דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

מבוא

אנחנו מודעים למידע מפורט וכלים שבהם ניתן להשתמש במתקפות נגד NT LAN Manager גירסה 1 (NTLMv1) ואימות רשת של LAN Manager (LM). שיפורים בחומרת מחשב ואלגוריתמים של תוכנה הפכו פרוטוקולים אלה לפגיעים לתקיפות מתפרסמות שמטרתן להשיג אישורי משתמשים. המידע וערכות הכלים הזמינות מתמקדים באופן ספציפי בסביבות שלא אוכפות אימות NTLMv2. אנחנו ממליצים מאוד ללקוחות להעריך את הסביבות שלהם ולעדכן הגדרות של אימות רשת. כל מערכות ההפעלה הנתמכות של Microsoft מספקות יכולות של אימות NTLMv2.

מערכות שאינן מושפעות בתצורת ברירת מחדל נמצאות בעיקר בסיכון, כגון מערכות שמפעילות את Microsoft Windows NT 4, Windows 2000, Windows XP ו- Windows Server 2003. לדוגמה, כברירת מחדל, Windows XP ו- Windows Server 2003 תומכים שניהם באימות NTLMv1. 

לגבי Windows NT, שתי אפשרויות נתמכות באימות challenge response בכניסות לרשת: אימות challenge response של LAN Manager (LM) ואימות challenge response של Windows NT (נקרא גם אימות challenge response של NTLM גירסה 1). שני אלה מאפשרים יכולת פעולה הדדית עם בסיסים מותקנים של Windows NT 4.0, Windows 95, Windows 98 ו- Windows 98 Second Edition. 


כדי שאנו נתקן בעיה זו עבורך, עבור לסעיף "תקנו עבורי".

פתרון הבעיה

כדי להפחית את הסיכון של בעיה זו, מומלץ להגדיר סביבות שמפעילות את Windows NT 4, Windows 2000, Windows XP ו- Windows Server 2003 כך שיאפשרו שימוש ב- NTLMv2 בלבד. לשם כך, הגדר באופן ידני את רמת האימות של LAN Manager ל- 3 או יותר בהתאם למתואר כאן.

עבור Windows XP ו- Windows Server 2003, פתרונות Microsoft Fix it זמינים כדי להגדיר באופן אוטומטי מערכות כדי לאפשר שימוש ב- NTLMv2 בלבד. שיטה זו הופכת גם את ההגדרות של NTLM לזמינות למשתמשים כדי שיוכלו לנצל את ההגנה המורחבת לאימות.




תקנו עבורי

פתרון תיקון זה המתואר בסעיף זה אינו מיועד להיות תחליף לעדכון אבטחה כלשהו. אנו ממליצים להתקין תמיד את עדכוני האבטחה העדכניים ביותר. עם זאת, אנו מציעים פתרון תיקון זה כאפשרות מעקף בתרחישים מסוימים.

Microsoft Fix it עבור Windows XP

כדי להפוך פתרון Fix it זה לזמין או לא זמין, לחץ על הלחצן או הקישור Fix it מתחת לכותרת הפוך לזמין. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.

הפעל

הערות

  • ייתכן שאשף זה מוצג באנגלית בלבד. עם זאת, התיקון האוטומטי פועל גם עבור גירסאות של Windows בשפות אחרות.

  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

Microsoft Fix it עבור Windows Server 2003

כדי להפוך פתרון Fix it זה לזמין או לא זמין, לחץ על הלחצן או הקישור Fix it מתחת לכותרת הפוך לזמין. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.

הפעל

הערות

  • ייתכן שאשף זה מוצג באנגלית בלבד. עם זאת, התיקון האוטומטי פועל גם עבור גירסאות של Windows בשפות אחרות.

  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

סטטוס

Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft ששמותיהם מופיעים בסעיף 'חל על'.

מידע נוסף

שאלות נפוצות

האם יש מידע נוסף על איומים ואמצעי-נגד עבור Windows Network Security ורמת האימות של LAN Manager?

מידע מפורט על איומים ואמצעי-נגד זמין ב- Microsoft TechNet במדריך האיומים ואמצעי-הנגד. לקבלת מידע נוסף על תצורה בגירסת NTLM, ראה LmCompatibilityLevel.


מה גרם לבעיה?

עד ינואר 2000, הגבלות ייצוא הגבילו את אורך המפתח המקסימלי בפרוטוקולים קריפטוגרפים. פרוטוקולי האימות LM ו- NTLM פותחו שניהם לפני ינואר 2000 וכלן היו כפופים למגבלות אלה. כאשר Windows XP פורסם, הוא הוגדר כך שיבטיח תאימות לאחור עם סביבות אימות שתוכננו עבור Windows 2000 או גירסאות ישנות יותר. 

כיצד אוכל לבדוק את התצורה שלי פגיעה?

אתה מושפע מבעיה זו אם הגדרות הרישום LMCompatibilityLevel מוגדרות לשלוש (<3) או פחות.

אילו מערכות הפעלה של Windows מושפעות בתצורות של ברירת מחדל? 

Windows NT4, Windows 2000, Windows XP ו- Windows Server 2003 כוללות ערך תצורה המוגדר כברירת מחדל של LMCompatibilityLevel שהוא פחות משלוש (<3).

מהם הסיכונים הפוטנציאליים של אכיפת NTLMv2?

כל הגירסאות הנתמכות של מערכות ההפעלה של Windows תומכות ב- NTLMv2. Windows NT 4.0 SP6a תומך גם ב- NTLMv2. לכן יש סיכון קטן מאוד של תאימות. ייתכן שיהיה צורך להעריך יישומים או תצורות מדור קודם של ספקים חיצוניים כדי למצוא בעיות של יכולת פעולה הדדית. קביעת תצורה מחדש או שדרוג עשויים לפתור בעיה זו. מומלץ מאוד ללקוחות לנקוט צעדים מתקנים כדי להגדיר ולשדרג את הרשת שלהם כך שתזהה ותקבל את NTLMv1. לשימוש בפרוטוקול NTLMv1 יש השפעה מוחלטת ושלילית על אבטחת הרשת והיא עלולה לפגוע בה.

איך תוקף עלול להשתמש בפגיעות?

תוקף עלול לחלץ קודי hash של אימות מתגובות אימות רשת של LM ו- NTLM שנלכדו.

היכן אוכל למצוא מידע על הפיכת NTLMv2 לזמין בגירסאות של Microsoft Windows שלא נתמכות עוד? 

מידע מפורט על NTLMv2 עבור Windows NT, Windows 95, Windows 98 ו- Windows 98 Second Edition זמין במאמר מאגר הידע Microsoft Knowledge Base מס' 239869 (ייתכו שטקסט זה מוצג באנגלית).

תודות


Microsoft מודה לאנשים הבאים על העבודה איתנו כדי לעזור לנו להגן על לקוחות:


  • מארק גאמצ'ה מחברת T-Mobile USA על העבודה איתנו כדי לסייע בהגנה על לקוחות מפני מתקפות נגד אימות רשת של NTLMv1 (NT LAN Manager גירסה 1) ו- LAN Manager (LM)

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×