Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Deaktivieren der LM-Authentifizierung in Windows NT

Dieser Artikel wurde zuvor veröffentlicht unter D147706
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
147706 How to disable LM authentication on Windows NT


Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Zusammenfassung
Vor Windows NT 4.0 Service Pack 4 (SP4) unterstützte Windows NT zwei Arten der Herausforderung/Rückmeldung-Authentifizierung:
  • LanManager (LM) Herausforderung/Rückmeldung
  • Windows NT Herausforderung/Rückmeldung (auch bezeichnet als NTLM Herausforderung/Rückmeldung)
Windows NT unterstützte außerdem Sitzungssicherheit-Mechanismen, die die Vertraulichkeit und Integrität von Nachrichten gewährleisteten.

Um den Zugriff auf Server zu ermöglichen, die nur LM-Authentifizierung unterstützen, verwenden Windows NT-Clients vor SP4 immer beide Arten der Authentifizierung, auch bei Windows NT-Servern, die NTLM-Authentifizierung unterstützen.

Da die LM-Authentifizierung nicht so streng wie die Windows NT-Authentifizierung ist, kann es für einige Benutzer wünschenswert sein, sie zu deaktivieren, da ein Angreifer, der den Netzverkehr belauscht, voraussichtlich das weniger strenge Protokoll attackieren würde. Bei einem erfolgreichen Angriff könnte das Benutzerkennwort gefährdet sein.

Microsoft hat eine Erweiterung für NTLM mit der Bezeichnung NTLMv2 entwickelt, die sowohl die Authentifizierung als auch die Sitzungssicherheit-Mechanismen erheblich verbessert.

Außerdem wurde die Implementierung des NTLM SSP (Security Service Provider) dahingehend erweitert, dass Clients nun kontrollieren können, welche Variablen von NTLM verwendet werden, und dass Server kontrollieren können, welche Variablen sie akzeptieren, indem ein neuer Registrierungsschlüssel entsprechend gesetzt wird. Zudem wird es Clients und Servern ermöglicht, die Aushandlung von Nachrichtenvertraulichkeit (Verschlüsselung), Nachrichtenintegrität, 128-Bit-Verschlüsselung und NTLMv2-Sitzungssicherheit zu verlangen.

Diese Änderungen betreffen die folgenden Windows NT-Komponenten: Alle Anwendungen, die Microsoft Remoteprozeduraufruf (RPC) oder NTLM SSP nutzen, verwenden die hier beschriebene Authentifizierung und Sitzungssicherheit. Die Arbeitsstations- und Serverdienste verwenden die Authentifizierung, verwenden jedoch ihre eigene Sitzungssicherheit.

Hintergrund

Die LM-Authentifizierung ist nicht so streng wie NTLM oder NTLMv2, weil der Algorithmus zulässt, dass Kennwörter mit mehr als 7 Zeichen in 7-Zeichen-Abschnitten attackiert werden. Dadurch wird die wirksame Kennwortsicherheit auf 7 Zeichen beschränkt, die sich aus Großbuchstaben des Alphabets, numerischen und Satzzeichen sowie 32 ALT-Sonderzeichen zusammensetzen können. Dazu kommt, dass Benutzer häufig nur von Zeichen des Alphabets Gebrauch machen.

Dagegen nutzt die NTLM-Authentifizierung alle 14 Zeichen des Kennworts und ermöglicht zudem die Eingabe von Kleinbuchstaben. Auch wenn ein Angreifer, der das Windows NT-Authentifizierungsprotokoll belauscht, dieses auf die gleiche Weise wie das LM-Authentifizierungsprotokoll attackieren kann, würde es viel länger dauern, bis ein solcher Angriff erfolgreich wäre. Wenn das Kennwort streng genug gewählt wurde, würde es mit einem Pentium Pro-Computer mit 200 MHz durchschnittlich 2.200 Jahre dauern, die aus dem Kennwort abgeleiteten Schlüssel zu finden, und 5.500 Jahre, das Kennwort selbst zu finden (bzw. 2,2 Jahre und 5,5 Jahre bei 1.000 Computern dieses Typs, etc.).

Hinweis: Diese Schätzung basiert auf der Rate, mit der der neueste "DES Challenge"-Code von RSA Labs DES-Schlüssel auf einem Pentium Pro mit 200 MHz testet: 1.000.000/Sekunde; Anzahl der DES-Schlüssel: 2**56 oder 7,2*10**16. Weitere Informationen zu "DES Challenge" finden Sie auf der folgenden Website: Andererseits kann ein Kennwort, das nicht streng genug gewählt wurde, mit Hilfe eines Wörterbuchs innerhalb von Sekunden herausgefunden werden.

Ein "ausreichend strenges" Kennwort sollte aus mindestens 11 Zeichen bestehen, von denen mindestens 4 Zeichen aus Großbuchstaben, Zahlen oder Satzzeichen bestehen. Selbst wenn die restlichen 7 Zeichen aus Text in Kleinbuchstaben mit niedriger Arbitrarität (zum Beispiel 3 Bit pro Zeichen) bestehen, ergibt dies eine Anzahl von möglichen Kombinationen, die über den DES-Schlüsselbereich von 7,2*10**16 Kombinationen hinausgeht, und das Kennwort findet sich nicht in Wörterbüchern.

Es gibt allerdings Hardwarebeschleuniger, deren Kosten in der Größenordnung von ca. 250.000 € liegen, die einen von einem LM- oder NTLM-Kennwort abgeleiteten Schlüssel unabhängig von der Länge des Kennworts in 3-6 Tagen herausfinden. Diese Zeiträume verringern sich mit fortschreitender technischer Entwicklung. Aktuelle statistische Zahlen und Details finden Sie auf folgender Website: Ein Angreifer, der den von einem Kennwort abgeleiteten Schlüssel eines Benutzers herausgefunden hat, kann sich nicht interaktiv anmelden, diese Informationen reichen jedoch aus, mit Hilfe spezieller Software als dieser Benutzer auf Netzwerkressourcen zuzugreifen.

Bei NTLMv2 beträgt der Schlüsselbereich für von Kennwörtern abgeleitete Schlüssel 128 Bit. Dies verhindert effektiv die Kennwortsuche mit reiner Rechnerleistung, selbst mit Hardwarebeschleunigern, wenn das Kennwort streng genug gewählt wurde.

Wenn sowohl Client als auch Server SP4 verwenden, wird die erweiterte NTLMv2-Sitzungssicherheit ausgehandelt. Diese bietet separate Schlüssel für die Nachrichtenintegrität und -vertraulichkeit sowie Clienteingabe bei der Herausforderung, um ausgewählte Nur-Text-Angriffe zu verhindern. Außerdem nutzt NTLMv2 den HMAC-MD5-Algorithmus (siehe RFC 2104), um die Nachrichtenintegrität zu überprüfen.

Da die Datagrammvariable von NTLM keinen Aushandlungsschritt beinhaltet, muss die Verwendung anderweitig ausgehandelter Optionen, wie NTLMv2-Sitzungssicherheit und 128-Bit-Verschlüsselung für Nachrichtenvertraulichkeit, konfiguriert werden.
Weitere Informationen
Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.


Die Steuerung der NTLM-Sicherheit erfolgt über den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
Hinweis: Unter Win9x heißt der gültige Registrierungsschlüssel LMCompatibility, unter Windows NT LMCompatibilityLevel.

Die Auswahl der verwendeten und akzeptierten Authentifizierungsprotokollvariablen erfolgt über den folgenden Wert dieses Schlüssels:
   Wert: LMCompatibilityLevel   Werttyp: REG_DWORD - Zahl   Gültiger Bereich: 0-5   Standard: 0   Beschreibung: Dieser Parameter gibt den zu verwendenden Authentifizierungstyp an   Level 0 - LM- und NTLM-Rückmeldung senden; nie NTLMv2-Sitzungssicherheit verwenden   Stufe 1 - NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt   Stufe 2 - Nur NTLM-Authentifizierung senden   Stufe 3 - Nur NTLMv2-Authentifizierung senden   Stufe 4 - DC lehnt LM-Authentifizierung ab   Stufe 5 - DC lehnt LM- und NTLM-Authentifizierung ab (akzeptiert nur NTLMv2)				
Hinweis: Die Authentifizierung dient zum Einrichten einer Sitzung (Benutzername/Kennwort). Die Sitzungssicherheit wird verwendet, wenn eine Sitzung über den entsprechenden Authentifizierungstyp eingerichtet wurde. Die Systemzeiten sollten zudem höchstens 30 Minuten voneinander abweichen, da sonst die Authentifizierung fehlschlagen kann, weil der Server annimmt, dass die Client-Herausforderung die Zeit überschritten hat.

Die Steuerung der für Anwendungen über NTLMSSP ausgehandelten minimalen Sicherheit erfolgt über den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Dieser Schlüssel weist die folgenden Werte auf:
   Wert: NtlmMinClientSec   Werttyp: REG_DWORD - Zahl   Gültiger Bereich: das logische 'oder' eines der folgenden Werte:      0x00000010      0x00000002      0x00080000      0x20000000   Standard: 0   Wert: NtlmMinServerSec   Werttyp: REG_DWORD - Zahl   Gültiger Bereich: wie NtlmMinClientSec   Standard: 0   Beschreibung: Dieser Parameter gibt die zu verwendende minimale Sicherheit an      0x00000010  Nachrichtenintegrität      0x00000020  Nachrichtenvertraulichkeit      0x00080000  NTLMv2-Sitzungssicherheit      0x20000000  128-Bit-Verschlüsselung				

LMCompatibilityLevel - Clients

Wichtig: Damit ein SP4-Client Stufe 3 oder höher wählen kann, MÜSSEN die Domänencontroller für die Kontodomänen des Benutzers bei allen Benutzern, die den Client verwenden (im Folgenden als "Benutzer-Domänencontroller" bezeichnet), auf SP4 aktualisiert worden sein.

Wenn ein SP4-Client die Standardstufe 0 wählt, erfolgt die Interaktion mit früheren Servern exakt wie unter Service Pack 3 (SP3).

Wenn ein SP4-Client die Standardstufe 1 wählt, erfolgt die Interaktion mit früheren Servern exakt wie unter Service Pack 3 (SP3). Zusätzlich wird mit SP4-Servern NTLMv2-Sitzungssicherheit ausgehandelt.

Wichtig: Wenn bei Verwendung von Stufe 1 oder höher die letzte Kennwortänderung über einen Windows für Workgroups oder MS-DOS LanManager 2.x-Client (oder früher) erfolgte, stehen die für NTLM- und NTLMv2-Authentifizierung erforderlichen Daten auf dem Domänencontroller nicht zur Verfügung, und SP4-Clients können keine Verbindung zu SP4-Servern herstellen. Um dies zu umgehen, verwenden Sie Stufe 0 oder ändern Sie Kennwörter immer über einen Windows NT-, Windows 95- oder Windows 98-Client.

Wenn ein SP4-Client Stufe 2 wählt, kann er keine Verbindung zu Servern herstellen, die nur LM-Authentifizierung unterstützen, wie Windows 95, Windows 98, Windows für Workgroups und früher (im Folgenden als "Vorgänger-LM-Clients/Server" bezeichnet), sofern die Benutzer-Domänencontroller nicht aktualisiert wurden.

Wenn ein SP4-Client Stufe 3 oder höher wählt, sendet er immer die neue NTLMv2-Rückmeldung. Diese Rückmeldung kann über Vorgänger-LM-Server und "SP3 oder früher" Windows NT-Server und ihre Domänencontroller erfolgen, sofern die Benutzer-Domänencontroller auf SP4 aktualisiert wurden. Wenn beispielsweise ein SP4-Client Stufe 3 oder höher wählt, MUSS der Benutzer-Domänencontroller ebenfalls auf SP4 aktualisiert worden sein. Diese Rückmeldung funktioniert jedoch nicht mit Vorgänger-LM-Servern im Freigabeebenen-Sicherheitsmodus mit Nicht-Null-Kennwörtern. Um dies zu umgehen, sollten diese Server auf die Verwendung von Benutzerebenen-Sicherheit konfiguriert werden.

LMCompatibilityLevel - Server/Domänencontroller

Wenn ein SP4-Server Stufe 4 oder höher wählt, kann ein Benutzer mit einem lokalen Konto auf diesem Server keine Verbindung von einem Vorgänger-LM-Client herstellen, der dieses lokale Konto verwendet.

Wenn ein SP4-Domänencontroller Stufe 4 oder höher wählt, kann ein Benutzer mit einem Konto in dieser Domäne keine Verbindung zu einem Mitgliedsserver von einem Vorgänger-LM-Client herstellen, der dieses Domänenkonto verwendet. Stufe 4 bedeutet also, dass alle Benutzer mit Konten auf einem Server oder einer Domäne Windows NT für die Verbindungsherstellung verwenden müssen.

Wenn ein SP4-Server Stufe 5 oder höher wählt, kann ein Benutzer mit einem lokalen Konto auf diesem Server keine Verbindung von einem "SP3 oder früher" Windows NT-Client herstellen, der dieses lokale Konto verwendet.

SP4-Clients, die Stufe 0 oder 1 wählen, können weiterhin die Verbindung zu SP4-Servern (selbst mit konfigurierter Stufe 1 oder 3) herstellen, müssen jedoch sowohl das Windows NT-Protokoll als auch das weniger strenge LM-Protokoll verwenden. Sie können zudem die Verbindung zu Vorgänger-LM-Servern herstellen, selbst wenn die Benutzer-Domänencontroller nicht aktualisiert wurden.

Bereitstellung

Aufgrund der oben angestellten Überlegungen sollte bei einem Einsatz von NTLMv2 folgendermaßen vorgegangen werden:
  1. Aktualisieren Sie die Domänencontroller, auf denen die Konten aller Benutzer gespeichert sind, die NTLMv2 verwenden sollen.
  2. Clients und Server können noch vor der Aktualisierung der Domänencontroller auf SP4 aktualisiert werden, um erweiterte Sicherheit bei der Verbindung von SP4 zu SP4 mit gesetzter Stufe 1 zu nutzen.
  3. Wenn Schritt 1 abgeschlossen ist, können einzelne Systeme, die bereits auf SP4 aktualisiert wurden, mit Stufe 3 oder höher beginnen.
  4. Wenn Benutzer in einigen Kontodomänen nie auf Ressourcen von Vorgänger-LM-Clients zugreifen müssen, können die Domänencontroller dieser Domäne auf Stufe 4 gesetzt werden; nachdem alle Systeme dieser Benutzer auf SP4 aktualisiert wurden, können die Domänencontroller dieser Domäne auf Stufe 5 gesetzt werden.

NtlmMinClientSec und NtlmMinServerSec

Wenn das Bit mit dem Wert 0x00000010 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine Nachrichtenintegrität ausgehandelt wird.

Wenn das Bit mit dem Wert 0x00000020 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine Nachrichtenvertraulichkeit ausgehandelt wird.

Wenn das Bit mit dem Wert 0x00080000 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine NTLMv2-Sitzungssicherheit ausgehandelt wird.

Wenn das Bit mit dem Wert 0x20000000 im Wert NtlmMinClientSec oder NtlmMinServerSec gesetzt wird, schlägt die Verbindung fehl, wenn keine 128-Bit-Verschlüsselung ausgehandelt wird.

Hinweis: Diese Einstellungen garantieren nicht, dass NTLM SSP tatsächlich von jeder Anwendung verwendet wird, oder dass Nachrichtenintegrität oder -vertraulichkeit, selbst wenn sie ausgehandelt wurde, tatsächlich von einer Anwendung verwendet wird.
Lösung
Installieren Sie das neueste Service Pack für Windows NT 4.0 oder Windows NT Server 4.0, Terminal Server Edition, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
152734 Bezugsquellen für das aktuelle Windows NT 4.0 Service Pack



Führen Sie nach der Installation von SP4 die folgenden Schritte durch, um die LM-Kompatibilitätsstufe auf Windows NT-Arbeitsstationen und -Servern zu konfigurieren:
  1. Starten Sie den Registrierungseditor (regedt32.exe).
  2. Öffnen Sie in der Teilstruktur HKEY_LOCAL_MACHINE den folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  4. Fügen Sie die folgenden Werte hinzu:
    Wertname: LMCompatibilityLevel      Datentyp: REG_DWORD      Wert:  0 (Standard) bis 5 wie oben definiert					
  5. Öffnen Sie in der Teilstruktur HKEY_LOCAL_MACHINE den folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  6. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  7. Fügen Sie die folgenden Werte hinzu:
     Wertname: NtlmMinClientSec      Datentyp: REG_DWORD      Wert:  0 (Standard) oder wie oben definiert      Name: NtlmMinServerSec      Datentyp: REG_DWORD      Wert:  0 (Standard) oder wie oben definiert					
  8. Klicken Sie auf OK und beenden Sie den Registrierungseditor.
  9. Beenden und starten Sie Windows NT neu.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 147706 – Letzte Überarbeitung: 04/07/2006 13:19:07 – Revision: 3.3

  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft LAN Manager 4.2 Standard Edition
  • Microsoft Windows für Workgroups 3.2
  • Microsoft Windows 95
  • kbqfe kbhotfixserver kbbug kberrmsg kbfea kbfile kbfix KB147706
Feedback