NTLMv1 和 LM 網路驗證的安全性指導

文章翻譯 文章翻譯
文章編號: 2793313 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

我們發現有關可能遭他人用來攻擊 NT LAN Manager 版本 1?(NTLMv1) 和 LAN Manager (LM) 網路驗證的詳細資訊與工具。電腦硬體與軟體演算法的改良功能會讓這些通訊協定容易遭受公開攻擊,進而竊取使用者憑證。這些資訊與可用工具組係特別針對未強制執行 NTLMv2 驗證的環境所提供。我們強烈建議客戶評估使用環境,並且更新網路驗證設定。所有支援的 Microsoft 作業系統皆提供 NTLMv2 驗證功能。

在預設設定中受到影響的系統風險最高,例如執行 Microsoft Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的系統。例如根據預設,Windows XP 與 Windows Server 2003 皆支援 NTLMv1 驗證。

針對 Windows NT 提供兩種支援挑戰網路登入驗證的選項:LAN Manager (LM) 挑戰回應和 Windows NT 挑戰回應 (也就是 NTLM 版本 1 挑戰回應)。這些選項皆支援與 Windows NT 4.0、Windows 95、Windows 98 和 Windows 98 Second Edition 安裝基底之間的互通性。


如果要我們為您修正此問題,請移至<為我修正此問題>一節。

解決方案

為了降低這個問題的風險,我們建議您將執行 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的環境設為僅允許使用 NTLMv2。如果要執行這項操作,請依照這裡 所述的內容手動將 LAN Manager 驗證層級設為 3 以上。

針對 Windows XP 和 Windows Server 2003 提供 Microsoft Fix it 解決方案,可自動將系統設為僅允許使用 NTLMv2。這個方法亦支援 NTLM 設定,可讓使用者善加利用延伸驗證防護

為我修正此問題

本節所描述的 Fix it 解決方案的目的不在於取代任何安全性更新。建議您永遠要安裝最新的安全性更新。不過我們仍提供此 Fix it 解決方案以作為某些情況的因應措施。

適用於 Windows XP 的 Microsoft Fix it

如果要啟用或停用此 Fix it?解決方案,請按一下?[Fix it] 按鈕或 [啟用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
摺疊此表格展開此表格
啟用
Fix this problem
Microsoft Fix it 50969
注意事項
  • 此精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。
Windows Server 2003 的 Microsoft Fix it

如果要啟用或停用此 Fix it?解決方案,請按一下?[Fix it] 按鈕或 [啟用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
摺疊此表格展開此表格
啟用
Fix this problem
Microsoft Fix it 50970
注意事項
  • 此精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。

狀況說明

Microsoft 已確認<適用於>一節中列出的 Microsoft 產品確實有上述問題。

其他相關資訊

常見問題集

是否有關於 Windows 網路安全性與 LAN Manager 驗證層級威脅及對策的詳細資訊?

您可透過《威脅與對策指南》 中的 Microsoft TechNet,瞭解有關威脅與對策的詳細資訊。 如需有關 NTLM 版本設定的詳細資訊,請參閱 LmCompatibilityLevel

造成問題的原因為何?

2000 年 1 月以前的匯出限制會針對密碼編譯通訊協定的最大金鑰長度加以限制。LM 及 NTLM 驗證通訊協定係在 2000 年 1 月以前所制訂,因此會受到這些限制。發行 Windows XP 後,即將其設為確保與 Windows 2000 及更早版本專屬驗證環境之間的回溯相容性。

如何檢查設定是否存有弱點?

LMCompatibilityLevel 登錄設定 設為小於三 (<3),則會受到此問題的影響。

哪些 Windows 作業系統會在預設設定中受到影響?

Windows NT4、Windows 2000、Windows XP 和 Windows Server 2003 的 LMCompatibilityLevel 預設設定值皆小於三 (<3)。

強制執行 NTLMv2 的潛在風險有哪些?

所有支援的 Windows 作業系統版本皆支援 NTLMv2。Windows NT 4.0 SP6a 亦支援 NTLMv2。因此相容性風險極低。協力廠商的舊版實作或設定可能必須針對互通性問題進行評估。重新設定或升級可能會解決這個問題。強烈建議客戶採取補救步驟,將網路設定並升級以找出並分階段撤銷 NTLMv1。使用 NTLMv1 通訊協定對於網路安全性會產生絕對負面的影響,且易受入侵。

攻擊者可能會利用此弱點採取什麼行動?

攻擊者可能會透過收集到的 LM 與 NTLM 網路驗證回應,擷取驗證雜湊。

何處可找到有關如何針對不再支援之 Microsoft Windows 版本啟用 NTLMv2 的資訊?

您可透過 Microsoft 知識庫文章 239869 ,取得有關適用於 Windows NT、Windows 95、Windows 98 和 Windows 98 Second Edition 的 NTLMv2 詳細資訊。

認可

Microsoft 向以下人員 致謝 ,感謝他們與我們合作協助保護客戶:
  • 感謝 T-Mobile USA 的 Mark Gamache ,與我們攜手合作,協助保護客戶免於遭受 NTLMv1 (NT LAN Manager 版本 1) 與 LAN Manager (LM) 網路驗證的攻擊
注意 :本文屬於「快速發佈」文章,係由 Microsoft 技術支援或組織內部直接建立。 本文所包含的資訊是為了回應新問題而依現況提供。 因此為了迅速對外發佈,文章內容可能含有印刷錯誤,而且可能會在不另行通知的情況下進行修改。 如需其他考量事項,請參閱使用規定

屬性

文章編號: 2793313 - 上次校閱: 2013年1月11日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 2?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3?應用於:
    • Microsoft Windows XP Home Edition (家用版)
    • Microsoft Windows XP Professional
關鍵字:?
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com