كيفية تمكين مصادقة NTLM 2

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية239869
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
من وجهة تاريخية، يدعم Windows NT نوعين مختلفين من مصادقة الاستجابة/الارتياب لتسجيلات دخول شبكة الاتصال:
  • إدارة LAN (LM) الارتياب/الاستجابة
  • Windows NT الارتياب/الاستجابة (يعرف أيضاً الإصدار 1 الارتياب/الاستجابة لـ NTLM)
يسمح متغير LM إمكانية التشغيل المتداخل مع القاعدة المثبتة من Windows 95 و Windows 98 الإصدار الثاني من Windows 98 العملاء والملقمات. يوفر NTLM أمانًا محسنًا للاتصالات بين العملاء Windows NT. يعتمد Windows NT أيضاً آلية أمان جلسة عمل NTLM يوفر الرسالة السرية (تشفير) والتكامل (توقيع).

قمت بإجراء تحسينات الأخيرة في الكمبيوتر الأجهزة والبرامج الخوارزميات هذه البروتوكولات عرضة لهجمات المنشورة على نطاق واسع للحصول على كلمات مرور المستخدم. قامت Microsoft بتطوير تحسين ، تسمى NTLM في به الجهود الجارية لتسليم منتجات أكثر أماناً إلى المختارين الإصدار 2, تحسن بشكل كبير آليات الأمان جلسة والمصادقة. تم NTLM 2 المتوفرة لـ Windows NT 4.0 منذ Service Pack 4 (SP4) تم إصداره و يتم اعتماد أصلاً في Windows 2000. يمكنك إضافة دعم NTLM 2 إلى نظام التشغيل Windows 98 عن طريق تثبيت "ملحقات خدمة Active Directory على العميل".

بعد ترقية كافة أجهزة الكمبيوتر التي تستند إلى نظام التشغيل Windows 95 و Windows 98 الإصدار الثاني من Windows 98 و Windows NT 4.0 يمكنك تحسين أمان المؤسسة الخاصة بك بشكل كبير عن طريق تكوين العملاء والملقمات وحدات التحكم بالمجال لاستخدام فقط NTLM 2 (لا LM أو NTLM).
معلومات أخرى
للحصول على معلومات إضافية حول تثبيت "ملحق العميل" المناسب دليل Active Directory انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
288358كيفية تثبيت ملحق عميل "Active Directory"
عند تثبيت "ملحقات العميل دليل Active Directory" على كمبيوتر يعمل بنظام التشغيل Windows 98 يتم تثبيت ملفات النظام التي توفر دعم NTLM 2 أيضاً تلقائياً. هذه الملفات هي Secur32.dll و Msnp32.dll Vredir.vxd و Vnetsup.vxd. في حالة إزالة "ملحق العميل دليل Active Directory" لا تتم إزالة ملفات النظام NTLM 2 لأن الملفات توفر كل من وظائف الأمان المحسّن و الإصلاحات المتعلقة بالأمان.

بشكل افتراضي، تشفير أمان جلسة العمل لـ NTLM 2 مقيّد إلى أقصى طول مفتاح من 56 بت. يتم تلقائياً تثبيت اعتماد اختياري مفاتيح 128-بت إذا كان النظام يفي قوانين التصدير في الولايات المتحدة. يجب عليك تثبيت Microsoft Internet Explorer 4.x لتمكين دعم أمان جلسة العمل NTLM 2 128 بت أو 5 والترقية إلى 128-بت تأمين دعم الاتصال قبل تثبيت "ملحق خدمة Active Directory على العميل".

التحقق من إصدار التثبيت:
  1. استخدام "مستكشف Windows" لتحديد موقع ملف Secur32.dll في المجلد %SystemRoot%\System.
  2. انقر بزر الماوس الأيمن فوق الملف ثم انقر فوق خصائص.
  3. انقر فوق علامة التبويب الإصدار. وصف الإصدار ذا 56 بت هو "أمان Microsoft Win32 الخدمات (إصدار التصدير)." وصف بالنسبة للإصدار 128 بت هو "Win32 Microsoft أمان خدمات (الولايات المتحدة وكندا فقط)."
قبل تمكين مصادقة NTLM 2 عملاء Windows 98 تحقق من أن كافة وحدات التحكم بالمجال للمستخدمين الذين يقومون بتسجيل الدخول إلى شبكة الاتصال من هذه الأجهزة العميلة قيد التشغيل Windows NT 4.0 Service Pack 4 أو الإصدار الأحدث. (وحدات تحكم المجال يمكن تشغيل Windows NT 4.0 Service Pack 6 حالة انضمام الخادم إلى مجالات مختلفة.) لا يوجد تكوين وحدة تحكم المجال مطلوب إلى الدعم NTLM 2. يجب عليك تكوين وحدات التحكم بالمجال فقط لتعطيل دعم مصادقة NTLM 1 أو LM.للحصول على معلومات إضافية حول الاختلافات بين هذه المتغيرات بروتوكول أهمية ترقية لاستخدام 2 NTLM فقط انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
147706كيفية تعطيل مصادقة LM على Windows NT

تمكين NTLM 2 عملاء Windows 95 أو Windows 98 أو الإصدار الثاني من Windows 98

هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. لذلك، تأكد من اتبع الخطوات التالية بعناية. للحصول على الحماية المضافة عمل نسخة احتياطية من السجل قبل تعديله. ثم يمكنك استعادة السجل في حالة حدوث مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
322756كيفية عمل نسخة احتياطية و استعادة التسجيل في Windows

لتمكين Windows 95 أو Windows 98 أو الإصدار الثاني من Windows 98 العميل لمصادقة NTLM 2 تثبيت "عميل خدمات الدليل". لتنشيط NTLM 2 على العميل اتبع الخطوات التالية:
  1. بدء تشغيل "محرر التسجيل (Regedit.exe).
  2. حدد موقع ثم انقر فوق المفتاح التالي في التسجيل:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. إنشاء مفتاح تسجيل LSA في مفتاح التسجيل المذكورة أعلاه.
  4. من القائمة تحرير ، انقر فوق إضافة قيمة ، ثم قم بإضافة قيمة التسجيل التالية:
    اسم القيمة: LMCompatibility
    نوع البيانات: REG_DWORD
    قيمة: 3
    نطاق صالح: 0,3
    وصف: هذه المعلمة تحديد وضع مصادقة والأمان جلسة العمل المراد استخدامه تسجيلات دخول شبكة الاتصال. ولا يؤثر على تسجيلات الدخول التبادلية.
    • مستوى 0 - إرسال LM و NTLM استجابة; مطلقًا أمان جلسة العمل استخدام NTLM 2. سوف العملاء استخدام مصادقة LM وNTLM ولا يستخدمون مطلقًا أمان جلسة العمل NTLM 2; تقبل وحدات تحكم المجال مصادقة LM و NTLM 2 NTLM.
    • مستوى 3 - إرسال استجابة NTLM 2 فقط. سيتم استخدام مصادقة NTLM 2 العملاء كما يستخدمون أمان جلسة العمل NTLM 2 إذا كان الملقم; تقبل وحدات تحكم المجال مصادقة LM و NTLM 2 NTLM.
    ملاحظة لتمكين NTLM 2 لـ Windows 95 العملاء بتثبيت عميل نظام الملفات الموزعة (DFS) و تحديث WinSock 2.0 و Microsoft DUN 1.3 لنظام التشغيل Windows 2000.

  5. قم بإنهاء "محرر التسجيل".

ملاحظة Windows NT 4.0 و Windows 2000 مفتاح التسجيل LMCompatibilityLevel وتعد لـ Windows 95 و أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 98 مفتاح التسجيل LMCompatibility.

للحصول على مرجع نطاق كامل من القيم عن القيمة LMCompatibilityLevel المدعمة بواسطة Windows NT 4.0 و Windows 2000 تتضمن:
  • مستوى 0 - إرسال LM و NTLM استجابة; مطلقًا أمان جلسة العمل استخدام NTLM 2. يستخدم العملاء مصادقة LM وNTLM ثم مطلقًا أمان جلسة العمل استخدام NTLM 2; تقبل وحدات تحكم المجال مصادقة LM و NTLM 2 NTLM.
  • مستوى 1 - استخدام أمان جلسة العمل 2 NTLM إذا تم التفاوض. يستخدم مصادقة LM وNTLM العملاء كما يستخدمون أمان جلسة العمل NTLM 2 إذا كان الملقم; تقبل وحدات تحكم المجال مصادقة LM و NTLM 2 NTLM.
  • مستوى 2 - إرسال استجابة NTLM فقط. يستخدم العملاء NTLM فقط ومصادقة استخدام أمان جلسة العمل 2 NTLM إذا كان الملقم; تقبل وحدات تحكم المجال مصادقة LM و NTLM 2 NTLM.
  • مستوى 3 - إرسال استجابة NTLM 2 فقط. عملاء مصادقة استخدام NTLM 2 و استخدام أمان جلسة العمل 2 NTLM إذا كان الملقم; تقبل وحدات تحكم المجال مصادقة LM و NTLM 2 NTLM.
  • مستوى 4 - استجابات LM ترفض وحدات تحكم المجال. العملاء استخدام مصادقة NTLM كما يستخدمون أمان جلسة العمل 2 NTLM إذا كان الملقم يدعمها؛ ترفض وحدات تحكم المجال مصادقة LM (وهذا يعني أنها تقبل NTLM و NTLM 2).
  • المستوى 5 - ترفض وحدات تحكم المجال استجابات LM وNTLM (تقبل فقط NTLM 2). يستخدم العملاء مصادقة NTLM 2 أمان جلسة العمل استخدام NTLM 2 إذا كان الملقم يدعمها؛ ترفض وحدات تحكم المجال مصادقة NTLM و LM (تقبل NTLMv2 فقط NTLM 2).
يمكن استخدام جهاز كمبيوتر عميل بروتوكول واحد في التحدث إلى كافة الملقمات فقط. لا يمكن تكوينه, على سبيل المثال، استخدام الإصدار 2 NTLM للاتصال بملقمات يستند إلى نظام التشغيل Windows 2000 ثم استخدام NTLM الاتصال إلى ملقمات أخرى. وهذا حسب التصميم.

يمكنك تكوين الأمان الأدنى المستخدمة في البرامج التي تستخدم موفر دعم الأمان NTLM (SSP) عن طريق تعديل مفتاح التسجيل التالي. تكون هذه القيم تابعة LMCompatibilityLevel القيمة:
  1. بدء تشغيل "محرر التسجيل (Regedit.exe).
  2. حدد موقع المفتاح التالي في التسجيل:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. من القائمة تحرير ، انقر فوق إضافة قيمة ، ثم قم بإضافة قيمة التسجيل التالية:
    اسم القيمة: NtlmMinClientSec
    نوع البيانات: REG_WORD
    قيمة: إحدى القيم أدناه:
    • تكامل رسالة 0x00000010
    • سرية الرسالة 0x00000020
    • 0x00080000-أمان جلسة العمل NTLM 2
    • تشفير 0x20000000-128-بت
    • 0x80000000-تشفير 56 بت

  4. قم بإنهاء "محرر التسجيل".
إذا كان برنامج عميل/ملقم يستخدم NTLM SSP (أو آمن يستخدم "استدعاء الإجراء البعيد" [RPC] ، والذي يستخدم NTLM SSP) لتوفير أمان جلسة العمل من أجل اتصال أمان جلسة العمل لاستخدام يتم تحديد النوع كما يلي:
  • يطلب العميل أي أو كافة العناصر التالية: تكامل رسالة و سرية رسالة أمان جلسة العمل NTLM 2 و تشفير 128 بت أو 56 بت.
  • يستجيب الملقم تشير إلى العناصر التي من مجموعة المطلوبة تقديمها.
  • تعرف مجموعة الناتج أن يتم "التفاوض."
يمكن استخدام القيمة NtlmMinClientSec يؤدي عميل/ملقم اتصالات إما التفاوض حول جودة معطى أمان جلسة العمل أو لم تنجح. ومع ذلك، يجب مراعاة العناصر التالية:
  • إذا كنت تستخدم 0x00000010 لقيمة NtlmMinClientSec الاتصال فشل إذا لم يتم التفاوض على تكامل رسالة.
  • إذا كنت تستخدم 0x00000020 لقيمة NtlmMinClientSec الاتصال فشل إذا لم يتم التفاوض على السرية الرسالة.
  • إذا كنت تستخدم 0x00080000 لقيمة NtlmMinClientSec الاتصال فشل إذا لم يتم التفاوض على أمان جلسة العمل NTLM 2.
  • إذا كنت تستخدم 0x20000000 لقيمة NtlmMinClientSec الاتصال فشل إذا سرية الرسالة قيد الاستخدام لكن لم يتم التفاوض على تشفير 128-بت.
ntlmv2

خصائص

رقم الموضوع: 239869 - آخر مراجعة: 12/05/2015 15:35:11 - المراجعة: 4.7

Microsoft Windows 2000 Advanced Server, Microsoft Windows NT 4.0 Service Pack 4, Microsoft Windows NT 4.0 Service Pack 5, Microsoft Windows 98 Second Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbnosurvey kbarchive kbmt kbenv kbhowto KB239869 KbMtar
تعليقات