Αυτήν τη στιγμή είστε εκτός σύνδεσης, σε αναμονή για επανασύνδεση στο Internet

Οδηγίες ασφαλείας για έλεγχο ταυτότητας δικτύου NTLMv1 και LM

Η υποστήριξη για τα Windows XP έχει διακοπεί

Η Microsoft διέκοψε την υποστήριξη για τα Windows XP στις 8 Απριλίου 2014. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΕΙΣΑΓΩΓΗ
Γνωρίζουμε λεπτομερείς πληροφορίες και εργαλεία που ενδέχεται να χρησιμοποιηθούν για επιθέσεις εναντίον του ελέγχου ταυτότητας των NT LAN Manager έκδοση 1 (NTLMv1) και LAN Manager (LM). Οι βελτιώσεις στους αλγορίθμους υλικού και λογισμικού των υπολογιστών έχουν κάνει αυτά τα πρωτόκολλα ευπαθή σε δημοσιευμένες επιθέσεις με σκοπό την απόκτηση διαπιστευτηρίων χρήστη. Οι πληροφορίες και τα διαθέσιμα σετ εργαλείων στοχεύουν ειδικά περιβάλλοντα που δεν επιβάλλουν τον έλεγχο ταυτότητας NTLMv2. Παροτρύνουμε τους πελάτες να αξιολογήσουν το περιβάλλον τους και να ενημερώσουν τις ρυθμίσεις ελέγχου ταυτότητας δικτύου. Όλα τα υποστηριζόμενα λειτουργικά συστήματα της Microsoft παρέχουν δυνατότητες ελέγχου ταυτότητας NTLMv2.

Κινδυνεύουν κυρίως τα συστήματα που επηρεάζονται σε μια προεπιλεγμένη διαμόρφωση, όπως τα συστήματα που εκτελούν Microsoft Windows NT 4, Windows 2000, Windows XP και Windows Server 2003. Για παράδειγμα, από προεπιλογή, τα Windows XP και ο Windows Server 2003 υποστηρίζουν και τα δύο τον έλεγχο ταυτότητας NTLMv1. 

Για τα Windows NT, υποστηρίζονται δύο επιλογές για τον έλεγχο ταυτότητας πρόκλησης απόκρισης σε συνδέσεις δικτύου: Πρόκληση απόκρισης του LAN Manager (LM) και πρόκληση απόκρισης των Windows NT (γνωστή και ως πρόκληση απόκρισης NTLM έκδοσης 1). Και οι δύο επιτρέπουν τη διαλειτουργικότητα με την εγκατεστημένη βάση των Windows NT 4.0, Windows 95, Windows 98 και Windows 98, Δεύτερη έκδοση.


Για να επιλύσουμε αυτό το πρόβλημα για λογαριασμό σας, μεταβείτε στην ενότητα "Αυτόματη επίλυση (Fix it for me)".
Προτεινόμενη αντιμετώπιση
Για να μειώσετε τον κίνδυνο από αυτό το ζήτημα, προτείνουμε να διαμορφώσετε περιβάλλοντα που εκτελούν Windows NT 4, Windows 2000, Windows XP και Windows Server 2003 για να επιτρέψετε τη χρήση μόνο του NTLMv2. Για να γίνει αυτό, ορίστε με μη αυτόματο τρόπο το επίπεδο ελέγχου ταυτότητας του LAN Manager σε 3 ή μεγαλύτερο, όπως περιγράφεται εδώ.

Για τα Windows XP και τον Windows Server 2003, οι υπάρχουν διαθέσιμες λύσεις του Microsoft Fix it για την αυτόματη διαμόρφωση συστημάτων που επιτρέπουν τη χρήση μόνο του NTLMv2. Αυτή η μέθοδος ενεργοποιεί επίσης τις ρυθμίσεις NTLM ώστε οι χρήστες να εκμεταλλευτούν την Εκτεταμένη προστασία για έλεγχο ταυτότητας.
Αυτόματη επίλυση
Η επίλυση που περιγράφεται σε αυτήν την ενότητα δεν προορίζεται ως αντικατάσταση για οποιαδήποτε ενημέρωση ασφαλείας. Συνιστάται να πραγματοποιείτε πάντα εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφάλειας. Ωστόσο, παρέχουμε αυτήν την άμεση επίλυση ως εναλλακτικό τρόπο αντιμετώπισης σε ορισμένα σενάρια. 

Microsoft Fix it για τα Windows XP

Για να ενεργοποιήσετε ή να απενεργοποιήσετε αυτήν την αυτόματη επίλυση, κάντε κλικ στο κουμπί ή στη σύνδεση Αυτόματη επίλυση (Fix it) που βρίσκεται στην κεφαλίδα Ενεργοποίηση (Enable). Επιλέξτε Εκτέλεση (Run) στο παράθυρο διαλόγου Λήψη αρχείου (File Download) και ακολουθήστε τα βήματα στον οδηγό Fix it.
Ενεργοποίηση
Σημειώσεις
  • Αυτός ο οδηγός ενδέχεται να είναι διαθέσιμος μόνο στα Αγγλικά. Ωστόσο, η αυτόματη επιδιόρθωση λειτουργεί και για εκδόσεις των Windows σε άλλες γλώσσες.
  • Αν δεν βρίσκεστε στον υπολογιστή που παρουσιάζει το πρόβλημα, μπορείτε να αποθηκεύσετε την αυτόματη επιδιόρθωση σε μια μονάδα δίσκου flash ή σε ένα CD και να την εκτελέσετε αργότερα στον συγκεκριμένο υπολογιστή.
Microsoft Fix it για τον Windows Server 2003

Για να ενεργοποιήσετε ή να απενεργοποιήσετε αυτήν την αυτόματη επίλυση, κάντε κλικ στο κουμπί ή στη σύνδεση Αυτόματη επίλυση (Fix it) που βρίσκεται στην κεφαλίδα Ενεργοποίηση (Enable). Επιλέξτε Εκτέλεση (Run) στο παράθυρο διαλόγου Λήψη αρχείου (File Download) και ακολουθήστε τα βήματα στον οδηγό Fix it.
Ενεργοποίηση
Σημειώσεις
  • Αυτός ο οδηγός ενδέχεται να είναι διαθέσιμος μόνο στα Αγγλικά. Ωστόσο, η αυτόματη επιδιόρθωση λειτουργεί και για εκδόσεις των Windows σε άλλες γλώσσες.
  • Αν δεν βρίσκεστε στον υπολογιστή που παρουσιάζει το πρόβλημα, μπορείτε να αποθηκεύσετε την αυτόματη επιδιόρθωση σε μια μονάδα δίσκου flash ή σε ένα CD και να την εκτελέσετε αργότερα στον συγκεκριμένο υπολογιστή.
Κατάσταση
Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα πρόβλημα το οποίο παρουσιάζεται στα προϊόντα της που αναφέρονται στην ενότητα "Ισχύει για".
Περισσότερες πληροφορίες

Συνήθεις ερωτήσεις

Υπάρχουν περισσότερες πληροφορίες σχετικά με τις απειλές και τα αντίμετρα της Ασφάλειας Δικτύου των Windows (Windows Network Security) και του επιπέδου ελέγχου ταυτότητας του LAN Manager;

Λεπτομερείς πληροφορίες σχετικά με τις απειλές και τα αντίμετρα υπάρχουν στο Microsoft TechNet στον Οδηγό για απειλές και αντίμετρα (Threats and Countermeasures Guide). Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων της έκδοσης του NTLM, ανατρέξτε στο θέμα LmCompatibilityLevel.

Τι προκάλεσε το ζήτημα;

Μέχρι τον Ιανουάριο του 2000, οι περιορισμοί εξαγωγών περιόριζαν το μέγιστο μήκος κλειδιού για πρωτόκολλα κρυπτογράφησης. Τα πρωτόκολλα ελέγχου ταυτότητας LM και NTLM, αναπτύχθηκαν πριν από τον Ιανουάριο του 2000 και επομένως υπόκεινται σε αυτούς τους περιορισμούς. Κατά την έκδοση των Windows XP, οι παράμετροι τους ρυθμίστηκαν ώστε να εξασφαλίζουν συμβατότητα με παλαιότερες εκδόσεις, σχεδιασμένες για τα Windows 2000 και προγενέστερα. 

Πώς μπορώ να διερευνήσει εάν η διαμόρφωσή μου είναι ευάλωτη;

Επηρεάζεστε από αυτό το ζήτημα όταν οι ρυθμίσεις μητρώου LMCompatibilityLevel έχουν οριστεί σε τιμή μικρότερη του τρία (<3).

Ποια λειτουργικά συστήματα Windows επηρεάζονται σε προεπιλεγμένες διαμορφώσεις; 

Τα Windows NT4, Windows 2000, Windows XP και ο Windows Server 2003 διαθέτουν προεπιλεγμένη ρύθμιση παραμέτρου LMCompatibilityLevel μικρότερη από τρία (<3).

Ποιοι είναι οι πιθανοί κίνδυνοι από την επιβολή του NTLMv2;

Όλες οι υποστηριζόμενες εκδόσεις του λειτουργικού συστήματος Windows υποστηρίζουν NTLMv2. Τα Windows NT 4.0 SP6a επίσης υποστηρίζουν το NTLMv2. Επομένως, υπάρχει πολύ μικρός κίνδυνος συμβατότητας. Παλαιού τύπου υλοποιήσεις ή διαμορφώσεις τρίτων κατασκευαστών ενδέχεται να πρέπει να αξιολογηθούν για ζητήματα διαλειτουργικότητας. Μια αλλαγή των ρυθμίσεων παραμέτρων ή αναβάθμιση ενδέχεται να επιλύσει αυτό το πρόβλημα. Συνιστάται στους πελάτες να λαμβάνουν μέτρα επίλυσης σχετικά με τη ρύθμιση παραμέτρων και την αναβάθμιση ώστε να αναγνωρίσουν και να εξαλείψουν το NTLMv1. Η χρήση του πρωτοκόλλου NTLMv1 έχει μια καθορισμένη, δυσμενή επίπτωση στην ασφάλεια δικτύου και μπορεί να παραβιαστεί.

Σε τι μπορεί να χρησιμοποιήσει ένας εισβολέας την ευπάθεια;

Ένας εισβολέας μπορεί να αποσπάσει τα κλειδιά κατακερματισμού του ελέγχου ταυτότητας από καταγεγραμμένες αποκρίσεις ελέγχου ταυτότητας δικτύου LM και NTLM.

Πού μπορώ να βρω πληροφορίες σχετικά με τον τρόπο ενεργοποίησης του NTLMv2 σε εκδόσεις των Microsoft Windows που δεν υποστηρίζονται πλέον; 

Λεπτομερείς πληροφορίες σχετικά με το NTLMv2 για Windows NT, Windows 95, Windows 98 και Windows 98, Δεύτερη έκδοση, υπάρχουν στο άρθρο 239869 της Γνωσιακής Βάσης της Microsoft.
Ευχαριστίες
Η Microsoft ευχαριστεί τους παρακάτω για τη συνεργασία τους στην προστασία των πελατών:
  • Mark Gamache της T-Mobile USA, για τη συνεργασία του με εμάς σχετικά με την προστασία των πελατών από επιθέσεις εναντίον του ελέγχου ταυτότητας των NT LAN Manager έκδοση 1 (NTLMv1) και LAN Manager (LM).
ενημέρωση ενημέρωση_κώδικα_ασφαλείας ενημέρωση_ασφαλείας ασφάλεια σφάλμα ελάττωμα ευπάθεια κακόβουλος_εισβολέας εκμετάλλευση μητρώο χωρίς_έλεγχο_ταυτότητας buffer υπέρβαση υπερχείλιση ειδικά_διαμορφωμένο πεδίο_εφαρμογής ειδικά_δημιουργημένο άρνηση_υπηρεσίας DoS TSE
Σημείωση Αυτό είναι ένα άρθρο «ΤΑΧΕΙΑΣ ΔΗΜΟΣΙΕΥΣΗΣ» που δημιουργήθηκε απευθείας από τον οργανισμό υποστήριξης της Microsoft. Οι πληροφορίες που περιλαμβάνονται σε αυτό το άρθρο, παρέχονται ως απόκριση σε θέματα που προκύπτουν. Ως αποτέλεσμα της ταχύτητας διάθεσής του, το υλικό ενδέχεται να έχει τυπογραφικά λάθη και να αναθεωρηθεί ανά πάσα στιγμή χωρίς ειδοποίηση. Ανατρέξτε στους Όρους χρήσης για άλλα ζητήματα.
Ιδιότητες

Αναγνωριστικό άρθρου: 2793313 - Τελευταία αναθεώρηση: 01/11/2013 15:56:00 - Αναθεώρηση: 1.0

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Σχόλια
ody>id"; document.getElementsByTagName("head")[0].appendChild(m);