Jak povolit ověřování protokolem NTLM 2

Souhrn

Systém Windows NT historicky podporuje dvě varianty ověřování typu výzva a odpověď pro přihlášení k síti:
  • Výzva a odezva systému LAN Manager (LM)
  • Výzva a odpověď systému Windows NT (také označované jako NTLM verze 1 typu výzva a odpověď)
Varianta LM umožňuje součinnost s instalovanou základnou klientů Windows 95, Windows 98 a Windows 98 Druhé vydání a serverů. Protokol NTLM poskytuje lepší zabezpečení připojení mezi servery a klienty systému Windows NT. Systém Windows NT také podporuje mechanismus zabezpečení relace NTLM, která umožňuje důvěrnosti zprávy (šifrování) a integritu (podpisování).

Nejnovější vylepšení počítače hardwaru a softwarových algoritmů učinil tyto protokoly zranitelné vůči všeobecně známým útokům, pro získání uživatelských hesel. V neustálé snaze poskytovat svým zákazníkům bezpečnější produkty společnost Microsoft vyvinula rozšíření, nazývané NTLM verze 2 výrazně zlepšuje ověřování a mechanismy zabezpečení relace. NTLM 2 byla k dispozici pro systém Windows NT 4.0 Service Pack 4 (SP4) byla vydána a je nativně podporován v systému Windows 2000. Můžete přidat podporu protokolu NTLM 2 pro systém Windows 98 při instalaci rozšíření klienta služby Active Directory.

Po upgradu všech počítačů, které jsou založeny na Windows 95, Windows 98, Windows 98 Second Edition a Windows NT 4.0, může značně zlepšit zabezpečení vaší organizace tím, že nakonfigurujete klienty, servery a řadiče domény používat pouze protokol NTLM 2 (ne LM nebo NTLM).

Další informace

Další informace o instalaci vhodného rozšíření klienta služby Active Directory získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

288358 postupy: Instalace rozšíření klienta služby Active Directory

Při instalaci rozšíření klienta služby Active Directory v počítači se systémem Windows 98, se také automaticky nainstalují systémové soubory, které poskytují podporu protokolu NTLM 2. Jsou tyto soubory Secur32.dll, Msnp32.dll, Vredir.vxd a Vnetsup.vxd. Pokud odeberete rozšíření klienta služby Active Directory, NTLM 2 systémové soubory nejsou odebrány, protože poskytují zvýšené zabezpečení funkce a opravy zabezpečení.



Ve výchozím nastavení je omezena na maximální délku klíče 56 bitů šifrování zabezpečení relace NTLM 2. Pokud tento systém splňuje exportním předpisům Spojených států, je automaticky nainstalována volitelná podpora 128bitových klíčů. Chcete-li povolit podporu zabezpečení relace NTLM 2 128 bitů, je nutné nainstalovat aplikaci Microsoft Internet Explorer 4.x nebo 5 a upgradovat na 128bitové zabezpečené připojení podporují před instalací rozšíření klienta služby Active Directory.



Ověření verze instalace:
  1. Pomocí Průzkumníka Windows vyhledejte soubor Secur32.dll ve složce %SystemRoot%\System.
  2. Klepněte pravým tlačítkem myši na soubor a potom klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu verze . Popis verze 56 bitů je "Microsoft Win32 Security Services (Export Version)." Popis 128bitové verze je "Microsoft Win32 Security Services (pouze USA a Kanada)."

Před povolením ověřování protokolem NTLM 2 pro klienty systému Windows 98 ověřte, že všechny řadiče domény pro uživatele, kteří se přihlašují k síti z těchto klientů se systémem Windows NT 4.0 Service Pack 4 nebo novější. (Řadiče domény spuštěním systému Windows NT 4.0 Service Pack 6 Pokud klient a server jsou připojeny k různým doménám.) Žádná konfigurace řadiče domény je vyžadován pro podporu protokolu NTLM 2. Nakonfigurujte řadiče domény pouze chcete-li zakázat podporu ověřování NTLM 1 nebo LM. Další informace o rozdílech mezi těmito variantami protokolu a důležitosti upgradu a používání pouze NTLM 2 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

Jak 147706 zakázání ověřování LM v systému Windows NT

Povolení protokolu NTLM 2 pro klienty systému Windows 95, Windows 98 nebo Windows 98 Druhé vydání

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows

Chcete-li systém Windows 95, Windows 98 nebo Windows 98 Druhé vydání klienta ověřování protokolem NTLM 2, nainstalujte klienta adresářových služeb. Chcete-li aktivovat protokol NTLM 2 v klientském počítači, postupujte takto:
  1. Spusťte Editor registru (Regedit.exe).
  2. Vyhledejte a klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Ve výše uvedeném klíči registru vytvořte klíč registru LSA.
  4. V nabídce Úpravy klepněte na příkaz Přidat hodnotua přidejte následující hodnotu registru:
    Název hodnoty: registru LMCompatibility
    Datový typ: REG_DWORD
    Hodnota: 3
    Platný rozsah: 0,3
    Popis: Tento parametr určuje režim ověřování a zabezpečení relace má být použit pro přihlášení k síti. Neovlivňuje interaktivní přihlášení.
    • Úroveň 0 - odesílat odpovědi LM a NTLM; Nikdy nepoužívat zabezpečení relace NTLM 2. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLM 2; řadiče domén přijímají ověřování LM, NTLM a NTLM 2.
    • Úroveň 3 - odesílat pouze odpovědi NTLM 2. Klienti budou používat ověřování protokolem NTLM 2 a zabezpečení relace NTLM 2 používají, pokud je server podporuje; řadiče domén přijímají ověřování LM, NTLM a NTLM 2.
    Poznámka: Chcete-li povolit NTLM 2 pro klienty systému Windows 95, nainstalujte klienta systému souborů (DFS) souboru DFS, aktualizaci WinSock 2.0 a Microsoft DUN 1.3 pro Windows 2000.

  5. Ukončete Editor registru.

Poznámka: Pro systém Windows NT 4.0 a Windows 2000 je klíč registru LMCompatibilityLevel a pro počítače se systémem Windows 98 a Windows 95 je klíčem registru LMCompatibility.

Pro odkaz úplný rozsah hodnot pro hodnotu LMCompatibilityLevel, které jsou podporovány v systému Windows NT 4.0 a Windows 2000 patří:
  • Úroveň 0 - odesílat odpovědi LM a NTLM; Nikdy nepoužívat zabezpečení relace NTLM 2. Klienti používají ověřování LM a NTLM a nikdy nepoužívají zabezpečení relace NTLM 2; řadiče domén přijímají ověřování LM, NTLM a NTLM 2.
  • Úroveň 1 - použít zabezpečení relace NTLM 2, pokud je vyjednáno. Klienti používají ověřování LM a NTLM a použít zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén přijímají ověřování LM, NTLM a NTLM 2.
  • Úroveň 2 - odesílat pouze odpovědi NTLM. Klienti používají pouze ověřování NTLM a použít zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén přijímají ověřování LM, NTLM a NTLM 2.
  • Úroveň 3 - odesílat pouze odpovědi NTLM 2. Klienti používají ověřování NTLM 2 a použít zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domén přijímají ověřování LM, NTLM a NTLM 2.
  • Úroveň 4 - řadiče domén odmítají odpovědi LM. Klienti používají ověřování NTLM a použít zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domény odmítají ověřování LM (to znamená, že přijímají ověřování NTLM a NTLM 2).
  • Úroveň 5 - řadiče domén odmítají odpovědi LM a NTLM (přijímají pouze ověřování NTLM 2). Klienti používají ověřování NTLM 2, použít zabezpečení relace NTLM 2, pokud je server podporuje; řadiče domény odmítají ověřování NTLM a LM (přijímají pouze ověřování NTLM 2).
Klientský počítač může používat pouze jeden protokol v komunikaci se všemi servery. Nelze konfigurovat se například připojit k serverům se systémem Windows 2000 pomocí protokolu NTLM verze 2 a potom připojit k jiné servery pomocí protokolu NTLM. Toto je záměrné.

Můžete nakonfigurovat minimální zabezpečení, který je používán pro programy, které používají zprostředkovatele podpory zabezpečení NTLM (SSP) úpravou následujícího klíče registru. Tyto hodnoty jsou závislé na hodnotě LMCompatibilityLevel:
  1. Spusťte Editor registru (Regedit.exe).
  2. Vyhledejte následující klíč registru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotua přidejte následující hodnotu registru:
    Název hodnoty: klíče
    Datový typ: REG_WORD
    Hodnota: jedna z následujících hodnot:
    • 0x00000010-Integrita zpráv
    • důvěrnost zpráv 0x00000020
    • 0x00080000 - zabezpečení relace NTLM 2
    • 0x20000000128bitové šifrování
    • 0x80000000 56bitové šifrování

  4. Ukončete Editor registru.
Pokud klient/server program používá NTLM SSP (nebo používá zabezpečené vzdálené volání procedur [RPC], který používá NTLM SSP) pro relaci zabezpečení připojení, typ zabezpečení relace je určena takto:
  • Klient požaduje některé nebo všechny následující položky: integritu zpráv, důvěrnost zpráv, 128bitové nebo 56bitové šifrování a zabezpečení relace NTLM 2.
  • Server odpoví sdělením, které položky požadované sady chce.
  • Výsledná sada se označuje jako "vyjednaná."
Hodnota klíče můžete způsobit připojení buď byla vyjednána daná kvalita zabezpečení relace, nebo aby klient/server. Nicméně měli byste si poznamenat následující položky:
  • Pokud používáte 0x00000010 hodnotu klíče, připojení se nezdaří, jestliže se nepodaří vyjednat integritu zpráv.
  • Pokud používáte 0x00000020 hodnotu klíče, připojení se nezdaří, jestliže se nepodaří vyjednat důvěrnost zpráv.
  • Používáte-li hodnotu klíče 0x00080000, připojení se nezdaří, jestliže se nepodaří vyjednat zabezpečení relace NTLM 2.
  • Používáte-li klíče hodnotu 0x20000000, připojení neproběhne úspěšně Pokud důvěrnost zprávy je používán, ale není vyjednáno šifrování 128bitové.
Vlastnosti

ID článku: 239869 - Poslední kontrola: 12. 1. 2017 - Revize: 2

Váš názor