Doprovodné materiály zabezpečení pro ověřování v sítích LM a NTLMv1

Překlady článku Překlady článku
ID článku: 2793313 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Jsme si vědomi podrobných informací a nástrojů, které lze použít k útokům proti ověřování v sítích NTLMv1 (NT LAN Manager verze 1) a LM (LAN Manager). Pokrok v oblasti počítačového hardwaru a softwarových algoritmů způsobil, že tyto protokoly jsou zranitelné vůči známým útokům, jejichž cílem je získat pověření uživatelů. Informace a dostupné sady nástrojů jsou konkrétně zaměřeny na prostředí, která nevynucují ověřování NTLMv2. Zákazníkům důrazně doporučujeme vyhodnotit jejich prostředí a aktualizovat nastavení ověřování v síti. Možnosti ověřování NTLMv2 poskytují všechny podporované operační systémy společnosti Microsoft.

Riziko existuje jsou zejména u systémů, které jsou ohroženy ve výchozí konfiguraci, jako jsou Microsoft Windows NT 4, Windows 2000, Windows XP a Windows Server 2003. Například systémy Windows XP a Windows Server 2003 ve výchozí konfiguraci podporují ověřování NTLMv1. 

Systém Windows NT podporuje dvě možnosti ověřování přihlášení k síti pomocí mechanizmu výzvy a odezvy: mechanizmus výzvy a odezvy systému LAN Manager (LM) a mechanizmus výzvy a odezvy systému Windows NT (také označovaný jako mechanizmus výzvy a odezvy NTLM verze 1). Obě tyto možnosti umožňují interoperabilitu s nainstalovanými bázemi systémů Windows NT 4.0, Windows 95, Windows 98 a Windows 98 Second Edition. 


Chcete-li, abychom tyto potíže vyřešili za vás, přejděte k části Automatická oprava.

Řešení

Chcete-li snížit riziko těchto potíží, doporučujeme nakonfigurovat prostředí využívající systémy Windows NT 4, Windows 2000, Windows XP a Windows Server 2003, aby používaly pouze ověřování NTLMv2. Chcete-li tak učinit, ručně nastavte úroveň ověřování systému LAN Manager na hodnotu 3 nebo vyšší, jak je popsáno zde.

Pro systém Windows XP a Windows Server 2003 jsou k dispozici řešení Microsoft Fix it, která automaticky konfigurují tyto systémy tak, aby umožňovaly pouze ověřování NTLMv2. Tato metoda rovněž umožňuje nastavení NTLM, které uživatelům dovolují využití výhod rozšířené ochrany pro ověřování.

Automatická oprava

Oprava popsaná v této části není určena jako náhrada žádné aktualizace zabezpečení. Doporučujeme vždy nainstalovat nejnovější aktualizace zabezpečení. Tuto opravu však nabízíme jako alternativní řešení pro některé situace.

Oprava pro systém Windows XP

Chcete-li povolit tuto opravu, klikněte na tlačítko Opravit nebo na odkaz pod nadpisem Povolit. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Povolit
Fix this problem
Microsoft Fix it 50969
Poznámky
  • Tento průvodce může být k dispozici pouze v angličtině. Tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.
  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.
Oprava pro systém Windows Server 2003

Chcete-li povolit tuto opravu, klikněte na tlačítko Opravit nebo na odkaz pod nadpisem Povolit. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Povolit
Fix this problem
Microsoft Fix it 50970
Poznámky
  • Tento průvodce může být k dispozici pouze v angličtině. Tato automatická oprava však funguje i pro ostatní jazykové verze systému Windows.
  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.

Prohlášení

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.

Další informace

Nejčastější dotazy

Jsou k dispozici další informace o hrozbách a protiopatřeních pro zabezpečení sítě v systému Windows a úroveň ověřování systému LAN Manager?

Podrobné informace o hrozbách a protiopatřeních jsou k dispozici na webu Microsoft TechNet v tématu Threats and Countermeasures Guide. Další informace o konfiguraci verze NTLM naleznete v tématu LmCompatibilityLevel.

Co způsobilo tyto potíže?

Do ledna 2000 byla maximální délka klíče pro kryptografické protokoly limitována omezeními exportu. Ověřovací protokoly LM a NTLM byly vyvinuty ještě před tímto datem, a proto se na ně vztahují tato omezení. Systém Windows XP byl po vydání nakonfigurován tak, aby zajišťoval zpětnou kompatibilitu s ověřovacími prostředími navrženými pro systémy Windows 2000 a dřívější. 

Jak zjistím, zda je moje konfigurace ohrožena?

Těmito potížemi jste ohroženi, pokud nastavení registru LMCompatibilityLevel má hodnotu menší než tři (<3).

Které operační systémy Windows jsou ve výchozí konfiguraci ohroženy? 

Windows NT4, Windows 2000, Windows XP a Windows Server 2003. U všech těchto systémů je ve výchozí konfiguraci hodnota nastavení LMCompatibilityLevel menší než tři (<3).

Jaká jsou potenciální rizika vynucení protokolu NTLMv2?

Všechny podporované verze operačního systému Windows podporují protokol NTLMv2. Systém Windows NT 4.0 SP6a rovněž podporuje protokol NTLMv2. Proto je riziko nekompatibility velmi malé. Je možné, že bude třeba vyhodnotit konfigurace nebo starší implementace jiných výrobců a zjistit, zda nedochází k potížím s interoperabilitou. Nová konfigurace nebo upgrade může tyto potíže vyřešit. Zákazníkům důrazně doporučujeme, aby provedli nápravné kroky ke konfiguraci a upgradu svých sítí tak, aby identifikovali a vyřadili protokol NTLMv1. Použití protokolu NTLMv1 má jednoznačně záporný efekt na zabezpečení sítě, které může být ohroženo.

K čemu může útočník toto chybu zabezpečení využít?

Útočník by mohl ze zachycených odpovědí ověřování v síti LM a NTLM extrahovat ověřovací algoritmy hash.

Kde najdu informace o postupu při povolení protokolu NTLMv2 ve verzích systému Microsoft Windows, které již nejsou podporovány? 

Podrobné informace o protokolu NTLMv2 pro systém Windows NT, Windows 95, Windows 98 a Windows 98 Second Edition jsou k dispozici v článku 239869 znalostní báze Microsoft Knowledge Base.

Poděkování

Společnost Microsoft děkuje následujícím osobám, které spolupracovaly na zvýšení ochrany zákazníků:
  • Marku Gamacheovi ze společnosti T-Mobile USA za spolupráci na zvýšení ochrany zákazníků před útoky ověřování v síti NTLMv1 (NT LAN Manager verze 1) a LAN Manager (LM)
Poznámka: Toto je článek určený k rychlému zveřejnění, který vydala přímo služba podpory společnosti Microsoft. Uvedené informace jsou poskytovány jako odpověď na vzniklé problémy. Vzhledem k požadavku na rychlé zveřejnění je možné, že zpráva obsahuje typografické chyby, a může být kdykoli bez ohlášení revidována. Další pokyny naleznete v dokumentu Podmínky užití.

Vlastnosti

ID článku: 2793313 - Poslední aktualizace: 11. ledna 2013 - Revize: 1.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 2 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 na těchto platformách
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Klíčová slova: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com