Τρόπος ενεργοποίησης του ελέγχου ταυτότητας NTLM 2

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες για την τροποποίηση του μητρώου. Πριν να τροποποιήσετε το μητρώο, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας και ότι γνωρίζετε τον τρόπο επαναφοράς του μητρώου, σε περίπτωση που προκύψει κάποιο θέμα. Για πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, τον τρόπο επαναφοράς και επεξεργασίας του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
256986 Περιγραφή του μητρώου των Microsoft Windows

Περίληψη

Από παλιά, τα Windows NT υποστηρίζουν δύο μεταβλητές ελέγχου ταυτότητας "πρόκλησης/απόκρισης" για συνδέσεις δικτύου:
 • Πρόκληση/απόκριση LAN Manager (LM)
 • Πρόκληση/απόκριση των Windows NT (γνωστή επίσης και ως έκδοση NTLM 1 πρόκλησης/απόκρισης)
Η μεταβλητή LM επιτρέπει την διαλειτουργικότητα με την εγκατεστημένη βάση των υπολογιστών-πελατών και των διακομιστών με Windows 95, Windows 98 και Windows 98, Δεύτερη έκδοση. Η NTLM παρέχει βελτιωμένη ασφάλεια για συνδέσεις μεταξύ των υπολογιστών-πελατών και των διακομιστών με Windows NT. Τα Windows NT υποστηρίζουν επίσης το μηχανισμό ασφαλείας περιόδου λειτουργίας NTLM ο οποίος παρέχει εμπιστευτικότητα (κρυπτογράφηση) και ακεραιτότητα (υπογραφή) για τα μηνύματα.

Οι πρόσφατες βελτιώσεις στους αλγορίθμους υλικού και λογισμικού των υπολογιστών έχουν κάνει αυτά τα πρωτόκολλα ευπαθή σε ευρέως δημοσιευμένες επιθέσεις με σκοπό την απόκτηση κωδικών πρόσβασης χρήστη. Στα πλαίσια των συνεχών προσπαθειών της για την παράδοση πιο ασφαλών προϊόντων στους πελάτες της, η Microsoft έχει αναπτύξει μια βελτιωμένη έκδοση, που ονομάζεται NTLM έκδοση 2, η οποία βελτιώνει σημαντικά τόσο τον έλεγχο ταυτότητας όσο και τους μηχανισμούς ασφαλείας περιόδου λειτουργίας. Το NTLM 2 είναι διαθέσιμο για τα Windows NT 4.0 από τη στιγμή της κυκλοφορίας του Service Pack 4 (SP4) και υποστηρίζεται τοπικά στα Windows 2000. Μπορείτε να προσθέσετε την υποστήριξη NTLM 2 στα Windows 98 εγκαθιστώντας τις επεκτάσεις του προγράμματος-πελάτη της υπηρεσίας καταλόγου Active Directory (Active Directory Client Extensions).

Μετά την αναβάθμιση όλων των υπολογιστών που βασίζονται σε Windows 95, Windows 98, Windows 98 Second Edition και Windows NT 4.0, μπορείτε να βελτιώσετε σημαντικά την ασφάλεια της εταιρείας σας ρυθμίζοντας τις παραμέτρους υπολογιστών-πελατών, διακομιστών και ελεγκτών τομέα ώστε να χρησιμοποιούν μόνο NTLM 2 (όχι LM ή NTLM).

Περισσότερες πληροφορίες

Για πρόσθετες πληροφορίες σχετικά με την κατάλληλη επέκταση προγράμματος-πελάτη της υπηρεσίας καταλόγου Active Directory (Active Directory Client Extension), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
288358 Τρόπος εγκατάστασης της επέκτασης προγράμματος-πελάτη της υπηρεσίας καταλόγου Active Directory (Active Directory Client Extension)

Κατά την εγκατάσταση των επεκτάσεων προγράμματος-πελάτη της υπηρεσίας καταλόγου Active Directory (Active Directory Client Extensions) σε έναν υπολογιστή που εκτελεί Windows 98, τα αρχεία συστήματος που παρέχουν υποστήριξη NTLM 2 εγκαθίστανται επίσης αυτόματα. Τα αρχεία αυτά είναι τα Secur32.dll, Msnp32.dll, Vredir.vxd και Vnetsup.vxd. Εάν καταργήσετε την επέκταση προγράμματος-πελάτη της υπηρεσίας καταλόγου Active Directory (Active Directory Client Extension), τα αρχεία συστήματος NTLM 2 δεν καταργούνται, επειδή παρέχουν βελτιωμένες λειτουργίες ασφαλείας και επιδιορθώσεις που σχετίζονται με την ασφάλεια.

Από προεπιλογή, η κρυπτογράφηση ασφαλείας περιόδου λειτουργίας NTLM 2 περιορίζεται στο μέγιστο μήκος κλειδιού των 56 bit. Η προαιρετική υποστήριξη για κλειδιά των 128 bit εγκαθίσταται αυτόματα όταν το σύστημα ικανοποιεί τους κανονισμούς εξαγωγών των Ηνωμένων Πολιτειών. Για να ενεργοποιήσετε την υποστήριξη ασφαλείας περιόδου λειτουργίας NTLM 2 στα 128 bit , πρέπει να εγκαταστήσετε τον Microsoft Internet Explorer 4.x ή 5 και να κάνετε αναβάθμιση σε υποστήριξη ασφαλούς σύνδεσης 128 bit πριν εγκαταστήσετε την επέκταση προγράμματος-πελάτη της υπηρεσίας καταλόγου Active Directory (Active Directory Client Extension).

Για να επεβεβαιώσετε την έκδοση εγκατάστασης που διαθέτετε:
 1. Χρησιμοποιήστε την "Εξερεύνηση των Windows" (Windows Explorer) για να εντοπίσετε το αρχείο Secur32.dll στο φάκελο %SystemRoot%\System.
 2. Κάντε δεξιό κλικ στο αρχείο και κατόπιν κάντε κλικ στην εντολή Ιδιότητες (Properties).
 3. Κάντε κλικ στην καρτέλα Έκδοση (Version). Η περιγραφή για την έκδοση των 56 bit είναι "Microsoft Win32 Security Services (Έκδοση εξαγωγής)." Η περιγραφή για την έκδοση των 128 bit είναι "Microsoft Win32 Security Services (Μόνο για τις Ηνωμένες Πολιτείες και τον Καναδά)."
Πριν ενεργοποιήσετε τον έλεγχο ταυτότητας NTLM 2 για υπολογιστές-πελάτες με Windows 98, επιβεβαιώστε ότι όλοι οι ελεγκτές τομέα για χρήστες που συνδέονται στο δίκτυο από αυτούς τους υπολογιστές-πελάτες, εκτελούν Windows NT 4.0 Service Pack 4 ή νεότερη έκδοση. (Οι ελεγκτές τομέα μπορούν να εκτελέσουν Windows NT 4.0 Service Pack 6 όταν ο υπολογιστής-πελάτης και ο διακομιστής είναι συνδεδεμένοι σε διαφορετικούς τομείς.) Δεν απαιτείται ελεγκτής τομέα για την υποστήριξη του NTLM 2. Πρέπει να ρυθμίσετε τις παραμέτρους των ελεγκτών τομέα μόνο για να απενεργοποιήσετε την υποστήριξη ελέγχου ταυτότητας NTLM 1 ή LM. Για πρόσθετες πληροφορίες σχετικά με τις διαφορές μεταξύ αυτών των μεταβλητών πρωτοκόλλου και της σημασίας της αναβάθμισης για τη χρήση μόνο του NTLM 2, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft (Knowledge Base):
147706 Τρόπος απενεργοποίησης του ελέγχου ταυτότητας LM στα Windows NT

Ενεργοποίηση του NTLM 2 για υπολογιστές-πελάτες με Windows 95, Windows 98 ή Windows 98 Second Edition

Προειδοποίηση Η εσφαλμένη χρήση του Επεξεργαστή Μητρώου ενδέχεται να προκαλέσει σοβαρά ζητήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα θέματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου με δική σας ευθύνη.
Για να ενεργοποιήσετε έναν υπολογιστή-πελάτη με Windows 95, Windows 98 ή Windows 98 Second Edition για έλεγχο ταυτότητας NTLM 2, εγκαταστήστε το πρόγραμμα-πελάτη των υπηρεσιών καταλόγου (Directory Services Client). Για να ενεργοποιήσετε το NTLM 2 σε έναν υπολογιστή-πελάτη, ακολουθήστε τα εξής βήματα:

 1. Ξεκινήστε τον Επεξεργαστή Μητρώου (Registry Editor) (Regedit.exe).
 2. Εντοπίστε και κάντε κλικ στο ακόλουθο κλειδί στο μητρώο:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
 3. Δημιουργήστε ένα κλειδί μητρώου LSA στο κλειδί μητρώου που παρατίθεται παραπάνω.
 4. Στο μενού Επεξεργασία (Edit), κάντε κλικ στην εντολή Προσθήκη τιμής (Add Value) και, στη συνέχεια, προσθέστε την ακόλουθη τιμή μητρώου:
  Όνομα τιμής (Value name): LMCompatibility
  Τύπος δεδομένων (Data Type): REG_DWORD
  Τιμή (Value): 3
  Έγκυρη περιοχή (Valid Range): 0,3
  Περιγραφή (Description): Αυτή η παράμετρος καθορίζει τη λειτουργία του ελέγχου ταυτότητας και της ασφάλειας περιόδου λειτουργίας που πρόκειται να χρησιμοποιηθούν για συνδέσεις δικτύου. Δεν επηρεάζει τις αλληλεπιδραστικές συνδέσεις.
  • Επίπεδο 0 - Αποστολή απόκρισης LM και NTLM. Μην χρησιμοποιείτε ποτέ την ασφάλεια περιόδου λειτουργίας NTLM 2. Οι υπολογιστές-πελάτες θα χρησιμοποιήσουν τον έλεγχο ταυτότητας LM και NTLM και δεν θα χρησιμοποιήσουν ποτέ την ασφάλεια περιόδου λειτουργίας NTLM 2. Οι ελεγκτές τομέα αποδέχονται τους ελέγχους ταυτότητας LM, NTLM και NTLM 2.
  • Επίπεδο 3 - Αποστολή μόνο απόκρισης NTLM 2. Οι υπολογιστές-πελάτες θα χρησιμοποιήσουν έλεγχο ταυτότητας NTLM 2 και θα χρησιμοποιήσουν την ασφάλεια περιόδου λειτουργίας NTLM 2 εάν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται τους ελέγχους ταυτότητας LM, NTLM και NTLM 2.
  Σημείωση Για να ενεργοποιήσετε το NTLM 2 σε υπολογιστές-πελάτες με Windows 95, εγκαταστήστε το πρόγραμμα-πελάτης "Κατανεμημένο σύστημα αρχείων" (Distributed File System - DFS), το WinSock 2.0 Update και το Microsoft DUN 1.3 για Windows 2000.

 5. Κλείστε τον Επεξεργαστή Μητρώου (Registry Editor).

Σημείωση Για τα Windows NT 4.0 και τα Windows 2000 το κλειδί μητρώου είναι το LMCompatibilityLevel και για υπολογιστές που βασίζονται σε Windows 95 και Windows 98, το κλειδί μητρώου είναι LMCompatibility.

Για αναφορά, η πλήρης περιοχή τιμών για την τιμή LMCompatibilityLevel που υποστηρίζεται από τα Windows NT 4.0 και τα Windows 2000 περιλαμβάνει:
 • Επίπεδο 0 - Αποστολή απόκρισης LM και NTLM. Μην χρησιμοποιείτε ποτέ την ασφάλεια περιόδου λειτουργίας NTLM 2. Οι υπολογιστές-πελάτες χρησιμοποιούν τον έλεγχο ταυτότητας LM και NTLM και δεν χρησιμοποιούν ποτέ την ασφάλεια περιόδου λειτουργίας NTLM 2. Οι ελεγκτές τομέα αποδέχονται τους ελέγχους ταυτότητας LM, NTLM και NTLM 2.
 • Επίπεδο 1 - Χρήση της ασφάλειας περιόδου λειτουργίας NTLM 2, όταν διαπραγματευτεί. Οι υπολογιστές-πελάτες χρησιμοποιούν τον έλεγχο ταυτότητας LM και NTLM και χρησιμοποιούν την ασφάλεια περιόδου λειτουργίας NTLM 2 όταν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται τους ελέγχους ταυτότητας LM, NTLM και NTLM 2.
 • Επίπεδο 2 - Αποστολή μόνο απόκρισης NTLM. Οι υπολογιστές-πελάτες χρησιμοποιούν μόνο τον έλεγχο ταυτότητας NTLM και χρησιμοποιούν την ασφάλεια περιόδου λειτουργίας NTLM 2 όταν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται τους ελέγχους ταυτότητας LM, NTLM και NTLM 2.
 • Επίπεδο 3 - Αποστολή μόνο απόκρισης NTLM 2. Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLM 2 και χρησιμοποιούν την ασφάλεια περιόδου λειτουργίας NTLM 2 όταν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα αποδέχονται τους ελέγχους ταυτότητας LM, NTLM και NTLM 2.
 • Επίπεδο 4 - Οι ελεγκτές τομέα απορρίπτουν τις αποκρίσεις LM. Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLM και χρησιμοποιούν την ασφάλεια περιόδου λειτουργίας NTLM 2 όταν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα απορρίπτουν τον έλεγχο ταυτότητας LM (που σημαίνει, ότι αποδέχονται τους ελέγχους ταυτότητας NTLM και NTLM 2.)
 • Επίπεδο 5 - Οι ελεγκτές τομέα απορρίπτουν τις αποκρίσεις LM και NTLM (αποδέχονται μόνο τις αποκρίσεις NTLM 2). Οι υπολογιστές-πελάτες χρησιμοποιούν έλεγχο ταυτότητας NTLM 2 και χρησιμοποιούν την ασφάλεια περιόδου λειτουργίας NTLM 2 όταν την υποστηρίζει ο διακομιστής. Οι ελεγκτές τομέα απορρίπτουν τους ελέγχους ταυτότητας NTLM και LM (αποδέχονται μόνο τον NTLM 2.)
Ένας υπολογιστής-πελάτης μπορεί να χρησιμοποιήσει μόνο ένα πρωτόκολλο κατά τη συνομιλία του με όλους τους διακομιστές. Δεν μπορείτε να ρυθμίσετε τις παραμέτρους του, για παράδειγμα, να χρησιμοποιήσετε το NTLM v2 για να συνδεθείτε με διακομιστές που χρησιμοποιούν Windows 2000 και, στη συνέχεια, να χρησιμοποιήσετε το NTLM για να συνδεθείτε σε άλλους διακομιστές. Αυτό οφείλεται στη σχεδίαση.

Μπορείτε να ρυθμίσετε τις παραμέτρους της ελάχιστης ασφάλειας που χρησιμοποιείται για προγράμματα που χρησιμοποιούν την "Υπηρεσία παροχής υποστήριξης ασφάλειας" (SSP) του NTLM τροποποιώντας το ακόλουθο κλειδί μητρώου. Οι τιμές αυτές εξαρτώνται από την τιμή LMCompatibilityLevel:
 1. Ξεκινήστε τον Επεξεργαστή Μητρώου (Registry Editor) (Regedit.exe).
 2. Εντοπίστε το ακόλουθο κλειδί στο μητρώο:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
 3. Στο μενού Επεξεργασία (Edit), κάντε κλικ στην εντολή Προσθήκη τιμής (Add Value) και, στη συνέχεια, προσθέστε την ακόλουθη τιμή μητρώου:
  Όνομα τιμής (Value name): NtlmMinClientSec
  Τύπος δεδομένων (Data Type): REG_WORD
  Τιμή (Value): μία από τις παρακάτω τιμές:
  • 0x00000010- Ακεραιότητα μηνύματος
  • 0x00000020- Εμπιστευτικότητα μηνύματος
  • 0x00080000- Ασφάλεια περιόδου λειτουργίας NTLM 2
  • 0x20000000- Κρυπτογράφηση 128-bit
  • 0x80000000- Κρυπτογράφηση 56-bit

 4. Κλείστε τον Επεξεργαστή Μητρώου (Registry Editor).
Εάν κάποιο πρόγραμμα υπολογιστή-πελάτη/διακομιστή χρησιμοποιήσει το SSP του NTLM (ή χρησιμοποιήσει την υπηρεσία κλήσης απομακρυσμένης διαδικασίας (Remote Procedure Call - RPC), η οποία χρησιμοποιεί το SSP του NTLM) για την παροχή ασφάλειας περιόδου λειτουργίας για μια σύνδεση, ο τύπος της ασφάλειας περιόδου λειτουργίας που θα χρησιμοποιηθεί καθορίζεται ως εξής:
 • Ο υπολογιστής-πελάτης ζητά οποιοδήποτε ή όλα από τα ακόλουθα στοιχεία: ακεραιότητα μηνύματος, εμπιστευτικότητα μηνύματος, ασφάλειας περιόδου λειτουργίας NTLM 2 και κρυπτογράφηση 128-bit ή 56-bit.
 • Ο διακομιστής αποκρίνεται, υποδεικνύοντας τα στοιχεία που θέλει από το ζητούμενο σύνολο στοιχείων.
 • Το σύνολο που προκύπτει λέγεται ότι έχει "διαπραγματευτεί."
Μπορείτε να χρησιμοποιήσετε την τιμή NtlmMinClientSec για να προκαλέσετε συνδέσεις υπολογιστή-πελάτη/διακομιστή να διαπραγματευτούν μια δεδομένη ποιότητα ασφάλειας περιόδου λειτουργίας ή να μην επιτύχουν. Ωστόσο, πρέπει να σημειώσετε τα ακόλουθα στοιχεία:
 • Εάν χρησιμοποιείτε το 0x00000010 για την τιμή NtlmMinClientSec, η σύνδεση δεν είναι επιτυγχάνεται αν δεν γίνει διαπραγμάτευση της ακεραιότητας μηνύματος.
 • Εάν χρησιμοποιείτε το 0x00000020 για την τιμή NtlmMinClientSec, η σύνδεση δεν είναι επιτυγχάνεται αν δεν γίνει διαπραγμάτευση της εμπιστευτικότητας μηνύματος.
 • Εάν χρησιμοποιείτε το 0x00080000 για την τιμή NtlmMinClientSec, η σύνδεση δεν είναι επιτυγχάνεται αν δεν γίνει διαπραγμάτευση της ασφάλειας περιόδου λειτουργίας NTLM 2.
 • Εάν χρησιμοποιείτε το 0x20000000 για την τιμή NtlmMinClientSec, η σύνδεση δεν είναι επιτυγχάνεται αν χρησιμοποιείται η εμπιστευτικότητα μηνύματος αλλά δεν έχει γίνει διαπραγμάτευση της κρυπτογράφησης 128-bit.
Ιδιότητες

Αναγνωριστικό άρθρου: 239869 - Τελευταία αναθεώρηση: 11 Οκτ 2005 - Αναθεώρηση: 1

Σχόλια