Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

ÚVOD

Jsme si vědomi podrobných informací a nástrojů, které lze použít k útokům proti ověřování v sítích NTLMv1 (NT LAN Manager verze 1) a LM (LAN Manager). Pokrok v oblasti počítačového hardwaru a softwarových algoritmů způsobil, že tyto protokoly jsou zranitelné vůči známým útokům, jejichž cílem je získat pověření uživatelů. Informace a dostupné sady nástrojů jsou konkrétně zaměřeny na prostředí, která nevynucují ověřování NTLMv2. Zákazníkům důrazně doporučujeme vyhodnotit jejich prostředí a aktualizovat nastavení ověřování v síti. Možnosti ověřování NTLMv2 poskytují všechny podporované operační systémy společnosti Microsoft.

Riziko existuje jsou zejména u systémů, které jsou ohroženy ve výchozí konfiguraci, jako jsou Microsoft Windows NT 4, Windows 2000, Windows XP a Windows Server 2003. Například systémy Windows XP a Windows Server 2003 ve výchozí konfiguraci podporují ověřování NTLMv1. 

Systém Windows NT podporuje dvě možnosti ověřování přihlášení k síti pomocí mechanizmu výzvy a odezvy: mechanizmus výzvy a odezvy systému LAN Manager (LM) a mechanizmus výzvy a odezvy systému Windows NT (také označovaný jako mechanizmus výzvy a odezvy NTLM verze 1). Obě tyto možnosti umožňují interoperabilitu s nainstalovanými bázemi systémů Windows NT 4.0, Windows 95, Windows 98 a Windows 98 Second Edition. 


Chcete-li, abychom tyto potíže vyřešili za vás, přejděte k části Automatická oprava.

Řešení

Chcete-li snížit riziko těchto potíží, doporučujeme nakonfigurovat prostředí využívající systémy Windows NT 4, Windows 2000, Windows XP a Windows Server 2003, aby používaly pouze ověřování NTLMv2. Chcete-li tak učinit, ručně nastavte úroveň ověřování systému LAN Manager na hodnotu 3 nebo vyšší, jak je popsáno zde.

Pro systém Windows XP a Windows Server 2003 jsou k dispozici řešení Microsoft Fix it, která automaticky konfigurují tyto systémy tak, aby umožňovaly pouze ověřování NTLMv2. Tato metoda rovněž umožňuje nastavení NTLM, které uživatelům dovolují využití výhod rozšířené ochrany pro ověřování.




Automatická oprava

Oprava popsaná v této části není určena jako náhrada žádné aktualizace zabezpečení. Doporučujeme vždy nainstalovat nejnovější aktualizace zabezpečení. Tuto opravu však nabízíme jako alternativní řešení pro některé situace.

Oprava pro systém Windows XP

Chcete-li povolit tuto opravu, klikněte na tlačítko Opravit nebo na odkaz pod nadpisem Povolit. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Povolit

Poznámky

  • Tento průvodce může být k dispozici pouze v angličtině. Tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.

  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.

Oprava pro systém Windows Server 2003

Chcete-li povolit tuto opravu, klikněte na tlačítko Opravit nebo na odkaz pod nadpisem Povolit. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Povolit

Poznámky

  • Tento průvodce může být k dispozici pouze v angličtině. Tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.

  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.

Další informace

Nejčastější dotazy

Jsou k dispozici další informace o hrozbách a protiopatřeních pro zabezpečení sítě v systému Windows a úroveň ověřování systému LAN Manager?

Podrobné informace o hrozbách a protiopatřeních jsou k dispozici na webu Microsoft TechNet v tématu Threats and Countermeasures Guide. Další informace o konfiguraci verze NTLM naleznete v tématu LmCompatibilityLevel.


Co způsobilo tyto potíže?

Do ledna 2000 byla maximální délka klíče pro kryptografické protokoly limitována omezeními exportu. Ověřovací protokoly LM a NTLM byly vyvinuty ještě před tímto datem, a proto se na ně vztahují tato omezení. Systém Windows XP byl po vydání nakonfigurován tak, aby zajišťoval zpětnou kompatibilitu s ověřovacími prostředími navrženými pro systémy Windows 2000 a dřívější. 

Jak zjistím, zda je moje konfigurace ohrožena?

Těmito potížemi jste ohroženi, pokud nastavení registru LMCompatibilityLevel má hodnotu menší než tři (<3).

Které operační systémy Windows jsou ve výchozí konfiguraci ohroženy? 

Windows NT4, Windows 2000, Windows XP a Windows Server 2003. U všech těchto systémů je ve výchozí konfiguraci hodnota nastavení LMCompatibilityLevel menší než tři (<3).

Jaká jsou potenciální rizika vynucení protokolu NTLMv2?

Všechny podporované verze operačního systému Windows podporují protokol NTLMv2. Systém Windows NT 4.0 SP6a rovněž podporuje protokol NTLMv2. Proto je riziko nekompatibility velmi malé. Je možné, že bude třeba vyhodnotit konfigurace nebo starší implementace jiných výrobců a zjistit, zda nedochází k potížím s interoperabilitou. Nová konfigurace nebo upgrade může tyto potíže vyřešit. Zákazníkům důrazně doporučujeme, aby provedli nápravné kroky ke konfiguraci a upgradu svých sítí tak, aby identifikovali a vyřadili protokol NTLMv1. Použití protokolu NTLMv1 má jednoznačně záporný efekt na zabezpečení sítě, které může být ohroženo.

K čemu může útočník toto chybu zabezpečení využít?

Útočník by mohl ze zachycených odpovědí ověřování v síti LM a NTLM extrahovat ověřovací algoritmy hash.

Kde najdu informace o postupu při povolení protokolu NTLMv2 ve verzích systému Microsoft Windows, které již nejsou podporovány? 

Podrobné informace o protokolu NTLMv2 pro systém Windows NT, Windows 95, Windows 98 a Windows 98 Second Edition jsou k dispozici v článku 239869 znalostní báze Microsoft Knowledge Base.

Poděkování


Společnost Microsoft děkuje následujícím osobám, které spolupracovaly na zvýšení ochrany zákazníků:


  • Marku Gamacheovi ze společnosti T-Mobile USA za spolupráci na zvýšení ochrany zákazníků před útoky ověřování v síti NTLMv1 (NT LAN Manager verze 1) a LAN Manager (LM)

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×