Diretrizes de segurança para autenticação de rede NTLMv1 e LM

Traduções deste artigo Traduções deste artigo
ID do artigo: 2793313 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Temos ciência das informações detalhadas e ferramentas que podem ser usadas em ataques na autenticação de rede do NT LAN Manager versão 1 (NTLMv1) e LAN Manager (LM). As melhorias dos algoritmos de hardware e software do computador tornou estes protocolos vulneráveis aos ataques publicados para obter credenciais do usuário. A informação e os conjuntos de ferramentas estão disponíveis especificamente destinadas para ambientes que não aplicam a autenticação NTLMv2. Incentivamos nossos clientes a avaliarem seus ambientes e atualizarem suas configurações de autenticação de rede. Todos os sistemas operacionais da Microsoft suportados oferecem capacidades de autenticação NTLMv2.

Os sistemas afetados em uma configuração padrão estão em risco, como sistemas executando o Microsoft Windows NT 4, Windows 2000, Windows XP e Windows Server 2003. Por exemplo, por padrão, o Windows XP e Windows Server 2003 suportam autenticação NTLMv1. 

Para o Windows NT, duas opções são suportadas para autenticação de resposta de desafio em logons de rede: Resposta do desafio do LAN Manager (LM) e resposta do desafio do Windows NT (também conhecido como resposta do desafio do NTLM versão 1). Ambos permitem a interoperabilidade com bases instaladas do Windows NT 4.0, Windows 95, Windows 98 e Windows 98 Second Edition. 


Para podermos corrigir este problema para você, vá para a seção "Corrigir para mim".

Resolução

Para reduzir o risco deste problema, recomendamos configurar ambientes que executam o Windows NT 4, Windows 2000, Windows XP e Windows Server 2003 para permitir o uso de apenas NTLMv2. Para fazer isso, configure manualmente o Nível de Autenticação do LAN Manager para 3 ou superior, conforme descrito aqui.

Para o Windows XP e Windows Server 2003, as soluções do Microsoft Fix it estão disponíveis para configurar automaticamente os sistemas para permitir o uso de apenas NTLMv2. Este método também habilita as configurações de NTLM para os usuários aproveitarem a Proteção Estendida para Autenticação.

Corrigir para mim

A solução Fix it descrida nesta seção não é destinada para substituir qualquer atualização de segurança. É recomendável ter sempre as atualizações de segurança mais recentes instaladas. No entanto, oferecemos esta solução Fix it como uma alternativa para alguns cenários. 

Microsoft Fix it para Windows XP

Para habilitar ou desabilitar esta solução Fix it, clique no botão Fix it ou no link do cabeçalho Habilitar. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no assistente Fix it.
Recolher esta tabelaExpandir esta tabela
Habilitar
Fix this problem
Microsoft Fix it 50969
Observações
  • Esse assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, é possível salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.
Microsoft Fix it para Windows Server 2003

Para habilitar ou desabilitar esta solução Fix it, clique no botão Fix it ou no link do cabeçalho Habilitar. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no assistente Fix it.
Recolher esta tabelaExpandir esta tabela
Habilitar
Fix this problem
Microsoft Fix it 50970
Observações
  • Esse assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, é possível salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.

Situação

A Microsoft confirmou que esse problema ocorre nos produtos listados na seção "Aplicável a".

Mais Informações

Perguntas Frequentes

Há mais informações sobre as ameaças e contramedidas para o Windows Network Security e o Nível de Autenticação do LAN Manager?

Informações detalhadas sobre ameaças e contramedidas estão disponíveis no Microsoft TechNet no Guia de Ameaças e Contramedidas. Para obter mais informações sobre a configuração da versão do NTLM, consulte LmCompatibilityLevel.

O que causou o problema?

Até janeiro de 2000, as restrições de exportação eram limitadas ao comprimento de chave máximo para protocolos criptográficos. Os protocolos de autenticação LM e NTLM foram desenvolvidos antes de janeiro de 2000 e, portanto, estava sujeitos a estas restrições. Quando o Windows XP foi lançado, foi configurado para garantir a compatibilidade inversa com ambientes de autenticação projetados para o Windows 2000 e anterior. 

Como verifico se minha configuração está vulnerável?

Você é afetado por este problema se as configurações de Registro LMCompatibilityLevel estão definidas para menos de três (<3).

Quais sistemas operacionais do Windows são afetados nas configurações padrões? 

Windows NT4, Windows 2000, Windows XP e Windows Server 2003 possuem um valor de configuração padrão de LMCompatibilityLevel inferior a três (<3).

Quais são os possíveis riscos de aplicar o NTLMv2?

Todas as versões compatíveis do sistema operacional Windows suportam NTLMv2. O Windows NT 4.0 SP6a também suporta NTLMv2. Portanto, há um risco muito pequeno de compatibilidade. Implementações herdadas de terceiros ou configurações que podem precisar ser avaliadas por qualquer problema de interoperabilidade. Uma reconfiguração ou atualização pode resolver este problema. Os clientes são recomendados a realizar etapas de correção para configurar ou atualizar sua rede ao identificar ou desativar o NTLMv1. O uso do protocolo NTLMv1 possui um efeito colateral definido na segurança de rede e pode ser comprometido.

Para o que um invasor pode usar a vulnerabilidade?

Um invasor pode extrair hashes de autenticação da respostas de autenticação de rede LM e NTLM capturadas.

Onde posso encontrar informações sobre como habilitar o NTLMv2 em versões do Microsoft Windows não mais suportadas? 

Informações detalhadas sobre o NTLMv2 para Windows NT, Windows 95, Windows 98 e Windows 98 Second Edition estão disponíveis no artigo 239869 da Base de Dados de Conhecimento da Microsoft.

Agradecimentos

A Microsoft agradece às seguintes pessoas por trabalharem conosco, ajudando a proteger os clientes:
  • Mark Gamache da T-Mobile USA por trabalhar conosco para ajudar a proteger os clientes contra ataques no NTLMv1 (NT LAN Manager versão 1) e na autenticação de rede do LAN Manager (LM)
Observação: este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso para ver outras informações.

Propriedades

ID do artigo: 2793313 - Última revisão: sábado, 12 de janeiro de 2013 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Service Pack 3 para Windows XP nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Palavras-chave: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com