Directives en matière de sécurité pour l'authentification réseau NTLMv1 et LM

Traductions disponibles Traductions disponibles
Numéro d'article: 2793313 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Des informations détaillées et des outils peuvent être utilisés pour les attaques contre l'authentification réseau NT LAN Manager version 1 (NTLMv1) et LAN Manager (LM). Les améliorations en matière de matériel informatique et d'algorithmes logiciels ont rendu ces protocoles vulnérables aux attaques publiées visant à obtenir les informations d'identification utilisateur. Les informations et les ensembles d'outils disponibles visent plus particulièrement les environnements qui n'appliquent pas l'authentification NTLMv2. Nous encourageons vivement les clients à évaluer leur environnement et à mettre à jour les paramètres d'authentification de réseau. Tous les systèmes d'exploitation Microsoft pris en charge fournissent des fonctionnalités d'authentification NTLMv2.

Les systèmes qui sont affectés au niveau de la configuration par défaut sont principalement menacés ; par exemple, les systèmes qui exécutent Microsoft Windows NT 4, Windows 2000, Windows XP et Windows Server 2003. Par défaut, Windows XP et Windows Server 2003 prennent en charge l'authentification NTLMv1. 

Pour Windows NT, deux options sont prises en charge pour l'authentification par stimulation/réponse lors d'ouvertures de session réseau : la stimulation/réponse LAN Manager (LM) et la stimulation/réponse Windows NT (également appelée stimulation/réponse NTLM version 1). Toutes deux permettent l'interopérabilité avec les bases installées de Windows NT 4.0, Windows 95, Windows 98 et Windows 98 Deuxième Édition. 


Afin que nous puissions résoudre le problème pour vous, consultez la section « Aidez-moi ».

Résolution

Pour réduire le risque d'apparition de ce problème, nous vous recommandons de configurer les environnements qui exécutent Windows NT 4, Windows 2000, Windows XP et Windows Server 2003 afin d'autoriser l'utilisation de l'authentification NTLMv2 uniquement. Pour ce faire, définissez manuellement le niveau d'authentification LAN Manager sur 3 minimum, comme décrit ici.

Pour Windows XP et Windows Server 2003, des solutions Microsoft Fix it sont disponibles pour configurer automatiquement les systèmes à autoriser uniquement l'utilisation de l'authentification NTLMv2. Cette méthode permet également aux utilisateurs de paramètres NTLM de profiter de la Protection étendue de l'authentification.

Aidez-moi

La solution de réparation décrite dans cette section ne doit pas être utilisée en remplacement d'une mise à jour de sécurité. Nous vous recommandons de toujours installer les dernières mises à jour de sécurité. Nous proposons toutefois cette solution pour contourner le problème dans certains cas. 

Microsoft Fix it pour Windows XP

Pour activer ou désactiver cette solution de réparation, cliquez sur le bouton ou sur le lien Fix it sous l'en-tête Activer. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant Résolution.
Réduire ce tableauAgrandir ce tableau
Activer
Fix this problem
Microsoft Fix it 50969
Remarques
  • Cet Assistant peut n'exister qu'en anglais. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.
  • Si vous n'êtes pas sur l'ordinateur pour lequel le problème existe, vous pouvez enregistrer la résolution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.
Microsoft Fix it pour Windows Server 2003

Pour activer ou désactiver cette solution de réparation, cliquez sur le bouton ou sur le lien Fix it sous l'en-tête Activer. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant Résolution.
Réduire ce tableauAgrandir ce tableau
Activer
Fix this problem
Microsoft Fix it 50970
Remarques
  • Cet Assistant peut n'exister qu'en anglais. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.
  • Si vous n'êtes pas sur l'ordinateur pour lequel le problème existe, vous pouvez enregistrer la résolution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Plus d'informations

Forum aux questions

Existe-t-il des informations supplémentaires sur les menaces et contre-mesures pour la sécurité réseau de Windows et le niveau d'authentification LAN Manager ?

Des informations détaillées sur les menaces et les contre-mesures sont disponibles sur le site de Microsoft TechNet dans le Guide des menaces et contre-mesures. Pour plus d'informations sur la configuration de version NTLM, voir LmCompatibilityLevel.

Quelle est la cause du problème ?

Jusqu'en janvier 2000, les restrictions à l'exportation limitaient la longueur maximale des protocoles cryptographiques. Les protocoles d'authentification LM et NTLM ont été développés avant janvier 2000 et, par conséquent, ont été soumis à ces restrictions. Lorsque Windows XP a été diffusé, celui-ci a été configuré pour garantir une compatibilité descendante avec les environnements d'authentification conçus pour Windows 2000 et versions précédentes. 

Comment faire pour vérifier si ma configuration est vulnérable ?

Vous êtes affecté par ce problème si les paramètres du Registre LMCompatibilityLevel sont définis sur une valeur inférieure à trois (<3).

Quels systèmes d'exploitation Windows sont affectés au niveau de leur configuration par défaut ? 

La valeur de configuration par défaut LMCompatibilityLevel de Windows NT4, Windows 2000, Windows XP et Windows Server 2003 est inférieure à (<3).

Quels sont les risques potentiels de l'application de l'authentification NTLMv2 ?

Toutes les versions prises en charge du système d'exploitation Windows prennent en charge l'authentification NTLMv2. Windows NT 4.0 SP6a prend également en charge l'authentification NTLMv2. Par conséquent, il existe un risque très faible de compatibilité. Il se peut qu'il soit nécessaire d'évaluer des configurations ou implémentations héritées tierces pour des problèmes d'interopérabilité. Une reconfiguration ou une mise à niveau peut résoudre ce problème. Les clients sont vivement invités à prendre des mesures correctives pour configurer et mettre à niveau leur réseau afin d'identifier et de supprimer l'authentification NTLMv1. L'utilisation du protocole NTLMv1 a un impact définitif, néfaste sur la sécurité du réseau et peut être compromise.

Que pourrait faire un utilisateur malveillant en exploitant cette vulnérabilité ?

Un utilisateur malveillant pourrait extraire les hachages d'authentification des réponses d'authentification réseau LM et NTLM.

Où puis-je trouver des informations sur la procédure d'activation de l'authentification NTLMv2 sur les versions de Microsoft Windows qui ne sont plus prises en charge ? 

Des informations détaillées sur l'authentification NTLMv2 pour Windows NT, Windows 95, Windows 98 et Windows 98 Deuxième Édition sont disponibles dans l'article 239869 de la Base de connaissances Microsoft.

Accusés de réception

Microsoft remercie les personnes suivantes de leur collaboration pour protéger les clients :
  • Mark Gamache de T-Mobile USA pour sa collaboration pour protéger les clients des attaques contre les authentifications réseau NTLMv1 (NT LAN Manager version 1) et LAN Manager (LM)
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation.

Propriétés

Numéro d'article: 2793313 - Dernière mise à jour: vendredi 11 janvier 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 Service Pack 2 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 sur le système suivant
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows XP Professional
Mots-clés : 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com