Aktivieren der NTLM 2-Authentifizierung

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die NTLM 2-Authentifizierung aktivieren.

Gilt für: Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 239869

Zusammenfassung

In der Vergangenheit unterstützt Windows NT zwei Varianten der Challenge/Response-Authentifizierung für Netzwerkanmeldungen:

  • LAN-Manager(LM) – Herausforderung/Antwort
  • Windows NT challenge/response (auch bekannt als NTLM Version 1 Challenge/Response) Die LM-Variante ermöglicht die Interoperabilität mit den installierten Windows 95-, Windows 98- und Windows 98 Second Edition-Clients und -Servern. NTLM bietet verbesserte Sicherheit für Verbindungen zwischen Windows NT-Clients und -Servern. Windows NT unterstützt auch den NTLM-Sitzungssicherheitsmechanismus, der für die Vertraulichkeit von Nachrichten (Verschlüsselung) und Integrität (Signieren) sorgt.

Die jüngsten Verbesserungen an Computerhardware- und Softwarealgorithmen haben diese Protokolle anfällig für weit verbreitete Angriffe zum Abrufen von Benutzerkennwörtern gemacht. Im Rahmen seiner kontinuierlichen Bemühungen, seinen Kunden sicherere Produkte bereitzustellen, hat Microsoft eine Erweiterung namens NTLM Version 2 entwickelt, die sowohl die Authentifizierungs- als auch die Sitzungssicherheitsmechanismen erheblich verbessert. NTLM 2 ist seit der Veröffentlichung von Service Pack 4 (SP4) für Windows NT 4.0 verfügbar und wird in Windows 2000 nativ unterstützt. Sie können NTLM 2-Unterstützung zu Windows 98 hinzufügen, indem Sie die Active Directory-Clienterweiterungen installieren.

Nachdem Sie alle Computer aktualisiert haben, die auf Windows 95, Windows 98, Windows 98 Second Edition und Windows NT 4.0 basieren, können Sie die Sicherheit Ihrer organization erheblich verbessern, indem Sie Clients, Server und Domänencontroller so konfigurieren, dass nur NTLM 2 (nicht LM oder NTLM) verwendet wird.

Weitere Informationen

Wenn Sie Active Directory-Clienterweiterungen auf einem Computer mit Windows 98 installieren, werden auch die Systemdateien, die NTLM 2-Unterstützung bieten, automatisch installiert. Diese Dateien sind Secur32.dll, Msnp32.dll, Vredir.vxd und Vnetsup.vxd. Wenn Sie die Active Directory-Clienterweiterung entfernen, werden die NTLM 2-Systemdateien nicht entfernt, da die Dateien sowohl erweiterte Sicherheitsfunktionen als auch sicherheitsbezogene Korrekturen bieten.

Standardmäßig ist die NTLM 2-Sitzungssicherheitsverschlüsselung auf eine maximale Schlüssellänge von 56 Bit beschränkt. Optionale Unterstützung für 128-Bit-Schlüssel wird automatisch installiert, wenn das System USA Exportbestimmungen erfüllt. Um die 128-Bit-NTLM 2-Sitzungssicherheit zu aktivieren, müssen Sie Microsoft Internet Explorer 4.x oder 5 installieren und ein Upgrade auf die Unterstützung sicherer 128-Bit-Verbindungen durchführen, bevor Sie die Active Directory-Clienterweiterung installieren.

So überprüfen Sie ihre Installationsversion:

  1. Verwenden Sie Windows Explorer, um die Secur32.dll-Datei im Ordner %SystemRoot%\System zu suchen.
  2. Klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Version . Die Beschreibung für die 56-Bit-Version lautet "Microsoft Win32 Security Services (Exportversion)." Die Beschreibung für die 128-Bit-Version lautet "Microsoft Win32 Security Services (nur USA und Kanada)."

Bevor Sie die NTLM 2-Authentifizierung für Windows 98-Clients aktivieren, überprüfen Sie, ob auf allen Domänencontrollern für Benutzer, die sich von diesen Clients aus bei Ihrem Netzwerk anmelden, Windows NT 4.0 Service Pack 4 oder höher ausgeführt wird. (Auf den Domänencontrollern kann Windows NT 4.0 Service Pack 6 ausgeführt werden, wenn Client und Server verschiedenen Domänen angehören.) Zur Unterstützung von NTLM 2 ist keine Domänencontrollerkonfiguration erforderlich. Sie müssen Domänencontroller nur so konfigurieren, dass die Unterstützung für die NTLM 1- oder LM-Authentifizierung deaktiviert wird.

Aktivieren von NTLM 2 für Windows 95-, Windows 98- oder Windows 98 Second Edition-Clients

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Um einen Windows 95-, Windows 98- oder Windows 98 Second Edition-Client für die NTLM 2-Authentifizierung zu aktivieren, installieren Sie den Verzeichnisdienste-Client. Führen Sie die folgenden Schritte aus, um NTLM 2 auf dem Client zu aktivieren:

  1. Starten Sie registrierungs Editor (Regedit.exe).

  2. Suchen Sie den folgenden Schlüssel in der Registrierung, und klicken Sie auf ihn: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Erstellen Sie einen LSA-Registrierungsschlüssel im oben aufgeführten Registrierungsschlüssel.

  4. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: LMCompatibility
    Datentyp: REG_DWORD
    Wert: 3
    Gültiger Bereich: 0,3
    Beschreibung: Dieser Parameter gibt den Authentifizierungsmodus und die Sitzungssicherheit an, die für Netzwerkanmeldungen verwendet werden sollen. Dies wirkt sich nicht auf interaktive Anmeldungen aus.

    • Ebene 0: Senden einer LM- und NTLM-Antwort; verwenden Sie niemals die NTLM 2-Sitzungssicherheit. Clients verwenden die LM- und NTLM-Authentifizierung und niemals die NTLM 2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.

    • Ebene 3: Nur NTLM 2-Antwort senden. Clients verwenden die NTLM 2-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.

    Hinweis

    Um NTLM 2 für Windows 95-Clients zu aktivieren, installieren Sie DFS-Client (Distributed File System), WinSock 2.0 Update und Microsoft DUN 1.3 für Windows 2000.

  5. Schließen Sie den Registrierungs-Editor.

Hinweis

Für Windows NT 4.0 und Windows 2000 lautet der Registrierungsschlüssel LMCompatibilityLevel, und für Windows 95- und Windows 98-basierte Computer lautet der Registrierungsschlüssel LMCompatibility.

Der vollständige Wertebereich für den LMCompatibilityLevel-Wert, der von Windows NT 4.0 und Windows 2000 unterstützt wird, umfasst folgendes:

  • Ebene 0: Senden einer LM- und NTLM-Antwort; verwenden Sie niemals die NTLM 2-Sitzungssicherheit. Clients verwenden die LM- und NTLM-Authentifizierung und nie die NTLM 2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 1: Verwenden Sie die NTLM 2-Sitzungssicherheit, wenn sie ausgehandelt wird. Clients verwenden die LM- und NTLM-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 2: Nur NTLM-Antwort senden. Clients verwenden nur die NTLM-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 3: Nur NTLM 2-Antwort senden. Clients verwenden die NTLM 2-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 4: Domänencontroller lehnen LM-Antworten ab. Clients verwenden die NTLM-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller lehnen die LM-Authentifizierung ab (d. h., sie akzeptieren NTLM und NTLM 2).
  • Ebene 5: Domänencontroller lehnen LM- und NTLM-Antworten ab (akzeptieren nur NTLM 2). Clients verwenden die NTLM 2-Authentifizierung, die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller lehnen die NTLM- und LM-Authentifizierung ab (sie akzeptieren nur NTLM 2). Ein Clientcomputer kann nur ein Protokoll verwenden, um mit allen Servern zu kommunizieren. Sie können es z. B. nicht so konfigurieren, dass NTLM v2 verwendet wird, um eine Verbindung mit Windows 2000-basierten Servern herzustellen und dann NTLM zum Herstellen einer Verbindung mit anderen Servern zu verwenden. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Sie können die Mindestsicherheit konfigurieren, die für Programme verwendet wird, die den NTLM Security Support Provider (SSP) verwenden, indem Sie den folgenden Registrierungsschlüssel ändern. Diese Werte sind vom LMCompatibilityLevel-Wert abhängig:

  1. Starten Sie registrierungs Editor (Regedit.exe).

  2. Suchen Sie den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: NtlmMinClientSec
    Datentyp: REG_WORD
    Wert: einer der folgenden Werte:

    • 0x00000010: Nachrichtenintegrität
    • 0x00000020: Vertraulichkeit von Nachrichten
    • 0x00080000- NTLM 2-Sitzungssicherheit
    • 0x20000000-128-Bit-Verschlüsselung
    • 0x80000000- 56-Bit-Verschlüsselung

  4. Schließen Sie den Registrierungs-Editor.

Wenn ein Client/Server-Programm den NTLM-SSP verwendet (oder den sicheren Remoteprozeduraufruf [RPC], der den NTLM-SSP verwendet), um Sitzungssicherheit für eine Verbindung bereitzustellen, wird der Typ der zu verwendenden Sitzungssicherheit wie folgt bestimmt:

  • Der Client fordert eine oder alle folgenden Elemente an: Nachrichtenintegrität, Nachrichtengeheimnis, NTLM 2-Sitzungssicherheit und 128-Bit- oder 56-Bit-Verschlüsselung.
  • Der Server antwortet und gibt an, welche Elemente des angeforderten Satzes er benötigt.
  • Der resultierende Satz soll "ausgehandelt" worden sein.

Sie können den Wert NtlmMinClientSec verwenden, um zu bewirken, dass Client-/Serververbindungen entweder eine bestimmte Qualität der Sitzungssicherheit aushandeln oder nicht erfolgreich sind. Beachten Sie jedoch Folgendes:

  • Wenn Sie 0x00000010 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Nachrichtenintegrität nicht ausgehandelt wird.
  • Wenn Sie 0x00000020 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Vertraulichkeit der Nachricht nicht ausgehandelt wird.
  • Wenn Sie 0x00080000 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die NTLM 2-Sitzungssicherheit nicht ausgehandelt wird.
  • Wenn Sie 0x20000000 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Vertraulichkeit der Nachricht verwendet wird, aber die 128-Bit-Verschlüsselung nicht ausgehandelt wird.