Kako omogućiti NTLM 2 autentifikaciju

Važno Ovaj članak sadrži informacije o modificiranju sistemskog registra. Prije modificiranja registra obavezno izradite njegovu sigurnosnu kopiju i provjerite znate li postupak za vraćanje registra ako dođe do problema. Dodatne informacije o izradi sigurnosne kopije, vraćanju i uređivanju registra potražite u članku iz Microsoftove baze znanja pod brojem
256986 Opis registra u sustavu Microsoft Windows

S AŽ E T A K

Windows NT tijekom svog razvoja podržavao je dvije varijante autentifikacije po načelu pitanja i odgovora za mrežne prijave:
 • Pitanje/odgovor za LM (LAN Manager - upravitelj lokalne mreže)
 • Pitanje/odgovor za Windows NT (poznat i pod nazivom pitanje/odgovor za NTLM verzije 1)
Varijanta LM omogućuje međuoperabilnost s instaliranom bazom sustava Windows 95, Windows 98 i Windows 98 Second Edition na klijentskim računalima i poslužiteljima. NTLM daje dodatnu sigurnost vezama između klijentskih i poslužiteljskih računala koja rade u sustavu Windows NT. Windows NT podržava i mehanizam osiguranja sesija na temelju protokola NTLM, što omogućuje povjerljivost (šifriranje) i integritet (potpisivanje) poruka.

Nova poboljšanja računalnog hardvera i softverskih algoritama izložila su te protokole široko rasprostranjenim napadima čiji je cilj pribavljanje korisničkih lozinki. U neprestanim nastojanjima da svojim korisnicima omogući sigurnije proizvode, Microsoft je razvio poboljšanje poznato kao NTLM verzije 2, koje znatno unapređuje i autentifikaciju i mehanizme osiguranja sesije. NTLM 2 dostupan je za Windows NT 4.0 od izdavanja paketa Service Pack 4 (SP4), a izvorno ga podržava i Windows 2000. Podršku za NTLM 2 možete dodati i sustavu Windows 98 tako da instalirate proširenja za klijente servisa Active Directory (Active Directory Client Extensions).

Kada nadogradite sva računala koja rade u sustavima Windows 95, Windows 98, Windows 98 Second Edition i Windows NT 4.0, možete uvelike poboljšati sigurnost svoje tvrtke ili ustanove tako da klijente, poslužitelje i kontrolere domena konfigurirate da koriste isključivo NTLM 2 (a ne LM ili NTLM).

D O D A T N E I N F O R M A C I J E

Dodatne informacije o instaliranju odgovarajućeg proširenja za klijente servisa Active Directory potražite u članku iz Microsoftove baze znanja pod brojem

288358 Kako instalirati proširenje za klijente servisa Active Directory (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)

Kada na računalo s operacijskim sustavom Windows 98 instalirate proširenja za klijente servisa Active Directory, automatski se instaliraju i sistemske datoteke koje osiguravaju podršku za NTLM 2. Radi se o datotekama Secur32.dll, Msnp32.dll, Vredir.vxd i Vnetsup.vxd. Ako uklonite proširenje za klijente servisa Active Directory, sistemske datoteke za NTLM 2 neće se ukloniti jer one donose i poboljšane sigurnosne funkcije i popravke vezane uz sigurnost.Sigurnosno šifriranje sesije na temelju protokola NTLM 2 po zadanome je ograničeno na najveću moguću duljinu ključa od 56 bita. Neobavezna podrška za 128-bitne ključeve instalira se automatski ako sustav udovoljava izvoznim propisima Sjedinjenih Država. Da biste omogućili podršku za 128-bitno osiguranje sesije na temelju protokola NTLM 2, morate instalirati Microsoft Internet Explorer verzije 4.x ili 5 i napraviti nadogradnju na podršku za 128-bitnu sigurnu vezu prije nego instalirate proširenje za klijente servisa Active Directory.Provjera verzije instalacije
 1. Putem Windows Explorera pronađite datoteku Secur32.dll u mapi %SystemRoot%\System.
 2. Desnom tipkom miša kliknite datoteku, a zatim kliknite Properties (Svojstva).
 3. Kliknite karticu Version (Verzija). Opis za 56-bitnu verziju jest "Microsoft Win32 Security Services (Export Version)" (Sigurnosni servisi za Microsoft Win32 (verzija za izvoz)). Opis za 128-bitnu verziju jest "Microsoft Win32 Security Services (US and Canada Only)" (Sigurnosni servisi za Microsoft Win32 (samo za SAD i Kanadu)).

Prije nego omogućite NTLM 2 autentifikaciju za klijente koji rade u sustavu Windows 98, provjerite koriste li svi kontroleri domena putem kojih se korisnici prijavljuju u mrežu s tih klijentskih računala Windows NT 4.0 Service Pack 4 ili noviji. (Kontroleri domena mogu raditi pod sustavom Windows NT 4.0 Service Pack 6 ako su klijentsko računalo i poslužitelj pridruženi različitim domenama.) Za podršku protokolu NTLM 2 nije potrebna nikakva konfiguracija kontrolera domena. Kontrolere domena morate konfigurirati samo da biste onemogućili podršku za NTLM 1 ili LM autentifikaciju.Dodatne informacije o razlikama između ovih varijanti protokola i važnosti nadogradnje na isključivu upotrebu verzije NTLM 2 potražite u članku iz Microsoftove baze znanja pod brojem

147706 Kako onemogućiti LM autentifikaciju u sustavu Windows NT (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)

Omogućivanje protokola NTLM 2 za klijentska računala koja rade u sustavu Windows 95, Windows 98 ili Windows 98 Second Edition

Upozorenje Ako koristite Registry Editor na pogrešan način, možete uzrokovati ozbiljne probleme koji mogu zahtijevati ponovno instaliranje operacijskog sustava. Microsoft ne može jamčiti da ćete moći riješiti probleme koji se mogu pojaviti ako Registry Editor koristite na pogrešan način. Registry Editor koristite na vlastitu odgovornost.
Da biste omogućili NTLM 2 autentifikaciju klijentskih računala koja rade u sustavima Windows 95, Windows 98 ili Windows 98 Second Edition, instalirajte Directory Services Client (Klijent za imeničke servise). Da biste aktivirali NTLM 2 na klijentskom računalu, slijedite ove korake:
 1. Pokrenite Registry Editor (Regedit.exe).
 2. Pronađite i kliknite sljedeći ključ u registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
 3. U navedenom registarskom ključu kreirajte registarski ključ LSA.
 4. Na izborniku Edit (Uređivanje), kliknite Add Value (Dodaj vrijednost), a zatim dodajte sljedeću vrijednost:
  Value Name (Naziv vrijednosti): LMCompatibility
  Data Type (Vrsta podataka): REG_DWORD
  Value (Vrijednost): 3
  Valid Range (Valjani raspon): 0,3
  Description (Opis): Ovaj parametar određuje način rada autentifikacije i osiguranja sesije koji će se koristiti za mrežne prijave. Ne utječe na interaktivne prijave.
  • Razina 0 - Slanje LM i NTLM odgovora; nikada se ne koristi osiguranje sesije na temelju protokola NTLM 2. Klijenti će koristiti LM i NTLM autentifikaciju, a nikada neće koristiti osiguranje sesije na temelju protokola NTLM 2; kontroleri domene prihvaćaju LM, NTLM i NTLM 2 autentifikaciju.
  • Razina 3 - Slanje isključivo NTLM 2 odgovora. Klijenti će koristiti NTLM 2 autentifikaciju i koristiti osiguranje sesije na temelju protokola NTLM 2 ako ga poslužitelj podržava; kontroleri domena prihvaćaju LM, NTLM i NTLM 2 autentifikaciju.
  Napomena Da biste omogućili NTLM 2 za klijente koji rade u sustavu Windows 95, instalirajte klijent za distribuirani datotečni sustav (Distributed File System – DFS), nadopunu WinSock 2.0 Update i Microsoft DUN 1.3 za Windows 2000.

 5. Zatvorite Registry Editor.

Napomena Za sustave Windows NT 4.0 i Windows 2000 registarski je ključ LMCompatibilityLevel, a za računala koja rade u sustavima Windows 95 i Windows 98 registarski je ključ LMCompatibility.

Za vašu informaciju, cijeli raspon vrijednosti za vrijednost LMCompatibilityLevel koje podržavaju sustavi Windows NT 4.0 i Windows 2000 obuhvaća:
 • Razina 0 - Slanje LM i NTLM odgovora; nikada se ne koristi osiguranje sesije na temelju protokola NTLM 2. Klijenti koriste LM i NTLM autentifikaciju, a nikada ne koriste osiguranje sesije na temelju protokola NTLM 2; kontroleri domene prihvaćaju LM, NTLM i NTLM 2 autentifikaciju.
 • Razina 1 - Po dogovoru se koristi osiguranje sesije na temelju protokola NTLM 2. Klijenti koriste LM i NTLM autentifikaciju, a osiguranje sesije na temelju protokola NTLM 2 koriste ako ga poslužitelj podržava; kontroleri domena prihvaćaju LM, NTLM i NTLM 2 autentifikaciju.
 • Razina 2 - Slanje isključivo NTLM odgovora. Klijenti koriste samo NTLM autentifikaciju, a osiguranje sesije na temelju protokola NTLM 2 koriste ako ga poslužitelj podržava; kontrolori domena prihvaćaju LM, NTLM i NTLM 2 autentifikaciju.
 • Razina 3 - Slanje isključivo NTLM 2 odgovora. Klijenti koriste NTLM 2 autentifikaciju i osiguranje sesije na temelju protokola NTLM 2 ako ga poslužitelj podržava; kontroleri domena prihvaćaju LM, NTLM i NTLM 2 autentifikaciju.
 • Razina 4 - Kontroleri domena odbijaju LM odgovore. Klijenti koriste NTLM autentifikaciju i osiguranje sesije na temelju protokola NTLM 2 ako ga poslužitelj podržava; kontroleri domena odbijaju LM autentifikaciju (to jest, prihvaćaju NTLM i NTLM 2 autentifikaciju).
 • Razina 5 - Kontroleri domena odbijaju LM i NTLM odgovore (prihvaćaju samo NTLM 2). Klijenti koriste NTLM 2 autentifikaciju i osiguranje sesije na temelju protokola NTLM 2 ako ga poslužitelj podržava; kontroleri domena odbijaju NTLM i LM autentifikaciju (to jest, prihvaćaju samo NTLM 2 autentifikaciju).
Klijentsko računalo za razgovor sa svim poslužiteljima smije koristiti samo jedan protokol. Ne možete ga konfigurirati, na primjer, da se s poslužiteljima koji rade u sustavu Windows 2000 povezuje pomoću protokola NTLM v2, a da se istodobno povezuje s drugim poslužiteljima pomoću protokola NTLM. Takva je konfiguracija namjerna.

Izmjenom sljedećeg registarskog ključa možete konfigurirati minimalnu sigurnost za programe koji koriste NTLM SSP (NTLM Security Support Provider – NTLM pružatelj sigurnosne podrške). Te vrijednosti ovise o vrijednosti LMCompatibilityLevel:
 1. Pokrenite Registry Editor (Regedit.exe).
 2. Pronađite i kliknite sljedeći ključ u registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  .
 3. Na izborniku Edit (Uređivanje), kliknite Add Value (Dodaj vrijednost), a zatim dodajte sljedeću vrijednost:
  Value Name (Naziv vrijednosti): NtlmMinClientSec
  Data Type (Vrsta podataka): REG_WORD
  Value (Vrijednost): jedna od sljedećih vrijednosti:
  • 0x00000010- Integritet poruke
  • 0x00000020- Povjerljivost poruke
  • 0x00080000- Osiguranje sesije na temelju protokola NTLM 2
  • 0x20000000- 128-bitno šifriranje
  • 0x80000000- 56-bitno šifriranje

 4. Zatvorite Registry Editor.
Ako za osiguranje sesije u sklopu veze klijentski ili poslužiteljski program koristi NTLM SSP (ili sigurni Remote Procedure Call [RPC] (daljinsko pozivanje procedura) koji pak koristi NTLM SSP), vrsta osiguranja sesije koju valja koristiti utvrđuje se na sljedeći način:
 • Klijent zahtijeva neke ili sve sljedeće stavke: integritet poruke, povjerljivost poruke, osiguranje sesije pomoću protokola NTLM 2 i 128-bitno ili 56-bitno šifriranje.
 • Poslužitelj odgovara koju od stavki iz zatraženog skupa želi.
 • Za nastali skup kaže se da je "dogovoren".
Možete koristiti vrijednost NtlmMinClientSec da biste veze klijenta i poslužitelja označili kao neuspjele ako ne mogu dogovoriti određenu kvalitetu osiguranja sesije. Trebali biste, međutim, obratiti pozornost na sljedeće:
 • Ako za vrijednost NtlmMinClientSec koristite 0x00000010, veza se neće uspostaviti ako se ne dogovori integritet poruke.
 • Ako za vrijednost NtlmMinClientSec koristite 0x00000020, veza se neće uspostaviti ako se ne dogovori povjerljivost poruke.
 • Ako za vrijednost NtlmMinClientSec koristite 0x00080000, veza se neće uspostaviti ako se ne dogovori osiguranje sesije na temelju protokola NTLM 2.
 • Ako za vrijednost NtlmMinClientSec koristite 0x20000000, veza se neće uspostaviti ako se koristi povjerljivost poruke, ali nije dogovoreno 128-bitno šifriranje.
Svojstva

ID članka: 239869 - posljednja izmjena: 6. velj 2006. - verzija: 1

Povratne informacije