Руководство по обеспечению безопасности для проверки подлинности по протоколам NTLMv1 и LM

Переводы статьи Переводы статьи
Код статьи: 2793313 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Нам хорошо известно, что имеется много информации и инструментов, которые могут быть использованы для совершения атак в ходе проверки подлинности по протоколам NT LAN Manager 1 (NTLMv1) и LAN Manager (LM). Нововведения в области компьютерного оборудования и программного обеспечения сделали эти протоколы уязвимыми для несанкционированных попыток получения учетных данных пользователей. Эта информация и инструменты в большей степени направлены на среды, в которых проверка подлинности по протоколу NTLMv2 не является обязательной. Мы настоятельно рекомендуем клиентам проверить свои среды и провести обновление параметров проверки подлинности сети. Все поддерживаемые операционные системы Майкрософт предоставляют возможность проверки подлинности по протоколу NTLMv2.

В первую очередь угрозе подвержены системы, которые используют конфигурацию по умолчанию (например, Microsoft Windows NT 4, Windows 2000, Windows XP и Windows Server 2003). По умолчанию как Windows XP, так и Windows Server 2003, к примеру, поддерживают проверку подлинности по протоколу NTLMv1. 

В операционной системе Windows NT поддерживаются два варианта проверки подлинности с запросом и подтверждением при входе в сеть: запрос и подтверждение по протоколу LAN Manager (LM) и запрос и подтверждение Windows NT (также известное как запрос и подтверждение по протоколу NTLM 1). Оба варианта служат для взаимодействия с системами Windows NT 4.0, Windows 95, Windows 98 и Windows 98 Second Edition. 


Если для решения проблемы требуется помощь, перейдите к разделу Получение помощи в решении проблемы.

Решение

Чтобы снизить риск возникновения проблемы, рекомендуется разрешить использование только протокола NTLMv2 для проверки подлинности в средах, в которых представлены системы Windows NT 4, Windows 2000, Windows XP и Windows Server 2003. Для этого вручную укажите для уровня проверки подлинности LAN Manager значение, равное 3 (или большее), как описано здесь.

Для Windows XP и Windows Server 2003 доступны решения Microsoft Fix it, чтобы автоматически настроить системы на использование исключительно протокола NTLMv2. Этот метод также позволяет использовать расширенную защиту для проверки подлинности в рамках параметров NTLM.

Получение помощи в решении проблемы

Описанное в этом разделе решение Fix it не может использоваться вместо обновлений для системы безопасности, последние версии которых всегда должны быть установлены на компьютере. Однако в некоторых случаях это решение позволяет обойти проблему. 

Microsoft Fix it для Windows XP

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить. Затем в диалоговом окне Загрузка файла нажмите кнопку Запустить и следуйте инструкциям мастера Fix it.
Свернуть эту таблицуРазвернуть эту таблицу
Включить
Fix this problem
Microsoft Fix it 50969
Примечания.
  • Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.
  • Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.
Microsoft Fix it для Windows Server 2003

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить. Затем в диалоговом окне Загрузка файла нажмите кнопку Запустить и следуйте инструкциям мастера Fix it.
Свернуть эту таблицуРазвернуть эту таблицу
Включить
Fix this problem
Microsoft Fix it 50970
Примечания.
  • Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.
  • Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Статус

Данное поведение является подтвержденной ошибкой в продуктах Майкрософт, перечисленных в разделе "Информация в данной статье относится к следующим продуктам".

Дополнительная информация

Вопросы и ответы

Можно ли найти дополнительные сведения об угрозах и мерах противодействия для сетевой системы безопасности Windows и уровня проверки подлинности LAN Manager?

Дополнительные сведения об угрозах и мерах противодействия доступны на портале Microsoft TechNet в разделе Руководство по угрозам безопасности и методы противодействия. Дополнительные сведения о настройке версий NTLM см. раздел LmCompatibilityLevel.

Что явилось причиной проблемы?

До января 2000 г. экспортные ограничения определяли максимальную длину ключа для протоколов шифрования. Протоколы проверки подлинности LM и NTLM были разработаны до января 2000, и поэтому на них распространялись эти ограничения. После выпуска Windows XP система была сконфигурирована таким образом, чтобы обеспечить совместимость со средами проверки подлинности, которые были разработаны для ОС Windows 2000 и более ранних версий. 

Как узнать, является ли моя конфигурация уязвимой?

Эта проблема может произойти, если значение параметра реестра LMCompatibilityLevel меньше чем три (<3).

Какие операционные системы Windows, для которых используются параметры по умолчанию, являются уязвимыми? 

В параметрах по умолчанию для ОС Windows NT4, Windows 2000, Windows XP и Windows Server 2003 значение параметра LMCompatibilityLevel меньше чем три (<3).

Какой потенциальные риск существует при принудительном использовании протокола NTLMv2?

Все поддерживаемые версии операционных систем Windows поддерживают протокол NTLMv2. Windows NT 4.0 с пакетом обновления 6a (SP6a) также поддерживает протокол NTLMv2. Поэтому проблемы совместимости очень маловероятны. Возможно понадобится проверка сторонних (устаревших) приложений и конфигураций на предмет совместимости. Повторная настройка или обновление могут решить проблему. Клиентам настоятельно рекомендуется выполнить ряд действий для настройки или обновления их сетей, чтобы выяснить, используется ли протокол NTLMv1, и исключить его. Использование протокола NTLMv1 отрицательно влияет на сетевую безопасность и может поставить ее под угрозу.

Каким образом злоумышленник может использовать данную уязвимость?

Злоумышленник может извлечь хэш-значения из полученных подтверждений при проверке подлинности по протоколам LM и NTLM при входе в сеть.

Где найти сведения о включении протокола NTLMv2 в версиях ОС Microsoft Windows, которые не поддерживаются в настоящее время? 

Дополнительные сведения о протоколе NTLMv2 для ОС Windows NT, Windows 95, Windows 98 и Windows 98 Second Edition доступны в статье 239869 базы знаний Майкрософт.

Благодарность

Корпорация Майкрософт благодарит следующих людей за помощь в защите клиентов:
  • Марка Гамач (Mark Gamache), сотрудника компании T-Mobile (США), за совместную работу, направленную на защиту клиентов от атак в ходе проверки подлинности по протоколам NTLMv1 (NT LAN Manager версии 1) и LAN Manager (LM).
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2793313 - Последний отзыв: 14 января 2013 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 2 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 на следующих платформах
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Ключевые слова: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com