
  • 層級 2-傳送 NTLM 回應只。用戶端使用只 NTLM 驗證及使用 NTLM 2 工作階段安全性如果伺服器支援 ; 網域控制站接受 LM,NTLM,為 2 則 NTLM 驗證。
  • 層級 3-傳送只有 NTLM 2 回應。用戶端使用 NTLM 2 驗證和使用 NTLM 2 工作階段安全性如果伺服器支援 ; 網域控制站接受 LM,NTLM,為 2 則 NTLM 驗證。
  • 層級 4-網域控制站拒絕 LM 回應。用戶端使用 NTLM 驗證,並使用 NTLM 2 工作階段安全性,如果伺服器支援 ; 網域控制站拒絕 LM 驗證 (也就是他們接受 NTLM 和 NTLM 2)。
  • 層級 5-網域控制站拒絕 LM 和 NTLM 回應 (接受只 NTLM 2)。用戶端使用 NTLM 2 驗證使用 NTLM 2 工作階段安全性,如果伺服器支援 ; 網域控制站拒絕 NTLM 和 LM 驗證 (他們接受只 NTLM 2)。
用戶端電腦只能使用一項通訊協定中所有伺服器與都交談。您無法將它設定,例如使用 NTLM v2 來連線到 Windows 2000 為基礎的伺服器,然後使用 NTLM 連線至其他伺服器。這是經過設計規劃的。

您可以設定最小值用於使用 NTLM 安全性支援提供者 (SSP) 藉由修改下列登錄機碼的程式的安全性。這些值是取決於 [LMCompatibilityLevel 值:
  1. 啟動 「 登錄編輯程式 」 (Regedit.exe)。
  2. 在登錄中找到下列機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. 在 [編輯] 功能表上按一下 [新增值],並再新增下列登錄值:
    數值名稱: NtlmMinClientSec
    資料型別: REG_WORD
    值: 其中一個值以下:
    • 0x00000010 訊息完整性
    • 0x00000020 訊息機密性
    • 0x00080000-NTLM 2 工作階段安全性
    • 0x20000000 128 位元加密
    • 0x80000000 56 位元加密

  4. 結束 「 登錄編輯程式 」。
如果用戶端/伺服器程式使用 NTLM SSP (或使用安全的遠端程序呼叫 [RPC] 會使用 NTLM SSP) 以提供連線工作階段安全性的型別使用的工作階段安全性決定,如下所示:
  • 用戶端要求任何或所有下列項目: 訊息完整性、 訊息機密性、 NTLM 2 工作階段安全性及 128 位元或 56 位元加密。
  • 伺服器會回應,指出它想要要求集合的哪些項目。
  • 設定結果即為已被 「 交涉"。
您可以使用 NtlmMinClientSec 值,讓用戶端/伺服器或是交涉給定的品質的工作階段安全性],或不成功連線。但是,您應該注意下列項目:
  • 如果 0x00000010 用於 NtlmMinClientSec 值連線並不會成功,若訊息完整性未交涉。
  • 如果 0x00000020 用於 NtlmMinClientSec 值連線並不會成功,若未交涉訊息機密。
  • 如果 0x00080000 用於 NtlmMinClientSec 值連線並不會成功,若未交涉 NTLM 2 工作階段安全性。
  • 如果 0x20000000 用於 NtlmMinClientSec 值連線並不會成功,如果訊息機密性是使用中,但 128 位元加密未交涉。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
回此頁最上方
關鍵字:?
kbmt kbenv kbhowto KB239869 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:239869? (http://support.microsoft.com/kb/239869/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。