Aktivieren der NTLM 2-Authentifizierung

Gilt für: Windows NT

Zusammenfassung


Windows NT unterstützt zwei Varianten der Anfrage/Antwort-Authentifizierung in der Vergangenheit für Netzwerk-Anmeldung:
  • LAN Manager (LM) Anfrage/Antwort
  • Windows NT Challenge/Response (auch bekannt als NTLM Version 1 Challenge/Response)
Die LM-Variante ermöglicht die Interoperabilität mit der installierten Basis von Windows 95, Windows 98 und Windows 98 Second Edition-Clients und Servern. NTLM bietet verbesserte Sicherheit für Verbindungen zwischen Windows NT-Clients und Servern. Windows NT unterstützt zudem den NTLM-Sitzungssicherheitsmechanismus, die für Vertraulichkeit (Verschlüsselung) und Integrität (Signatur). Aktuelle haben Computer-Hardware und Software-Algorithmen Protokolle zum Abrufen von Benutzerkennwörtern weit veröffentlichte Angriffe anfällig verbessert. Microsoft hat im laufenden bemüht sicherer Produkte seinen Kunden eine Erweiterung namens NTLM, Version 2, die die Authentifizierung und die Sitzung Sicherheitsmechanismen verbessert entwickelt. NTLM 2 wurde für Windows NT 4.0 Service Pack 4 (SP4) freigegeben wurde und direkt in Windows 2000 unterstützt wird. Sie können Windows 98 Active Directory Client Extensions installieren NTLM 2-Unterstützung hinzufügen. Nach der Aktualisierung aller Computer, die auf Windows 95, Windows 98, Windows 98 Second Edition und Windows NT 4.0 können Sie Sicherheit Ihres Unternehmens erheblich verbessern, konfigurieren Sie Clients, Server und Domänencontroller, um ausschließlich NTLM 2 (nicht LM oder NTLM) verwenden.

Weitere Informationen


Weitere Informationen zum Installieren der entsprechenden Active Directory Client Extension finden Sie im folgenden Artikel der Microsoft Knowledge Base:
288358 Zum Installieren von Active Directory Client extension
Wenn Sie Active Directory Client Extensions auf einem Computer, auf denen Windows 98 ausgeführt wird installieren, werden die Systemdateien, die NTLM 2 unterstützen auch automatisch installiert. Diese Dateien sind Secur32.dll, "Msnp32.dll" Vredir.vxd und Vnetsup.vxd. Entfernen von Active Directory Client Extension werden die NTLM 2-Systemdateien nicht entfernt, da Dateien erweiterten Sicherheitsfunktionen und sicherheitsrelevante Updates bieten. Standardmäßig ist NTLM 2 Sitzung-Verschlüsselung eine maximale Schlüssellänge von 56 Bit auf. Optionale Unterstützung für 128-Bit-Schlüssel wird automatisch installiert, wenn der Ausfuhrbestimmungen der USA entspricht. Damit der 128-Bit-NTLM 2 Sitzung Security Support installieren Sie Microsoft Internet Explorer 4.x oder 5 und Aktualisierung auf sichere 128-Bit-Unterstützung vor der Installation von Active Directory Client Extension.To überprüfen Sie Ihre Installationsversion:
  1. Mithilfe von Windows Explorer die Datei Secur32.dll im Ordner %SystemRoot%\System suchen.
  2. Maustaste auf die Datei und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Version . Die Beschreibung für die 56-Bit-Version lautet "Microsoft Win32 Security Services (Exportversion)". Die Beschreibung für die 128-Bit-Version lautet "Microsoft Win32 Security Services (USA und Kanada)".
Bevor Sie NTLM 2-Authentifizierung für Windows 98-Clients aktivieren, stellen Sie sicher, dass alle Domänencontroller für Benutzer, die von diesen Clients Netzwerk anmelden Windows NT 4.0 Servicepack 4 oder höher ausgeführt werden. (Domänencontroller können Windows NT 4.0 Service Pack 6 ausführen, wenn Client und Server mit anderen Domänen verbunden sind.) Keine Konfiguration des Domänencontrollers muss Unterstützung für NTLM 2. Konfigurieren Sie Domänencontroller nur Unterstützung für NTLM 1- oder LM-Authentifizierung deaktivieren.Weitere Informationen zu den Unterschieden zwischen Protokollvarianten und die Bedeutung einer Aktualisierung auf ausschließlich NTLM 2 verwenden klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
147706 Deaktivieren der LM-Authentifizierung in Windows NT

Aktivieren der NTLM 2 für Windows 95, Windows 98 oder Windows 98 Second Edition-clients

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Damit ein Windows 95, Windows 98 oder Windows 98 Second Edition-Client für die NTLM 2-Authentifizierung, Installieren des Verzeichnisdienstclients. Gehen Sie folgendermaßen vor, um NTLM 2 auf dem Client zu aktivieren:
  1. Registrierungseditor (Regedit.exe) zu starten.
  2. Suchen Sie und klicken Sie auf den folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Erstellen Sie einen LSA-Registrierschlüssel im oben genannten Registrierungsschlüssel.
  4. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    : Wert LMCompatibilityData geben: REG_DWORDValue: 3Valid Bereich: 0, 3Description: dieser Parameter gibt den Modus für Authentifizierung und Sicherheit für Netzwerk-Anmeldung verwendet werden. Es wirkt sich nicht auf interaktive Anmeldung.
    • Stufe 0 - senden LM- und NTLM-Antworten; Verwenden Sie niemals NTLM 2 sitzungssicherheit. Clients verwenden LM- und NTLM-Authentifizierung und NTLM 2 sitzungssicherheit nicht verwenden; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
    • Stufe 3 - nur NTLM 2 Antworten senden. Clients verwenden NTLM 2-Authentifizierung und NTLM 2 sitzungssicherheit verwenden, wenn der Server unterstützt. Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
    Hinweis Aktivieren Sie NTLM 2 für Windows 95-Clients installieren Sie verteilte Datei System (DFS) Client, WinSock 2.0-Update und Microsoft DUN 1.3 für Windows 2000.
  5. Beenden Sie den Registrierungs-Editor.
Hinweis Für Windows NT 4.0 und Windows 2000 ist des Registrierungsschlüssels LMCompatibilityLevel und für Windows 95 und Windows 98-Computern den Registrierungsschlüssel LMCompatibility.For Verweis sämtliche Werte für LMCompatibilityLevel unterstützt wird Windows NT 4.0 und Windows 2000 enthalten:
  • Stufe 0 - senden LM- und NTLM-Antworten; Verwenden Sie niemals NTLM 2 sitzungssicherheit. Clients verwenden LM- und NTLM-Authentifizierung und NTLM 2 sitzungssicherheit nicht verwenden; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Stufe 1 – mit NTLM 2 sitzungssicherheit ausgehandelt. Clients verwenden LM- und NTLM-Authentifizierung und NTLM 2 Sitzung Security Server unterstützt; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Stufe 2 - nur NTLM-Antworten senden. Clients verwenden nur die NTLM-Authentifizierung und NTLM 2 sitzungssicherheit verwenden, wenn der Server unterstützt; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Stufe 3 - nur NTLM 2 Antworten senden. Clients verwenden NTLM 2-Authentifizierung und NTLM 2 Sitzung Security Server unterstützt; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Level 4 - Domänencontroller lehnen LM-Responses ab. Clients verwenden NTLM-Authentifizierung und NTLM 2 Sitzung Security Server unterstützt; Domänencontroller lehnen LM-Authentifizierung ab (d. h. sie akzeptieren NTLM und NTLM 2).
  • Level 5 - Domänencontroller lehnen LM- und NTLM-Responses ab (akzeptieren ausschließlich NTLM 2). Clients verwenden NTLM 2-Authentifizierung, NTLM 2 sitzungssicherheit verwenden, wenn der Server unterstützt. Domänencontroller lehnen LM- und NTLM-Authentifizierung ab (akzeptieren ausschließlich NTLM 2).
Client-Computer können nur ein Protokoll mit allen Servern sprechen. Konfiguration, z. B. um NTLMv2 auf Windows 2000-basierten Server herzustellen und NTLM verwenden, um zu anderen Servern herstellen. Dies ist beabsichtigt. Sie können die minimale Sicherheit konfigurieren, die für Programme, die NTLM Security Support Provider (SSP) verwenden verwendet wird, indem Sie den folgenden Registrierungsschlüssel ändern. Diese Werte sind abhängig von dem Wert LMCompatibilityLevel:
  1. Registrierungseditor (Regedit.exe) zu starten.
  2. Suchen Sie folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    : Wert NtlmMinClientSecData geben: REG_WORDValue: einer der folgenden Werte:
    • 0 x 00000010-Integrität
    • 0 x 00000020-Vertraulichkeit
    • 0x00080000 - NTLM 2 sitzungssicherheit
    • 0 x 20000000 128 Bit-Verschlüsselung
    • 0 x 80000000 56 Bit-Verschlüsselung
  4. Beenden Sie den Registrierungs-Editor.
Wenn ein Client-Server-Programm NTLM SSP verwendet (oder verwendet secure Remote Procedure Call [RPC] verwendet NTLM SSP) Sitzung eine Verbindung aus Sicherheitsgründen der Typ der sitzungssicherheit verwenden wie folgt bestimmt:
  • Der Client fordert alle Folgendes: Integrität, Vertraulichkeit, Sicherheit der NTLM 2-Sitzung und 128-Bit- oder 56-Bit-Verschlüsselung.
  • Der Server antwortet, der angibt, welche der angefragten Elemente er will.
  • Die Ergebnismenge wird als "ausgehandelt wurden."
Den Wert NtlmMinClientSec können zu Client/Server-Verbindung entweder eine bestimmte Qualität Sitzung Sicherheit auszuhandeln oder nicht erfolgreich. Beachten Sie jedoch Folgendes:
  • Wenn Sie für den Wert NtlmMinClientSec 0 x 00000010 verwenden, ist die Verbindung nicht erfolgreich, wenn die Nachrichtenintegrität nicht ausgehandelt wird.
  • Wenn Sie für den Wert NtlmMinClientSec 0 x 00000020 verwenden, wird die Verbindung nicht erfolgreich, wenn Vertraulichkeit nicht ausgehandelt wird.
  • Verwenden Sie 0x00080000 für den Wert NtlmMinClientSec ist die Verbindung nicht erfolgreich, wenn NTLM 2 sitzungssicherheit ausgehandelt wird.
  • Wenn Sie für den Wert NtlmMinClientSec 0 x 20000000 verwenden, wird die Verbindung nicht erfolgreich, wenn Vertraulichkeit verwendet jedoch keine 128-Bit-Verschlüsselung ausgehandelt.