NTLMv1- ja LM-verkkotodennuksen suojausohjeet

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

ESITTELY
Microsoft on tietoinen yksityiskohtaisista tiedoista ja työkaluista, joita saatetaan käyttää hyökkäyksissä NTLMv1 (NT LAN Manager version 1) ja LM (LAN Manager) -verkkotodennusta vastaan. Tietokonelaitteistoihin ja ohjelmistoalgoritmeihin tehdyt parannukset ovat tehneet näistä protokollista haavoittuvaisia käyttäjän tunnistetietojen hankkimiseen tarkoitetuille julkaistuille hyökkäyksille. Tiedot ja käytettävissä olevat työkalujoukot on kohdistettu erityisesti ympäristöihin, jotka eivät pakota NTLMv2-todennusta. Microsoft kehottaa asiakkaita arvioimaan ympäristönsä ja päivittämään verkkotodennusasetukset. Kaikissa tuetuissa Microsoft-käyttöjärjestelmissä on NTLMv2-todennusominaisuudet.

Uhattuina ovat ensisijaisesti oletuskokoonpanoissaan olevat järjestelmät, kuten Microsoft Windows NT 4-, Windows 2000-, Windows XP- ja Windows Server 2003 -järjestelmät. Esimerkiksi oletusarvon mukaisesti Windows XP ja Windows Server 2003 tukevat NTLMv1-todennusta.

Windows NT tukee kahta haaste/vastaus-todennuksen vaihtoehtoa verkkokirjautumisessa: LAN Managerin (LM) haaste/vastaus ja Windows NT:n haaste/vastaus (tunnetaan myös nimellä NTLM-versio 1:n haaste/vastaus). Nämä molemmat sallivat yhteiskäytön asennetuissa Windows NT 4.0-, Windows 95-, Windows 98- ja Windows 98 Second Edition -pohjissa. 


Jos haluat Microsoftin korjaavan tämän ongelman puolestasi, siirry Korjaa ongelma puolestani -osaan.
Ratkaisu
Tämän ongelman aiheuttamaa riskiä voi pienentää määrittämällä ympäristöjä, joissa Windows NT 4, Windows 2000, Windows XP ja Windows Server 2003 sallivat vain NTLMv2:n käytön. Tämän voi tehdä määrittämällä LAN Managerin todentamisen tasoksi vähintään 3 tässä kuvatulla tavalla.

Windows XP:lle ja Windows Server 2003:lle on saatavilla Microsoft Fix it -ratkaisuja, joilla järjestelmät voi määrittää käyttämään vain NTLMv2:ta automaattisesti. Tämä tapa ottaa käyttöön myös NTLM-asetukset, joilla käyttäjät voivat hyödyntää laajennettua suojausta todennusta varten.
Korjaa ongelma puolestani
Tässä osassa kuvattua Fix it -ratkaisua ei ole tarkoitettu korvaamaan mitään suojauspäivitystä. Microsoft suosittelee, että asennat aina uusimmat suojauspäivitykset. Microsoft kuitenkin tarjoaa tämän Fix it -ratkaisun kiertotapana joillekin tilanteille.

Microsoft Fix it Windows XP:lle

Jos haluat ottaa tämän Fix it -ratkaisun käyttöön tai poistaa sen käytöstä, napsauta Fix it -ratkaisun painiketta tai Ota käyttöön -kohdan alla näkyvää linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Ota käyttöön
Huomautuksia
  • Tämä ohjattu toiminto saattaa olla vain englanninkielinen. Automaattinen korjaus toimii kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.
Microsoft Fix it Windows Server 2003:lle

Jos haluat ottaa tämän Fix it -ratkaisun käyttöön tai poistaa sen käytöstä, napsauta Fix it -ratkaisun painiketta tai Ota käyttöön -kohdan alla näkyvää linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Ota käyttöön
Huomautuksia
  • Tämä ohjattu toiminto saattaa olla vain englanninkielinen. Automaattinen korjaus toimii kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.
Tila
Microsoft on vahvistanut, että tämä ongelma esiintyy artikkelin alussa luetelluissa Microsoftin tuotteissa.
Enemmän tietoa

Usein kysytyt kysymykset

Onko Windows-verkon suojauksen ja LAN Managerin todennuksen tason uhista ja vastatoimista olemassa lisätietoja?

Yksityiskohtaisia tietoja uhista ja vastatoimista on saatavilla Microsoft TechNet -sivuston Threats and Countermeasures -oppaassa. Lisätietoja NTLM-version kokoonpanosta on kohdassa LmCompatibilityLevel.

Mistä ongelma johtuu?

Tammikuuhun 2000 saakka vientirajoitukset rajoittivat kryptografisten protokollien avainten enimmäispituutta. Sekä LM- että NTLM-todennusprotokolla kehitettiin ennen tammikuuta 2000, ja siksi nämä rajoitukset koskevat niitä. Kun Windows XP julkaistiin, se määritettiin varmistamaan yhteensopivuus taaksepäin Windows 2000:lle ja sitä aiemmille versioille suunnitelluissa todennusympäristöissä. 

Miten selvitän, onko kokoonpanoni haavoittuvainen?

Tämä ongelma vaikuttaa järjestelmääsi, jos LMCompatibilityLevel-rekisteriasetuksiin on määritetty arvo, joka on alle kolme (<3).

Mihin oletuskokoonpanoissa oleviin Windows-käyttöjärjestelmiin tämä vaikuttaa? 

Windows NT4:n, Windows 2000:n, Windows XP:n ja Windows Server 2003:n oletuskokoonpanoissa on LMCompatibilityLevel-arvo, joka on alle kolme (<3).

Mitä riskejä NTLMv2-pakotukseen mahdollisesti liittyy?

Kaikki tuetut Windows-käyttöjärjestelmäversiot tukevat NTLMv2:ta. Myös Windows NT 4.0 SP6a tukee NTLMv2:ta. Siksi yhteensopivuusriski on hyvin pieni. Kolmansien osapuolten vanhat toteutukset tai kokoonpanot on ehkä arvioitava mahdollisten yhteentoimivuusongelmien varalta. Uudelleenmääritys tai päivitys saattaa ratkaista tämän ongelman. Asiakkaita kehotetaan tekemään korjaustoimia ja määrittämään ja päivittämään verkko siten, että NTLMv1 voidaan tunnistaa ja poistaa vähittäin käytöstä. NTLMv1-protokollan käyttäminen vaikuttaa selvästi haitallisesti verkon suojaukseen ja saattaa tehdä siitä haavoittuvan.

Mihin hyökkääjä saattaa käyttää heikkoutta?

Hyökkääjä voi kerätä todennushajautusarvoja siepatuista LM- ja NTLM-verkkotodennusvastauksista.

Mistä löydän tietoja siitä, miten NTLMv2 otetaan käyttöön Microsoft Windows -versioissa, joita ei enää tueta? 

Yksityiskohtaisia Windows NT:tä, Windows 95:tä, Windows 98:aa ja Windows 98 Second Editionia koskevia NTLMv2-tietoja on Microsoft Knowledge Base -artikkelissa 239869 (Tämä artikkeli saattaa olla englanninkielinen).
Ilmoitukset
Microsoft haluaa kiittää seuraavia tahoja, jotka ovat auttaneet meitä suojaamaan asiakkaitamme:
  • T-Mobile USA:n Mark Gamache, joka on auttanut Microsoftia suojaamaan asiakkaitamme NTLMv1 (NT LAN Manager version 1)- ja LM (LAN Manager) -verkkotodennukseen kohdistettavilta hyökkäyksiltä
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Huomautus Tämä on niin sanottu nopeasti julkaistava (”fast publish”) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.
Ominaisuudet

Artikkelin tunnus: 2793313 – Viimeisin tarkistus: 01/11/2013 12:00:00 – Versio: 1.0

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Palaute