Indicazioni sulla sicurezza per l'autenticazione di rete LM e NTLMv1

Traduzione articoli Traduzione articoli
Identificativo articolo: 2793313 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

Si Ŕ a conoscenza di informazioni e strumenti dettagliati che potrebbero essere utilizzati in caso di attacchi contro NT LAN Manager versione 1á(NTLMv1) e contro l'autenticazione di rete LAN Manager (LM). Miglioramenti a livello degli algoritmi hardware e software dei computer hanno reso questi protocolli vulnerabili ad attacchi ampiamente pubblicizzati per ottenere le credenziali degli utenti. Le informazioni e la serie di strumenti disponibili sono destinati in modo specifico ad ambienti in cui non viene applicata l'autenticazione NTLMv2. Microsoft invita i clienti a valutare i propri ambienti e ad aggiornare le impostazioni di autenticazione di rete. Tutti i sistemi operativi di Microsoft supportati forniscono funzionalitÓ di autenticazione NTLMv2.

I sistemi che presentano una configurazione predefinita sono quelli pi¨ a rischio, ad esempio i sistemi che eseguono Microsoft Windows NT 4, Windows 2000, Windows XP e Windows Server 2003. Ad esempio, per impostazione predefinita, Windows XP e Windows Server 2003 supportano l'autenticazione NTLMv1.á

Per Windows NT, sono supportate due opzioni per l'autenticazione In attesa/Risposta per l'accesso alla rete: In attesa/Risposta LAN Manager (LM) e In attesa/Risposta Windows NT (detta anche In attesa/Risposta NTLM versione 1). Entrambe le opzioni consentono l'interoperabilitÓ con le basi installate di Windows NT 4.0, Windows 95, Windows 98 e Windows 98 Seconda Edizione.á


Per risolvere il problema in maniera automatica, andare alla sezione "Correzione automatica".

Risoluzione

Per ridurre i rischi derivanti da questo problema, si consiglia di configurare gli ambienti che eseguono Windows NT 4, Windows 2000, Windows XP e Windows Server 2003 per consentire l'utilizzo esclusivo di NTLMv2. A tale scopo, impostare manualmente il livello di autenticazione di Lan Manager su 3 o su un valore superiore, come descritto qui.

Per Windows XP e Windows Server 2003, le soluzioni Microsoft Fix it sono disponibili per configurare automaticamente i sistemi, in modo da consentire l'uso esclusivo di NTLMv2. Questo metodo consente anche l'impostazione di NTLM in modo che gli utenti possano avvalersi della Protezione estesa per l'autenticazione.

Correzione automatica

La soluzione Fix it descritta in questa sezione non pu˛ essere considerata una sostituzione di un aggiornamento della sicurezza. Si consiglia di installare sempre gli aggiornamenti della sicurezza pi¨ recenti. Tuttavia questa soluzione Fix it in alcuni casi pu˛ essere applicata come soluzione alternativa.á

Microsoft Fix it per Windows XP

Per abilitare o disabilitare la soluzione Fix it, fare clic sul pulsante Fix it o sul collegamento sotto l'intestazione Attiva. Quindi, fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della correzione guidata.
Riduci questa tabellaEspandi questa tabella
Abilitare
Fix this problem
Microsoft Fix it 50969
Note
  • Questa procedura guidata potrebbe essere disponibile solo in lingua inglese. La correzione automatica, tuttavia, funziona anche per versioni di Windows in altre lingue.
  • Se non si sta utilizzando il computer che presenta il problema, Ŕ possibile salvare la correzione automatica su un'unitÓ memoria flash o su un CD ed eseguirla sul computer interessato dal problema.
Microsoft Fix it per Windows Server 2003

Per abilitare o disabilitare la soluzione Fix it, fare clic sul pulsante Fix it o sul collegamento sotto l'intestazione Attiva. Quindi, fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della correzione guidata.
Riduci questa tabellaEspandi questa tabella
Abilitare
Fix this problem
Microsoft Fix it 50970
Note
  • Questa procedura guidata potrebbe essere disponibile solo in lingua inglese. La correzione automatica, tuttavia, funziona anche per versioni di Windows in altre lingue.
  • Se non si sta utilizzando il computer che presenta il problema, Ŕ possibile salvare la correzione automatica su un'unitÓ memoria flash o su un CD ed eseguirla sul computer interessato dal problema.

Status

Microsoft ha confermato che questo problema si verifica con i prodotti elencati nella sezione "Le informazioni in questo articolo si applicano a" di questo articolo.

Informazioni

Domande frequenti

Sono disponibili ulteriori informazioni su minacce e contromisure per Windows Network Security e per il livello di autenticazione di LAN Manager?

Informazioni dettagliate su minacce e contromisure sono disponibili su Microsoft TechNet nella Guida alle minacce e contromisure. Per ulteriori informazioni sulla configurazione della versione di NTLM, vedere LmCompatibilityLevel.

Qual Ŕ stata la causa del problema?

Fino a gennaio 2000, le restrizioni di esportazione limitavano la lunghezza massima della chiave per i protocolli di crittografia. I protocolli di autenticazione LM e NTLM sono stati sviluppati prima di gennaio 2000 e pertanto erano soggetti a tali restrizioni. Quando Windows XP Ŕ stato rilasciato, Ŕ stato configurato per assicurare la compatibilitÓ con le versioni precedenti degli ambienti di autenticazione progettati per Windows 2000 e delle versioni precedenti.á

Come verificare la vulnerabilitÓ della configurazione?

Se le impostazioni del Registro di sistema relative a LMCompatibilityLevel sono impostate su un valore inferiore a tre (<3), si Ŕ interessati dal problema.

Quali sistemi operativi di Windows sono interessati da configurazioni predefinite?

Windows NT4, Windows 2000, Windows XP e Windows Server 2003 hanno un valore predefinito di configurazione relativo a LMCompatibilityLevel inferiore a tre (<3).

Quali rischi potenziali si corrono nell'applicazione di NTLMv2?

Tutte le versioni supportate dei sistemi operativi Windows supportano NTLMv2. Anche Windows NT 4.0 SP6a supporta NTLMv2. Pertanto, i rischi di compatibilitÓ sono molto ridotti. Potrebbe essere necessario valutare le implementazioni precedenti di terze parti o le configurazioni per gli eventuali problemi di interoperabilitÓ. Una riconfigurazione o un aggiornamento potrebbero risolvere il problema. Si consiglia vivamente di intraprendere procedure correttive per configurare e aggiornare la rete in modo da identificare e eliminare gradualmente NTLMv1. L'utilizzo del protocollo NTLMv1 influisce in modo definitivo sulla sicurezza della rete, che potrebbe essere compromessa.

Cosa potrebbe fare un utente malintenzionato utilizzando la vulnerabilitÓ?

Un utente malintenzionato potrebbe estrarre gli hash di autenticazione dalle risposte dell'autenticazione di rete LM e NTLM acquisite.

Dove Ŕ possibile trovare ulteriori informazioni su come attivare NTLMv2 per versioni di Microsoft Windows non pi¨ supportate?á

Informazioni dettagliate su NTLMv2 per Windows NT, Windows 95, Windows 98 e Windows 98 Seconda Edizione sono disponibili nell'articolo 239869 della Microsoft Knowledge Base.

Riconoscimenti

Microsoft ringrazia le seguenti persone per aver collaborato al fine di proteggere i clienti:
  • Mark Gamache di T-Mobile USA per aver collaborato alla protezione degli utenti da attacchi contro NTLMv1 (NT LAN Manager versione 1) e contro l'autenticazione di rete LAN Manager (LM).
Nota: questo Ŕ un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "cosý come sono" in risposta alle problematiche riscontrate. A causa della rapiditÓ con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

ProprietÓ

Identificativo articolo: 2793313 - Ultima modifica: venerdý 11 gennaio 2013 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003 Service Pack 2áalle seguenti piattaforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3áalle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Chiavi:á
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com