Biztonsági útmutatás az NTLMv1 és LM hálózati hitelesítéshez

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2793313 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

Tudomásunkra jutott, hogy bizonyos részletes információk és eszközök támadásra használhatók az NT LAN Manager 1-es verziója (NTLMv1) és a LAN Manager (LM) hálózati hitelesítéssel szemben. A számítógépes hardver és az algoritmusok fejlődése miatt ezek a protokollok sebezhetővé váltak a felhasználók hitelesítő adatainak megszerzésére irányuló támadásokkal szemben. Az információk és az elérhető eszközkészletek kifejezetten azokra a környezetekre vonatkoznak, amelyeken nincs érvényben az NTLMv2-hitelesítés. Nyomatékosan javasoljuk ügyfeleinknek, hogy értékeljék ki a környezetüket, és frissítsék hálózathitelesítési beállításaikat. A Microsoft összes támogatott operációs rendszere biztosít NTLMv2-hitelesítési szolgáltatásokat.

Elsősorban az alapértelmezett beállításokkal rendelkező rendszerek vannak veszélyben, amelyek például Microsoft Windows NT 4, Windows 2000, Windows XP és Windows Server 2003 rendszert futtatnak. A Windows XP és Windows Server 2003 például alapértelmezés szerint támogatja az NTLMv1-hitelesítést. 

A Windows NT rendszer két lehetőséget támogat a hálózati bejelentkezések kérdés-válasz hitelesítésére: LAN Manager (LM) kérdés-válasz és Windows NT kérdés-válasz (amely NTLM 1-es verziójú kérdés-válaszként is ismert). Mindkét lehetőség lehetővé teszi az együttműködést a Windows 4.0, Windows 95, Windows 98 vagy Windows 98 Second Edition rendszert futtató kiszolgálókkal. 


Ha azt szeretné, hogy a probléma megoldása automatikusan történjen, lépjen tovább az „Automatikus javítás” című részhez.

A megoldás

Amennyiben szeretné csökkenteni ezen probléma kockázatát, azt javasoljuk, hogy Windows NT 4, Windows 2000, Windows XP és Windows Server 2003 rendszereket futtató környezetekben csak az NTLMv2 használatát engedélyezze. Ehhez kézzel állítsa be a LAN Manager hitelesítési szintjét 3-as szintre vagy magasabb értékre az itt leírtak alapján.

A Windows XP és Windows Server 2003 rendszereken elérhetők olyan Microsoft Fix it megoldások, amelyekkel a rendszerek beállíthatók kizárólag az NTLMv2 használatára. Ez a módszer az NTLM-beállítások használatát is lehetővé teszi, így a felhasználók a Hitelesítéskori kibővített védelem előnyeit is kihasználhatják.

Automatikus javítás

Az ebben a részben ismertetett automatikus javítási megoldás nem helyettesít más biztonsági frissítést. A Microsoft azt javasolja, hogy mindig telepítse a legújabb biztonsági frissítéseket. Ez az automatikus javítás azonban egyes esetekben kerülő megoldásként szolgálhat. 

Microsoft Fix it a Windows XP rendszerhez

A Fix it megoldás engedélyezéséhez vagy letiltásához kattintson a Fix it gombra vagy a hivatkozásra az Engedélyezés alcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az Automatikus javítás varázsló lépéseit.
A táblázat összecsukásaA táblázat kibontása
Engedélyezés
Fix this problem
Microsoft Fix it 50969
Megjegyzések:
  • Előfordulhat, hogy a varázsló csak angol nyelven érhető el. Az automatikus javítás ugyanakkor a Windows többi nyelvi verziójával is működik.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD lemezre, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.
Microsoft Fix it a Windows Server 2003 rendszerhez

A Fix it megoldás engedélyezéséhez vagy letiltásához kattintson a Fix it gombra vagy a hivatkozásra az Engedélyezés alcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az Automatikus javítás varázsló lépéseit.
A táblázat összecsukásaA táblázat kibontása
Engedélyezés
Fix this problem
Microsoft Fix it 50970
Megjegyzések:
  • Előfordulhat, hogy a varázsló csak angol nyelven érhető el. Az automatikus javítás ugyanakkor a Windows többi nyelvi verziójával is működik.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD lemezre, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.

Állapot

A Microsoft megerősítette a hiba létezését az Érintett termékek részben felsorolt Microsoft-termékekben.

További információ

GYIK

Vannak további elérhető információk a Windows Network Security és LAN Manager hitelesítési szintjéhez kapcsolódó veszélyforrásokról és az ellenintézkedésekről?

A veszélyforrásokról és az ellenintézkedésekről részletes információ érhető el a Microsoft TechNet webhelyen található Biztonsági fenyegetések és ellenintézkedéseik útmutatóban. Az NTLM-verzió beállításáról a LmCompatibilityLevel részben talál további információt.

Mi okozta a problémát?

2000 januárjáig az exportálási korlátozások meghatározták a titkosítási protokollok kulcsainak maximális hosszát. Az LM- és NTLM-hitelesítési protokollokat 2000 januárja előtt fejlesztették ki, így érvényesek voltak rájuk ezek a korlátozások. A Windows XP megjelenésekor visszamenőleges kompatibilitást biztosított a Windows 2000 és korábbi rendszerekhez tervezett hitelesítési környezetekkel. 

Hogyan állapítható meg, hogy a konfiguráció sebezhető-e?

Akkor érinti ez a probléma, ha az LMCompatibilityLevel beállításjegyzék-beállítások értéke három (<3) vagy annál kevesebb.

Melyik Windows operációs rendszerek alapértelmezett konfigurációját érinti a probléma? 

A Windows NT4, Windows 2000, Windows XP és a Windows Server 2003 alapértelmezett konfigurációjában az LMCompatibilityLevel értéke kisebb, mint három (<3).

Milyen lehetséges kockázata van az NTLMv2 használatának?

A Windows operációs rendszer minden támogatott verziója támogatja az NTLMv2-hitelesítést. A Windows NT 4.0 SP6a szintén támogatja az NTLMv2-hitelesítést. A kompatibilitási kockázat ezért nagyon alacsony. Harmadik féltől származó korábbi implementációk vagy konfigurációk esetében szükség lehet az együttműködési problémák kiértékelésére. Az újrakonfigurálás vagy frissítés megoldhatja a problémát. Az ügyfelek számára ajánlott a javító intézkedések elvégzése, hogy a hálózat konfigurálásával vagy frissítésével azonosítsák és lecseréljék az NTLMv1-hitelesítést. Az NTLMv1 protokoll használata határozottan hátrányos hatással van a hálózati biztonságra, és sebezhető lehet.

Mire használhatja fel a támadó a biztonsági rést?

A támadók hitelesítési kivonatokat nyerhetnek ki az LM- és NTLM-hálózati hitelesítés megszerzett válaszaiból.

Hol található információt arról, hogy a Microsoft Windows már nem támogatott verziói esetében hogyan engedélyezhető az NTLMv2? 

Az NTLMv2 Windows NT, Windows 95, Windows 98 és Windows 98 Second Edition rendszerekkel való használatáról a Microsoft Tudásbázis 239869. számú cikkében talál részletes információt.

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a következőknek az ügyfelek védelmében folytatott együttműködésükért:
  • Mark Gamache (T-Mobile USA), amiért közreműködött velünk abban, hogy megóvjuk ügyfeleinket az NTLMv1 (NT LAN Manager 1-es verzió) és LAN Manager (LM) hálózati hitelesítés elleni támadásoktól
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2793313 - Utolsó ellenőrzés: 2013. január 11. - Verziószám: 1.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003 Service Pack 2 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 a következő platformokon
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Kulcsszavak: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com