Beveiligingsrichtlijnen voor NTLMv1- en LM-netwerkverificatie

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 2793313 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Inleiding

We zijn op de hoogte van gedetailleerde informatie en hulpmiddelen die kunnen worden gebruikt voor aanvallen tegen NTLMv1- (NT LAN Manager versie 1) en LM-netwerkverificatie (LAN Manager). Verbeteringen in algoritmen voor computerhardware en -software hebben ervoor gezorgd dat deze protocollen kwetsbaar zijn geworden voor gepubliceerde aanvallen voor het verkrijgen van gebruikersreferenties. De informatie en de beschikbare toolsets zijn specifiek gericht op omgevingen die NTLMv2-verificatie niet afdwingen. We raden klanten met klem aan hun omgevingen te evalueren en de instellingen voor netwerkverificatie bij te werken. Alle ondersteunde besturingssystemen van Microsoft bieden mogelijkheden voor NTLMv2-verificatie.

Het risico is het grootst voor getroffen systemen in standaardconfiguraties, zoals systemen waarop Microsoft Windows NT 4, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd. Zo bieden Windows XP en Windows Server 2003 beide standaard ondersteuning voor NTLMv1-verificatie.

Windows NT ondersteunt twee opties voor verificatievragen in netwerkaanmeldingen: LM-verificatievragen (LAN Manager) en Windows NT-verificatievragen (ook bekend als NTLM versie 1-verificatievragen). Beide opties maken onderlinge samenwerking met geïnstalleerde basissen van Windows NT 4.0, Windows 95, Windows 98 en Windows 98 Second Edition mogelijk.


Als u het probleem door ons wilt laten oplossen, gaat u naar de sectie 'Het probleem voor mij oplossen'.

Oplossing

We raden u aan omgevingen waarin Windows NT 4, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd zodanig te configureren dat alleen het gebruik van NTLMv2 is toegestaan, om het risico van dit probleem te verkleinen. Stel hiervoor het LAN Manager-verificatieniveau in op niveau 3 of hoger. Hoe u dat doet, leest u hier.

Voor Windows XP en Windows Server 2003 zijn Microsoft Fix it-oplossingen beschikbaar om systemen automatisch zodanig te configureren dat ze alleen NTLMv2 toestaan. Met deze methode worden ook NTLM-instellingen ingeschakeld voor gebruikers, zodat ze profiteren van Uitgebreide beveiliging voor verificatie.

Het probleem voor mij oplossen

De Fix it-oplossing die in deze sectie wordt beschreven, is niet bedoeld als vervanging voor een beveiligingsupdate. Het is aan te raden altijd de nieuwste beveiligingsupdates te installeren. In bepaalde scenario's kan deze Fix it-oplossing echter als tijdelijke oplossing dienen.

Microsoft Fix it voor Windows XP

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop of koppeling Fix it onder de kop Inschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Deze tabel samenvouwenDeze tabel uitklappen
Inschakelen
Fix this problem
Microsoft Fix it 50969
Opmerkingen
  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
Microsoft Fix it voor Windows Server 2003

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop of koppeling Fix it onder de kop Inschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Deze tabel samenvouwenDeze tabel uitklappen
Inschakelen
Fix this problem
Microsoft Fix it 50970
Opmerkingen
  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie

Veelgestelde vragen

Is er meer informatie beschikbaar over dreigingen en tegenmaatregelen voor Windows Network Security en het LAN Manager-verificatieniveau?

Gedetailleerde informatie over dreigingen en tegenmaatregelen is beschikbaar op Microsoft TechNet in de Threats and Countermeasures Guide. Zie LmCompatibilityLevel voor meer informatie over NTLM-versieconfiguratie.

Wat de oorzaak van het probleem?

Tot januari 2000 beperkten exportbeperkingen de maximale sleutellengte voor cryptografieprotocollen. De LM- en NTLM-verificatieprotocollen zijn beide ontwikkeld vóór januari 2000, waardoor deze beperkingen erop van toepassing waren. Toen Windows XP werd uitgebracht, was dit besturingssysteem zodanig geconfigureerd dat het achterwaarts compatibel was met verificatie-omgevingen die waren ontwikkeld voor Windows 2000 en lager.

Hoe kan ik onderzoeken of mijn configuratie kwetsbaar?

Dit probleem is op uw configuratie van toepassing als de LMCompatibilityLevel-registerinstellingen zijn ingesteld op een lagere waarde dan (<3).

Van welke standaardconfiguraties zijn de Windows-besturingssystemen getroffen?

In de standaardconfiguratie van Windows NT 4, Windows 2000, Windows XP en Windows Server 2003 is de waarde van LMCompatibilityLevel lager dan drie (<3).

Wat zijn de mogelijke risico's van het afdwingen van NTLMv2?

Alle ondersteunde versies van het Windows-besturingssysteem ondersteunen NTLMv2. Windows NT 4.0 SP6a biedt ook ondersteuning voor NTLMv2. Daarom is het risico van compatibiliteitsproblemen zeer klein. Oudere implementaties of configuraties van derden moeten mogelijk worden onderzocht op samenwerkingsproblemen. Een upgrade of een nieuwe configuratie kan dit probleem oplossen. Klanten wordt met klem geadviseerd om herstellende stappen uit te voeren om hun netwerk te configureren en upgraden en NTLMv1 op te sporen en uit te faseren. Gebruik van het NTLMv1-protocol heeft duidelijke, nadelige gevolgen voor netwerkbeveiliging en kan gevaarlijk zijn.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?

Een aanvaller kan verificatie-hashes van vastgelegde LM/ en NTLM-netwerkverificatie-antwoorden extraheren.

Waar vind ik meer informatie over het inschakelen van NTLMv2 op versies van Microsoft Windows waarvoor geen ondersteuning meer wordt verleend? 

Gedetailleerde informatie over NTLMv2 voor Windows NT, Windows 95, Windows 98 en Windows 98 Second Edition is beschikbaar in Microsoft Knowledge Base-artikel 239869 (Mogelijk alleen beschikbaar in het Engels).

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:
  • Mark Gamache van T-Mobile USA voor de samenwerking in de beveiliging van klanten tegen aanvallen tegen NTLMv1- (NT LAN Manager versie 1) en LM-netwerkverificatie (LAN Manager)
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.

Eigenschappen

Artikel ID: 2793313 - Laatste beoordeling: maandag 14 januari 2013 - Wijziging: 1.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003 Service Pack 2 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Trefwoorden: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com