Orientação de segurança para autenticação de rede NTLMv1 e LM

Traduções de Artigos Traduções de Artigos
Artigo: 2793313 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Estamos cientes das informações detalhadas e ferramentas que podem ser utilizadas para ataques à autenticação de rede da versão 1 do LAN Manager do NT (NTLMv1) e do LAN Manager (LM). Os melhoramentos introduzidos nos algoritmos de hardware e software do computador tornaram estes protocolos vulneráveis a ataques públicos para obtenção de credenciais de utilizadores. As informações e conjuntos de ferramentas disponíveis atacam especificamente ambientes que não aplicam a autenticação NTLMv2. Encorajamos vivamente os clientes a avaliarem os seus ambientes e actualizarem as definições de autenticação de rede. Todos os sistemas operativos Microsoft suportados disponibilizam capacidades de autenticação NTLMv2.

Encontram-se sob risco principalmente os sistemas que são afectados numa configuração predefinida, tal como sistemas que executem o Microsoft Windows NT 4, Windows 2000, Windows XP e Windows Server 2003. Por exemplo, por predefinição, o Windows XP e o Windows Server 2003 suportam ambos a autenticação NTLMv1. 

Para Windows NT, são suportadas duas opções para autenticação challenge/response nos inícios de sessão da rede: Challenge/response de LAN Manager (LM) e challenge/response de Windows NT (também conhecido como challenge/response de NTLM versão 1). Ambos permitem uma interoperabilidade com bases instaladas do Windows NT 4.0, Windows 95, Windows 98 e Windows 98 Second Edition. 


Para nos solicitar a correcção deste problema, consulte a secção "Corrigir por mim".

Resolução

Para reduzir os riscos inerentes a este problema, recomendamos que configure ambientes que executem o Windows NT 4, Windows 2000, Windows XP e Windows Server 2003 para apenas permitir a utilização de NTLMv2. Para fazer isto, configure manualmente o Nível de Autenticação do LAN Manager para 3 ou superior, conforme descrito aqui.

Para o Windows XP e Windows Server 2003, soluções Microsoft Fix it estão disponíveis para configurar automaticamente os sistemas de modo a que estes apenas permitam a utilização de NTLMv2. Este método também activa as definições NTLM para que os utilizadores possam tomar partido da Protecção Expandida para Autenticação.

Corrigir por mim

A solução Fix it descrita nesta secção não se destina a substituir qualquer actualização de segurança. Recomendamos que instale sempre as actualizações de segurança mais recentes. No entanto, disponibilizamos esta solução Fix it como uma opção para contornar determinados cenários. 

Microsoft Fix it para Windows XP

Para activar ou desactivar esta solução Fix it, clique no botão ou hiperligação Fix it sob o cabeçalho Activar. Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos indicados no assistente Fix it.
Reduzir esta tabelaExpandir esta tabela
Activar
Fix this problem
Microsoft Fix it 50969
Notas
  • Este assistente pode estar apenas em inglês. Contudo, a correcção automática também funciona para versões do Windows noutros idiomas.
  • Se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa pen USB ou num CD e, em seguida, executá-la no computador com o problema.
Microsoft Fix it para Windows Server 2003

Para activar ou desactivar esta solução Fix it, clique no botão ou hiperligação Fix it sob o cabeçalho Activar. Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos indicados no assistente Fix it.
Reduzir esta tabelaExpandir esta tabela
Activar
Fix this problem
Microsoft Fix it 50970
Notas
  • Este assistente pode estar apenas em inglês. Contudo, a correcção automática também funciona para versões do Windows noutros idiomas.
  • Se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa pen USB ou num CD e, em seguida, executá-la no computador com o problema.

Ponto Da Situação

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

FAQ

Existem mais informações sobre ameaças e contramedidas para o Nível de Autenticação do Windows Network Security e LAN Manager?

Estão disponíveis informações detalhadas sobre ameaças e contramedidas na Microsoft TechNet no Guia de Ameaças e Contramedidas. Para obter mais informações sobre a configuração da versão NTLM, consulte LmCompatibilityLevel.

O que causou o problema?

Até Janeiro de 2000, as restrições de exportação limitaram o comprimento máximo de chave dos protocolos criptográficos. Os protocolos de autenticação LM e NTLM foram ambos desenvolvidos antes de Janeiro de 2000, estando portanto sujeitos a essas restrições. Quando o Windows XP foi lançado, este foi configurado para assegurar a retrocompatibilidade com ambientes de autenticação concebidos para o Windows 2000 e sistemas anteriores. 

Como posso investigar se a minha configuração é vulnerável?

É afectado por este problema se as definições de registo de LMCompatibilityLevel se encontrarem definidas num valor inferior a três (<3).

Quais sistemas operativos Windows são afectados em configurações predefinidas? 

Windows NT4, Windows 2000, Windows XP e Windows Server 2003 têm um valor de configuração predefinido de LMCompatibilityLevel inferior a três (<3).

Quais são os potenciais riscos de aplicar NTLMv2?

Todas as versões suportadas do sistema operativo Windows suportam NTLMv2. Windows NT 4.0 SP6a também suporta NTLMv2. Portanto, existe um risco reduzido em termos de compatibilidade. Implementações ou configurações de legado de terceiros poderão ter de ser avaliadas em termos de interoperabilidade. Uma nova configuração ou uma actualização poderão resolver este problema. Aconselhamos vivamente os clientes a adoptar medidas de correcção para configurar e actualizar a sua rede para que esta identifique e descontinue NTLMv1. A utilização do protocolo NTLMv1 tem um efeito adverso muito claro na segurança da rede, a qual pode ser comprometida.

Com que finalidades pode um atacante explorar a vulnerabilidade?

Um atacante pode extrair hashes de autenticação de respostas de autenticação de rede captadas de LM e NTLM.

Onde posso encontrar informações sobre como activar o NTLMv2 em versões do Microsoft Windows que já não sejam suportadas? 

Estão disponíveis informações detalhadas sobre NTLMv2 para Windows NT, Windows 95, Windows 98 e Windows 98 Second Edition no Artigo 239869 da Base de Dados de Conhecimento Microsoft.

Agradecimentos

A Microsoft agradece às seguintes pessoas pelo seu trabalho connosco no auxílio à protecção dos clientes:
  • Mark Gamache da T-Mobile USA por nos ajudar a proteger os clientes de ataques à autenticação de rede NTLMv1 (NT LAN Manager versão 1) e LAN Manager (LM)
Nota Este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas ?tal como estão? em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização para outras considerações.

Propriedades

Artigo: 2793313 - Última revisão: 11 de janeiro de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Palavras-chave: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com