NTLMv1 和 LM 网络身份验证的安全指南

文章翻译 文章翻译
文章编号: 2793313 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

我们发现,详细信息和工具可以用来对 NT LAN Manager 1 版?(NTLMv1) 和 LAN Manager (LM) 网络身份验证进行攻击。计算机硬件和软件算法的改进使这些协议容易受到广泛发布的旨在获取用户凭据的攻击。此信息和可用工具集专门针对不执行 NTLMv2 身份验证的环境而设计。我们强烈鼓励客户对其环境进行评估并更新网络身份验证设置。所有受支持的 Microsoft 操作系统都提供 NTLMv2 身份验证功能。

主要会存在风险的是默认配置受到感染的系统,例如运行 Microsoft Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的系统。例如,在默认情况下,Windows XP 和 Windows Server 2003 都支持 NTLMv1 身份验证。

对于 Windows NT,其网络登录的质询响应身份验证支持两种选项:LAN Manager (LM) 质询响应和 Windows NT 质询响应(也称为 NTLM 1 版质询响应)。这两种选项均支持与已安装 Windows NT 4.0、Windows 95、Windows 98 和 Windows 98 Second Edition 的计算机的互操作性。


若要让我们为您修复此问题,请转到“帮我修复此问题”部分。

解决方案

为了降低此问题的风险,我们建议您对运行 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的环境进行配置,以允许仅使用 NTLMv2。为此,请手动将 LAN Manager 身份验证级别设置为 3 或更高,如此处所述。

对于 Windows XP 和 Windows Server 2003,Microsoft Fix it 解决方案可用于自动配置系统,以允许仅使用 NTLMv2。此方法还可以启用 NTLM 设置,以便用户充分利用身份验证扩展保护

帮我修复此问题

本部分描述的 Fix it 解决方案不能取代任何安全更新。我们建议您总是安装最新的安全更新。但是,我们提供此修复解决方案作为某些情况下的替代方法。

适用于 Windows XP 的 Microsoft Fix it

若要启用或禁用此 Fix it?解决方案,请单击“启用”标题下的“Fix it”按钮或链接。单击“文件下载”对话框中的“运行”,然后按照 Fix it 向导中的步骤执行操作。
收起该表格展开该表格
启用
Fix this problem
Microsoft Fix it 50969
注意
  • 该向导可能只有英文版本。但是自动修复功能同样适用于其他语言版本的 Windows。
  • 如果操作的计算机中未出现此问题,则可以将自动修复功能保存至闪存驱动器或 CD,然后在出现此问题的计算机中运行该功能。
适用于 Windows Server 2003 的 Microsoft Fix it

若要启用或禁用此 Fix it?解决方案,请单击“启用”标题下的“Fix it”按钮或链接。单击“文件下载”对话框中的“运行”,然后按照 Fix it 向导中的步骤执行操作。
收起该表格展开该表格
启用
Fix this problem
Microsoft Fix it 50970
注意
  • 该向导可能只有英文版本。但是自动修复功能同样适用于其他语言版本的 Windows。
  • 如果操作的计算机中未出现此问题,则可以将自动修复功能保存至闪存驱动器或 CD,然后在出现此问题的计算机中运行该功能。

状态

Microsoft 已经确认“适用于”部分中列出的 Microsoft 产品存在此问题。

更多信息

常见问题

是否有关于 Windows 网络安全和 LAN Manager 身份验证级别的威胁和对策的更多信息?

有关威胁和对策的详细信息可在 Microsoft TechNet 的威胁和对策指南中找到。 有关 NTLM 版本配置的更多信息,请参阅 LmCompatibilityLevel

导致问题的原因是什么?

在 2000 年 1 月之前,出口限制限制了加密协议的最大密钥长度。LM 和 NTLM 身份验证协议的开发时间均在 2000 年 1 月之前,因此,它们均受到了这些限制的影响。在 Windows XP 发布时,它被配置为确保可以与为 Windows 2000 和早期版本设计的身份验证环境保持后向兼容性。

我如何审查我的配置是否容易受到攻击?

如果 LMCompatibilityLevel 注册表设置被设置为小于三 (<3),则容易受此问题影响。

哪些 Windows 操作系统的默认配置会受到影响?

Windows NT4、Windows 2000、Windows XP 和 Windows Server 2003 对 LMCompatibilityLevel 的默认配置值均小于三 (<3)。

执行 NTLMv2 有哪些潜在风险?

所有受支持的 Windows 操作系统版本都支持 NTLMv2。Windows NT 4.0 SP6a 也支持 NTLMv2。因此,存在兼容性风险的可能性非常小。第三方传统实现或配置可能需要进行评估,以查看是否存在任何互操作性问题。进行重新配置或升级可能可以解决此问题。我们强烈建议客户采取补救措施来配置和升级其网络,从而确定并逐步淘汰 NTLMv1。使用 NTLMv1 协议会对网络安全带来一定的不良反应,可能会造成泄密。

攻击者可能会使用该漏洞执行哪些操作?

攻击者可能会从捕获的 LM 和 NTLM 网络身份验证响应中提取身份验证哈希。

在哪里可以找到有关如何在不受支持的 Microsoft Windows 版本上启用 NTLMv2 信息?

有关适用于 Windows NT、Windows 95、Windows 98 和 Windows 98 Second Edition 的 NTLMv2 的详细信息可在?Microsoft 知识库文章 239869 中找到。

鸣谢

Microsoft 对以下人士在客户保护方面提供的合作与帮助表示由衷的感谢
  • Mark Gamache,来自 T-Mobile USA,在保护客户免受 NTLMv1(NT LAN Manager 1 版)和 LAN Manager (LM) 网络身份验证攻击方面为我们提供了合作与帮助
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款

属性

文章编号: 2793313 - 最后修改: 2013年1月11日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 2?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3?当用于
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
关键字:?
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com