NTLMv1- ja LM-verkkotodennuksen suojausohjeet

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 2793313 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

ESITTELY

Microsoft on tietoinen yksityiskohtaisista tiedoista ja työkaluista, joita saatetaan käyttää hyökkäyksissä NTLMv1 (NT LAN Manager version 1) ja LM (LAN Manager) -verkkotodennusta vastaan. Tietokonelaitteistoihin ja ohjelmistoalgoritmeihin tehdyt parannukset ovat tehneet näistä protokollista haavoittuvaisia käyttäjän tunnistetietojen hankkimiseen tarkoitetuille julkaistuille hyökkäyksille. Tiedot ja käytettävissä olevat työkalujoukot on kohdistettu erityisesti ympäristöihin, jotka eivät pakota NTLMv2-todennusta. Microsoft kehottaa asiakkaita arvioimaan ympäristönsä ja päivittämään verkkotodennusasetukset. Kaikissa tuetuissa Microsoft-käyttöjärjestelmissä on NTLMv2-todennusominaisuudet.

Uhattuina ovat ensisijaisesti oletuskokoonpanoissaan olevat järjestelmät, kuten Microsoft Windows NT 4-, Windows 2000-, Windows XP- ja Windows Server 2003 -järjestelmät. Esimerkiksi oletusarvon mukaisesti Windows XP ja Windows Server 2003 tukevat NTLMv1-todennusta.

Windows NT tukee kahta haaste/vastaus-todennuksen vaihtoehtoa verkkokirjautumisessa: LAN Managerin (LM) haaste/vastaus ja Windows NT:n haaste/vastaus (tunnetaan myös nimellä NTLM-versio 1:n haaste/vastaus). Nämä molemmat sallivat yhteiskäytön asennetuissa Windows NT 4.0-, Windows 95-, Windows 98- ja Windows 98 Second Edition -pohjissa. 


Jos haluat Microsoftin korjaavan tämän ongelman puolestasi, siirry Korjaa ongelma puolestani -osaan.

Ratkaisu

Tämän ongelman aiheuttamaa riskiä voi pienentää määrittämällä ympäristöjä, joissa Windows NT 4, Windows 2000, Windows XP ja Windows Server 2003 sallivat vain NTLMv2:n käytön. Tämän voi tehdä määrittämällä LAN Managerin todentamisen tasoksi vähintään 3 tässä kuvatulla tavalla.

Windows XP:lle ja Windows Server 2003:lle on saatavilla Microsoft Fix it -ratkaisuja, joilla järjestelmät voi määrittää käyttämään vain NTLMv2:ta automaattisesti. Tämä tapa ottaa käyttöön myös NTLM-asetukset, joilla käyttäjät voivat hyödyntää laajennettua suojausta todennusta varten.

Korjaa ongelma puolestani

Tässä osassa kuvattua Fix it -ratkaisua ei ole tarkoitettu korvaamaan mitään suojauspäivitystä. Microsoft suosittelee, että asennat aina uusimmat suojauspäivitykset. Microsoft kuitenkin tarjoaa tämän Fix it -ratkaisun kiertotapana joillekin tilanteille.

Microsoft Fix it Windows XP:lle

Jos haluat ottaa tämän Fix it -ratkaisun käyttöön tai poistaa sen käytöstä, napsauta Fix it -ratkaisun painiketta tai Ota käyttöön -kohdan alla näkyvää linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Kutista tämä taulukkoLaajenna tämä taulukko
Ota käyttöön
Fix this problem
Microsoft Fix it 50969
Huomautuksia
  • Tämä ohjattu toiminto saattaa olla vain englanninkielinen. Automaattinen korjaus toimii kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.
Microsoft Fix it Windows Server 2003:lle

Jos haluat ottaa tämän Fix it -ratkaisun käyttöön tai poistaa sen käytöstä, napsauta Fix it -ratkaisun painiketta tai Ota käyttöön -kohdan alla näkyvää linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Kutista tämä taulukkoLaajenna tämä taulukko
Ota käyttöön
Fix this problem
Microsoft Fix it 50970
Huomautuksia
  • Tämä ohjattu toiminto saattaa olla vain englanninkielinen. Automaattinen korjaus toimii kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.

Tila

Microsoft on vahvistanut, että tämä ongelma esiintyy artikkelin alussa luetelluissa Microsoftin tuotteissa.

Enemmän tietoa

Usein kysytyt kysymykset

Onko Windows-verkon suojauksen ja LAN Managerin todennuksen tason uhista ja vastatoimista olemassa lisätietoja?

Yksityiskohtaisia tietoja uhista ja vastatoimista on saatavilla Microsoft TechNet -sivuston Threats and Countermeasures -oppaassa. Lisätietoja NTLM-version kokoonpanosta on kohdassa LmCompatibilityLevel.

Mistä ongelma johtuu?

Tammikuuhun 2000 saakka vientirajoitukset rajoittivat kryptografisten protokollien avainten enimmäispituutta. Sekä LM- että NTLM-todennusprotokolla kehitettiin ennen tammikuuta 2000, ja siksi nämä rajoitukset koskevat niitä. Kun Windows XP julkaistiin, se määritettiin varmistamaan yhteensopivuus taaksepäin Windows 2000:lle ja sitä aiemmille versioille suunnitelluissa todennusympäristöissä. 

Miten selvitän, onko kokoonpanoni haavoittuvainen?

Tämä ongelma vaikuttaa järjestelmääsi, jos LMCompatibilityLevel-rekisteriasetuksiin on määritetty arvo, joka on alle kolme (<3).

Mihin oletuskokoonpanoissa oleviin Windows-käyttöjärjestelmiin tämä vaikuttaa? 

Windows NT4:n, Windows 2000:n, Windows XP:n ja Windows Server 2003:n oletuskokoonpanoissa on LMCompatibilityLevel-arvo, joka on alle kolme (<3).

Mitä riskejä NTLMv2-pakotukseen mahdollisesti liittyy?

Kaikki tuetut Windows-käyttöjärjestelmäversiot tukevat NTLMv2:ta. Myös Windows NT 4.0 SP6a tukee NTLMv2:ta. Siksi yhteensopivuusriski on hyvin pieni. Kolmansien osapuolten vanhat toteutukset tai kokoonpanot on ehkä arvioitava mahdollisten yhteentoimivuusongelmien varalta. Uudelleenmääritys tai päivitys saattaa ratkaista tämän ongelman. Asiakkaita kehotetaan tekemään korjaustoimia ja määrittämään ja päivittämään verkko siten, että NTLMv1 voidaan tunnistaa ja poistaa vähittäin käytöstä. NTLMv1-protokollan käyttäminen vaikuttaa selvästi haitallisesti verkon suojaukseen ja saattaa tehdä siitä haavoittuvan.

Mihin hyökkääjä saattaa käyttää heikkoutta?

Hyökkääjä voi kerätä todennushajautusarvoja siepatuista LM- ja NTLM-verkkotodennusvastauksista.

Mistä löydän tietoja siitä, miten NTLMv2 otetaan käyttöön Microsoft Windows -versioissa, joita ei enää tueta? 

Yksityiskohtaisia Windows NT:tä, Windows 95:tä, Windows 98:aa ja Windows 98 Second Editionia koskevia NTLMv2-tietoja on Microsoft Knowledge Base -artikkelissa 239869 (Tämä artikkeli saattaa olla englanninkielinen).

Ilmoitukset

Microsoft haluaa kiittää seuraavia tahoja, jotka ovat auttaneet meitä suojaamaan asiakkaitamme:
  • T-Mobile USA:n Mark Gamache, joka on auttanut Microsoftia suojaamaan asiakkaitamme NTLMv1 (NT LAN Manager version 1)- ja LM (LAN Manager) -verkkotodennukseen kohdistettavilta hyökkäyksiltä
Huomautus Tämä on niin sanottu nopeasti julkaistava (?fast publish?) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.

Ominaisuudet

Artikkelin tunnus: 2793313 - Viimeisin tarkistus: 11. tammikuuta 2013 - Versio: 1.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Windows Server 2003 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Hakusanat: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com