Οδηγίες ασφαλείας για έλεγχο ταυτότητας δικτύου NTLMv1 και LM

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 2793313 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Γνωρίζουμε λεπτομερείς πληροφορίες και εργαλεία που ενδέχεται να χρησιμοποιηθούν για επιθέσεις εναντίον του ελέγχου ταυτότητας των NT LAN Manager έκδοση 1 (NTLMv1) και LAN Manager (LM). Οι βελτιώσεις στους αλγορίθμους υλικού και λογισμικού των υπολογιστών έχουν κάνει αυτά τα πρωτόκολλα ευπαθή σε δημοσιευμένες επιθέσεις με σκοπό την απόκτηση διαπιστευτηρίων χρήστη. Οι πληροφορίες και τα διαθέσιμα σετ εργαλείων στοχεύουν ειδικά περιβάλλοντα που δεν επιβάλλουν τον έλεγχο ταυτότητας NTLMv2. Παροτρύνουμε τους πελάτες να αξιολογήσουν το περιβάλλον τους και να ενημερώσουν τις ρυθμίσεις ελέγχου ταυτότητας δικτύου. Όλα τα υποστηριζόμενα λειτουργικά συστήματα της Microsoft παρέχουν δυνατότητες ελέγχου ταυτότητας NTLMv2.

Κινδυνεύουν κυρίως τα συστήματα που επηρεάζονται σε μια προεπιλεγμένη διαμόρφωση, όπως τα συστήματα που εκτελούν Microsoft Windows NT 4, Windows 2000, Windows XP και Windows Server 2003. Για παράδειγμα, από προεπιλογή, τα Windows XP και ο Windows Server 2003 υποστηρίζουν και τα δύο τον έλεγχο ταυτότητας NTLMv1. 

Για τα Windows NT, υποστηρίζονται δύο επιλογές για τον έλεγχο ταυτότητας πρόκλησης απόκρισης σε συνδέσεις δικτύου: Πρόκληση απόκρισης του LAN Manager (LM) και πρόκληση απόκρισης των Windows NT (γνωστή και ως πρόκληση απόκρισης NTLM έκδοσης 1). Και οι δύο επιτρέπουν τη διαλειτουργικότητα με την εγκατεστημένη βάση των Windows NT 4.0, Windows 95, Windows 98 και Windows 98, Δεύτερη έκδοση.


Για να επιλύσουμε αυτό το πρόβλημα για λογαριασμό σας, μεταβείτε στην ενότητα "Αυτόματη επίλυση (Fix it for me)".

Προτεινόμενη αντιμετώπιση

Για να μειώσετε τον κίνδυνο από αυτό το ζήτημα, προτείνουμε να διαμορφώσετε περιβάλλοντα που εκτελούν Windows NT 4, Windows 2000, Windows XP και Windows Server 2003 για να επιτρέψετε τη χρήση μόνο του NTLMv2. Για να γίνει αυτό, ορίστε με μη αυτόματο τρόπο το επίπεδο ελέγχου ταυτότητας του LAN Manager σε 3 ή μεγαλύτερο, όπως περιγράφεται εδώ.

Για τα Windows XP και τον Windows Server 2003, οι υπάρχουν διαθέσιμες λύσεις του Microsoft Fix it για την αυτόματη διαμόρφωση συστημάτων που επιτρέπουν τη χρήση μόνο του NTLMv2. Αυτή η μέθοδος ενεργοποιεί επίσης τις ρυθμίσεις NTLM ώστε οι χρήστες να εκμεταλλευτούν την Εκτεταμένη προστασία για έλεγχο ταυτότητας.

Αυτόματη επίλυση

Η επίλυση που περιγράφεται σε αυτήν την ενότητα δεν προορίζεται ως αντικατάσταση για οποιαδήποτε ενημέρωση ασφαλείας. Συνιστάται να πραγματοποιείτε πάντα εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφάλειας. Ωστόσο, παρέχουμε αυτήν την άμεση επίλυση ως εναλλακτικό τρόπο αντιμετώπισης σε ορισμένα σενάρια. 

Microsoft Fix it για τα Windows XP

Για να ενεργοποιήσετε ή να απενεργοποιήσετε αυτήν την αυτόματη επίλυση, κάντε κλικ στο κουμπί ή στη σύνδεση Αυτόματη επίλυση (Fix it) που βρίσκεται στην κεφαλίδα Ενεργοποίηση (Enable). Επιλέξτε Εκτέλεση (Run) στο παράθυρο διαλόγου Λήψη αρχείου (File Download) και ακολουθήστε τα βήματα στον οδηγό Fix it.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Ενεργοποίηση
Fix this problem
Microsoft Fix it 50969
Σημειώσεις
  • Αυτός ο οδηγός ενδέχεται να είναι διαθέσιμος μόνο στα Αγγλικά. Ωστόσο, η αυτόματη επιδιόρθωση λειτουργεί και για εκδόσεις των Windows σε άλλες γλώσσες.
  • Αν δεν βρίσκεστε στον υπολογιστή που παρουσιάζει το πρόβλημα, μπορείτε να αποθηκεύσετε την αυτόματη επιδιόρθωση σε μια μονάδα δίσκου flash ή σε ένα CD και να την εκτελέσετε αργότερα στον συγκεκριμένο υπολογιστή.
Microsoft Fix it για τον Windows Server 2003

Για να ενεργοποιήσετε ή να απενεργοποιήσετε αυτήν την αυτόματη επίλυση, κάντε κλικ στο κουμπί ή στη σύνδεση Αυτόματη επίλυση (Fix it) που βρίσκεται στην κεφαλίδα Ενεργοποίηση (Enable). Επιλέξτε Εκτέλεση (Run) στο παράθυρο διαλόγου Λήψη αρχείου (File Download) και ακολουθήστε τα βήματα στον οδηγό Fix it.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Ενεργοποίηση
Fix this problem
Microsoft Fix it 50970
Σημειώσεις
  • Αυτός ο οδηγός ενδέχεται να είναι διαθέσιμος μόνο στα Αγγλικά. Ωστόσο, η αυτόματη επιδιόρθωση λειτουργεί και για εκδόσεις των Windows σε άλλες γλώσσες.
  • Αν δεν βρίσκεστε στον υπολογιστή που παρουσιάζει το πρόβλημα, μπορείτε να αποθηκεύσετε την αυτόματη επιδιόρθωση σε μια μονάδα δίσκου flash ή σε ένα CD και να την εκτελέσετε αργότερα στον συγκεκριμένο υπολογιστή.

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα πρόβλημα το οποίο παρουσιάζεται στα προϊόντα της που αναφέρονται στην ενότητα "Ισχύει για".

Περισσότερες πληροφορίες

Συνήθεις ερωτήσεις

Υπάρχουν περισσότερες πληροφορίες σχετικά με τις απειλές και τα αντίμετρα της Ασφάλειας Δικτύου των Windows (Windows Network Security) και του επιπέδου ελέγχου ταυτότητας του LAN Manager;

Λεπτομερείς πληροφορίες σχετικά με τις απειλές και τα αντίμετρα υπάρχουν στο Microsoft TechNet στον Οδηγό για απειλές και αντίμετρα (Threats and Countermeasures Guide). Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων της έκδοσης του NTLM, ανατρέξτε στο θέμα LmCompatibilityLevel.

Τι προκάλεσε το ζήτημα;

Μέχρι τον Ιανουάριο του 2000, οι περιορισμοί εξαγωγών περιόριζαν το μέγιστο μήκος κλειδιού για πρωτόκολλα κρυπτογράφησης. Τα πρωτόκολλα ελέγχου ταυτότητας LM και NTLM, αναπτύχθηκαν πριν από τον Ιανουάριο του 2000 και επομένως υπόκεινται σε αυτούς τους περιορισμούς. Κατά την έκδοση των Windows XP, οι παράμετροι τους ρυθμίστηκαν ώστε να εξασφαλίζουν συμβατότητα με παλαιότερες εκδόσεις, σχεδιασμένες για τα Windows 2000 και προγενέστερα. 

Πώς μπορώ να διερευνήσει εάν η διαμόρφωσή μου είναι ευάλωτη;

Επηρεάζεστε από αυτό το ζήτημα όταν οι ρυθμίσεις μητρώου LMCompatibilityLevel έχουν οριστεί σε τιμή μικρότερη του τρία (<3).

Ποια λειτουργικά συστήματα Windows επηρεάζονται σε προεπιλεγμένες διαμορφώσεις; 

Τα Windows NT4, Windows 2000, Windows XP και ο Windows Server 2003 διαθέτουν προεπιλεγμένη ρύθμιση παραμέτρου LMCompatibilityLevel μικρότερη από τρία (<3).

Ποιοι είναι οι πιθανοί κίνδυνοι από την επιβολή του NTLMv2;

Όλες οι υποστηριζόμενες εκδόσεις του λειτουργικού συστήματος Windows υποστηρίζουν NTLMv2. Τα Windows NT 4.0 SP6a επίσης υποστηρίζουν το NTLMv2. Επομένως, υπάρχει πολύ μικρός κίνδυνος συμβατότητας. Παλαιού τύπου υλοποιήσεις ή διαμορφώσεις τρίτων κατασκευαστών ενδέχεται να πρέπει να αξιολογηθούν για ζητήματα διαλειτουργικότητας. Μια αλλαγή των ρυθμίσεων παραμέτρων ή αναβάθμιση ενδέχεται να επιλύσει αυτό το πρόβλημα. Συνιστάται στους πελάτες να λαμβάνουν μέτρα επίλυσης σχετικά με τη ρύθμιση παραμέτρων και την αναβάθμιση ώστε να αναγνωρίσουν και να εξαλείψουν το NTLMv1. Η χρήση του πρωτοκόλλου NTLMv1 έχει μια καθορισμένη, δυσμενή επίπτωση στην ασφάλεια δικτύου και μπορεί να παραβιαστεί.

Σε τι μπορεί να χρησιμοποιήσει ένας εισβολέας την ευπάθεια;

Ένας εισβολέας μπορεί να αποσπάσει τα κλειδιά κατακερματισμού του ελέγχου ταυτότητας από καταγεγραμμένες αποκρίσεις ελέγχου ταυτότητας δικτύου LM και NTLM.

Πού μπορώ να βρω πληροφορίες σχετικά με τον τρόπο ενεργοποίησης του NTLMv2 σε εκδόσεις των Microsoft Windows που δεν υποστηρίζονται πλέον; 

Λεπτομερείς πληροφορίες σχετικά με το NTLMv2 για Windows NT, Windows 95, Windows 98 και Windows 98, Δεύτερη έκδοση, υπάρχουν στο άρθρο 239869 της Γνωσιακής Βάσης της Microsoft.

Ευχαριστίες

Η Microsoft ευχαριστεί τους παρακάτω για τη συνεργασία τους στην προστασία των πελατών:
  • Mark Gamache της T-Mobile USA, για τη συνεργασία του με εμάς σχετικά με την προστασία των πελατών από επιθέσεις εναντίον του ελέγχου ταυτότητας των NT LAN Manager έκδοση 1 (NTLMv1) και LAN Manager (LM).
Σημείωση Αυτό είναι ένα άρθρο «ΤΑΧΕΙΑΣ ΔΗΜΟΣΙΕΥΣΗΣ» που δημιουργήθηκε απευθείας από τον οργανισμό υποστήριξης της Microsoft. Οι πληροφορίες που περιλαμβάνονται σε αυτό το άρθρο, παρέχονται ως απόκριση σε θέματα που προκύπτουν. Ως αποτέλεσμα της ταχύτητας διάθεσής του, το υλικό ενδέχεται να έχει τυπογραφικά λάθη και να αναθεωρηθεί ανά πάσα στιγμή χωρίς ειδοποίηση. Ανατρέξτε στους Όρους χρήσης για άλλα ζητήματα.

Ιδιότητες

Αναγν. άρθρου: 2793313 - Τελευταία αναθεώρηση: Παρασκευή, 11 Ιανουαρίου 2013 - Αναθεώρηση: 1.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003 Service Pack 2 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 στις ακόλουθες πλατφόρμες
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Λέξεις-κλειδιά: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com