הדרכת אבטחה עבור אימות רשת של NTLMv1 ו- LM

תרגומי מאמרים תרגומי מאמרים
Article ID: 2793313 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מבוא

אנחנו מודעים למידע מפורט וכלים שבהם ניתן להשתמש במתקפות נגד NT LAN Manager גירסה 1 (NTLMv1) ואימות רשת של LAN Manager (LM). שיפורים בחומרת מחשב ואלגוריתמים של תוכנה הפכו פרוטוקולים אלה לפגיעים לתקיפות מתפרסמות שמטרתן להשיג אישורי משתמשים. המידע וערכות הכלים הזמינות מתמקדים באופן ספציפי בסביבות שלא אוכפות אימות NTLMv2. אנחנו ממליצים מאוד ללקוחות להעריך את הסביבות שלהם ולעדכן הגדרות של אימות רשת. כל מערכות ההפעלה הנתמכות של Microsoft מספקות יכולות של אימות NTLMv2.

מערכות שאינן מושפעות בתצורת ברירת מחדל נמצאות בעיקר בסיכון, כגון מערכות שמפעילות את Microsoft Windows NT 4, Windows 2000, Windows XP ו- Windows Server 2003. לדוגמה, כברירת מחדל, Windows XP ו- Windows Server 2003 תומכים שניהם באימות NTLMv1. 

לגבי Windows NT, שתי אפשרויות נתמכות באימות challenge response בכניסות לרשת: אימות challenge response של LAN Manager (LM) ואימות challenge response של Windows NT (נקרא גם אימות challenge response של NTLM גירסה 1). שני אלה מאפשרים יכולת פעולה הדדית עם בסיסים מותקנים של Windows NT 4.0, Windows 95, Windows 98 ו- Windows 98 Second Edition. 


כדי שאנו נתקן בעיה זו עבורך, עבור לסעיף "תקנו עבורי".

פתרון הבעיה

כדי להפחית את הסיכון של בעיה זו, מומלץ להגדיר סביבות שמפעילות את Windows NT 4, Windows 2000, Windows XP ו- Windows Server 2003 כך שיאפשרו שימוש ב- NTLMv2 בלבד. לשם כך, הגדר באופן ידני את רמת האימות של LAN Manager ל- 3 או יותר בהתאם למתואר כאן.

עבור Windows XP ו- Windows Server 2003, פתרונות Microsoft Fix it זמינים כדי להגדיר באופן אוטומטי מערכות כדי לאפשר שימוש ב- NTLMv2 בלבד. שיטה זו הופכת גם את ההגדרות של NTLM לזמינות למשתמשים כדי שיוכלו לנצל את ההגנה המורחבת לאימות.

תקנו עבורי

פתרון תיקון זה המתואר בסעיף זה אינו מיועד להיות תחליף לעדכון אבטחה כלשהו. אנו ממליצים להתקין תמיד את עדכוני האבטחה העדכניים ביותר. עם זאת, אנו מציעים פתרון תיקון זה כאפשרות מעקף בתרחישים מסוימים.

Microsoft Fix it עבור Windows XP

כדי להפוך פתרון Fix it זה לזמין או לא זמין, לחץ על הלחצן או הקישור Fix it מתחת לכותרת הפוך לזמין. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.
כווץ את הטבלההרחב את הטבלה
הפעל
Fix this problem
Microsoft Fix it 50969
הערות
  • ייתכן שאשף זה מוצג באנגלית בלבד. עם זאת, התיקון האוטומטי פועל גם עבור גירסאות של Windows בשפות אחרות.
  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
Microsoft Fix it עבור Windows Server 2003

כדי להפוך פתרון Fix it זה לזמין או לא זמין, לחץ על הלחצן או הקישור Fix it מתחת לכותרת הפוך לזמין. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.
כווץ את הטבלההרחב את הטבלה
הפעל
Fix this problem
Microsoft Fix it 50970
הערות
  • ייתכן שאשף זה מוצג באנגלית בלבד. עם זאת, התיקון האוטומטי פועל גם עבור גירסאות של Windows בשפות אחרות.
  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

סטטוס

Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft ששמותיהם מופיעים בסעיף 'חל על'.

מידע נוסף

שאלות נפוצות

האם יש מידע נוסף על איומים ואמצעי-נגד עבור Windows Network Security ורמת האימות של LAN Manager?

מידע מפורט על איומים ואמצעי-נגד זמין ב- Microsoft TechNet במדריך האיומים ואמצעי-הנגד. לקבלת מידע נוסף על תצורה בגירסת NTLM, ראה LmCompatibilityLevel.

מה גרם לבעיה?

עד ינואר 2000, הגבלות ייצוא הגבילו את אורך המפתח המקסימלי בפרוטוקולים קריפטוגרפים. פרוטוקולי האימות LM ו- NTLM פותחו שניהם לפני ינואר 2000 וכלן היו כפופים למגבלות אלה. כאשר Windows XP פורסם, הוא הוגדר כך שיבטיח תאימות לאחור עם סביבות אימות שתוכננו עבור Windows 2000 או גירסאות ישנות יותר. 

כיצד אוכל לבדוק את התצורה שלי פגיעה?

אתה מושפע מבעיה זו אם הגדרות הרישום LMCompatibilityLevel מוגדרות לשלוש (<3) או פחות.

אילו מערכות הפעלה של Windows מושפעות בתצורות של ברירת מחדל? 

Windows NT4, Windows 2000, Windows XP ו- Windows Server 2003 כוללות ערך תצורה המוגדר כברירת מחדל של LMCompatibilityLevel שהוא פחות משלוש (<3).

מהם הסיכונים הפוטנציאליים של אכיפת NTLMv2?

כל הגירסאות הנתמכות של מערכות ההפעלה של Windows תומכות ב- NTLMv2. Windows NT 4.0 SP6a תומך גם ב- NTLMv2. לכן יש סיכון קטן מאוד של תאימות. ייתכן שיהיה צורך להעריך יישומים או תצורות מדור קודם של ספקים חיצוניים כדי למצוא בעיות של יכולת פעולה הדדית. קביעת תצורה מחדש או שדרוג עשויים לפתור בעיה זו. מומלץ מאוד ללקוחות לנקוט צעדים מתקנים כדי להגדיר ולשדרג את הרשת שלהם כך שתזהה ותקבל את NTLMv1. לשימוש בפרוטוקול NTLMv1 יש השפעה מוחלטת ושלילית על אבטחת הרשת והיא עלולה לפגוע בה.

איך תוקף עלול להשתמש בפגיעות?

תוקף עלול לחלץ קודי hash של אימות מתגובות אימות רשת של LM ו- NTLM שנלכדו.

היכן אוכל למצוא מידע על הפיכת NTLMv2 לזמין בגירסאות של Microsoft Windows שלא נתמכות עוד? 

מידע מפורט על NTLMv2 עבור Windows NT, Windows 95, Windows 98 ו- Windows 98 Second Edition זמין במאמר מאגר הידע Microsoft Knowledge Base מס' 239869 (ייתכו שטקסט זה מוצג באנגלית).

תודות

Microsoft מודה לאנשים הבאים על העבודה איתנו כדי לעזור לנו להגן על לקוחות:
  • מארק גאמצ'ה מחברת T-Mobile USA על העבודה איתנו כדי לסייע בהגנה על לקוחות מפני מתקפות נגד אימות רשת של NTLMv1 (NT LAN Manager גירסה 1) ו- LAN Manager (LM)
הערה זהו מאמר "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע הכלול במסמך זה מסופק כפי שהוא בתגובה לבעיות שצצות. לאור הקצב המהיר של פרסום החומרים, ייתכן שהחומרים יכללו שגיאות הקלדה ואנו עשויים לתקן אותם בכל עת, ללא הודעה מוקדמת. למידע על שיקולים אחרים, עיין בתנאי השימוש.

מאפיינים

Article ID: 2793313 - Last Review: יום שישי 11 ינואר 2013 - Revision: 1.0
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003 Service Pack 2, הפועל עם:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, הפועל עם:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
מילות מפתח 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com