Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Az NTLM 2 hitelesítés engedélyezése

Fontos! Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt feltétlenül készítsen biztonsági másolatot arról, és csak akkor fogjon hozzá, ha probléma esetén tisztában van a rendszerleíró adatbázis visszaállításának módjával. A rendszerleíró adatbázis biztonsági mentésével, módosításával és visszaállításával kapcsolatos információkat a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Összefoglaló
A Windows NT rendszer a hálózati bejelentkezésekhez két kérdés-válasz hitelesítési módot tartalmaz:
  • LAN Manager (LM) kérdés-válasz
  • Windows NT kérdés-válasz (amely 1-es verziójú NTLM kérdés-válaszként is ismert)
Az LM alapú hitelesítés lehetővé teszi az együttműködést Windows 95, Windows 98 vagy Windows 98 Second Edition rendszerrel rendelkező ügyfelekkel és kiszolgálókkal. Az NTLM-hitelesítés a Windows NT rendszerű ügyfelek és kiszolgálók közti kapcsolatokat teszi biztonságosabbá. A Windows NT támogatja az NTLM-hitelesítés munkamenet-biztonsági mechanizmusát, amely biztosítja az üzenetek bizalmas átvitelét (titkosítás) és integritásának megőrzését (aláírás).

A számítógépes hardver és az algoritmusok közelmúltbeli fejlődése miatt ezek a protokollok sebezhetővé váltak a felhasználók jelszavainak megszerzésére irányuló széleskörű támadásokkal szemben. A felhasználók nagyobb biztonsága érdekében végzett folyamatos munkájának eredményeként a Microsoft kifejlesztette a 2-es verziójú NTLM-protokollt, amely sokkal jobb hitelesítési és munkamenet-biztonsági mechanizmusokat tartalmaz. Az NTLM 2 protokoll a Windows NT 4.0 rendszerhez kiadott Service Pack 4 (SP4) szervizcsomag megjelenése óta elérhető, a Windows 2000 rendszer pedig már alapértelmezés szerint tartalmazza azt. Az Active Directory ügyfélbővítmények telepítésével az NTLM 2 támogatását a Windows 98 rendszerben is elérhetővé lehet tenni.

A Windows 95, Windows 98, Windows 98 Second Edition és Windows NT 4.0 rendszerű számítógépek frissítése után a vállalat biztonságának jelentős növelése érhető el, ha az ügyfeleket és a kiszolgálókat úgy állítja be, hogy azok csak NTLM 2 protokollt használjanak (és LM vagy NTLM hitelesítést ne).
További információ
További információt az Active Directory megfelelő ügyfélbővítményének telepítéséről a Microsoft Tudásbázis alábbi cikkében talál a cikk számára kattintva:
288358 Az Active Directory ügyfélbővítményének telepítése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Az Active Directory ügyfélbővítményének Windows 98 rendszerre történő telepítésekor az NTLM 2 támogatásáért felelős rendszerfájlokat automatikusan telepíti a rendszer. Ezek a fájlok a Secur32.dll, az Msnp32.dll, a Vredir.vxd és a Vnetsup.vxd. Az Active Directory ügyfélbővítmény eltávolításakor az NTLM 2 rendszerfájlok a számítógépen maradnak, mert ezek javított biztonsági funkciókat és a biztonsággal kapcsolatos javításokat tartalmaznak.

Alapértelmezés szerint az NTLM 2 munkamenet-biztonsági titkosításhoz használt kulcsának maximális hossza 56 bit. Ha a rendszer megfelel az Egyesült Államok kiviteli szabályozásának, a 128 bites kulcsok támogatására szolgáló kiegészítést a rendszer automatikusan telepíti. Az 128 bites NTLM 2 munkamenet-biztonsági szolgáltatás engedélyezéséhez a Microsoft Internet Explorer 4.x vagy 5-ös verzióját kell telepíteni, és az Active Directory ügyfélbővítményének telepítése előtt frissíteni kell azt a 128 bites biztonságos kapcsolat támogatásához.

A telepített alkalmazás verziójának ellenőrzéséhez kövesse az alábbi lépéseket:
  1. A Windows Intéző segítségével keresse meg a %SystemRoot%\System mappában található Secur32.dll fájlt.
  2. Kattintson jobb gombbal a fájlra, majd válassza a Tulajdonságok parancsot.
  3. Kattintson a Verzió fülre. Az 56 bites verzió leírása a következő: „Security Support Provider Interface (Export Version)” (biztonságtámogatási szolgáltató felülete). A 128 bites verzió leírása a következő: „Microsoft Win32 Security Services (US and Canada Only)” (Microsoft Win32 biztonsági szolgáltatások).
Mielőtt a Windows 98 rendszerű ügyfeleken engedélyezné az NTLM 2 hitelesítés használatát, győződjön meg arról, hogy az ezekről az ügyfelekről a hálózathoz csatlakozó felhasználókat kiszolgáló tartományvezérlőkön Service Pack 4 szervizcsomaggal ellátott Windows NT 4.0 vagy ennél újabb rendszer fut. (Ha az ügyfél és a kiszolgáló különböző tartományba tartozik, a tartományvezérlőkön futhat Service Pack 6 szervizcsomaggal ellátott Windows NT 4.0 rendszer.) Az NTLM 2 hitelesítés használatához a tartományvezérlőkön semmilyen különleges beállítás nem szükséges. Csak az NTLM 1 és LM hitelesítési módokat kell letiltani.További információt a protokollok közötti különbségekről, és az NTLM 2 protokoll kizárólagos használatának fontosságáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
147706 Az LM-hitelesítés tiltása Windows NT rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az NTLM 2 engedélyezése Windows 95, Windows 98 vagy Windows 98 Second Edition rendszerű ügyfelek esetén

Figyelem! A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt mindenki a saját felelősségére használhatja.
Az NTLM 2 hitelesítés Windows 95, Windows 98 és Windows 98 Second Edition rendszerű ügyfelek esetén történő engedélyezéséhez telepítse a Címszolgáltatások ügyfélprogramot. Az NTLM 2 ügyfélen történő aktiválásához kövesse az alábbi lépéseket:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedit.exe).
  2. Keresse meg az adatbázisban a következő kulcsot, és kattintson rá:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Hozzon létre a fenti kulcson belül egy LSA kulcsot.
  4. A Szerkesztés menüből válassza az Azonosító hozzáadása parancsot, majd hozza létre a következő azonosítót:
    Azonosítónév: LMCompatibility
    Adattípus: REG_DWORD
    Érték: 3
    Érvényes értékek: 0, 3
    Leírás: ez a paraméter adja meg a hálózati bejelentkezéshez használt hitelesítés módját és a munkamenet-biztonsági szolgáltatást. Az interaktív bejelentkezést nem befolyásolja.
    • 0. szint - LM és NTLM válasz elküldése; NTLM 2 munkamenet-biztonsági szolgáltatás használatának tiltása. Az ügyfelek az LM és az NTLM hitelesítést használják, de NTLM 2 munkamenet-biztonsági szolgáltatást soha. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
    • 3. szint - Csak NTLM 2 válasz küldése. Az ügyfelek az NTLM 2 hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítést is.
    Megjegyzés Ha az NTLM 2 protokollt Windows 95 rendszerű ügyfelek számára is engedélyezni szeretné, telepítse az elosztott fájlrendszer (DFS) ügyfelet, a WinSock 2.0 verziójú frissítését és a Windows 2000 rendszer Microsoft DUN 1.3 alkalmazását.

  5. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.

Megjegyzés Windows NT 4.0 és a Windows 2000 rendszerben a rendszerleíró adatbázis kulcsának neve LMCompatibilityLevel, míg Windows 95 és Windows 98 rendszerben LMCompatibility.

A Windows NT 4.0 és a Windows 2000 rendszerekben az LMCompatibilityLevel kulcs értékei a következőket jelentik:
  • 0. szint - LM és NTLM válasz elküldése; NTLM 2 munkamenet-biztonsági szolgáltatás használatának tiltása. Az ügyfelek az LM és az NTLM hitelesítést használják, de NTLM 2 munkamenet-biztonsági szolgáltatást soha. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
  • 1. szint - Az NTLM 2 munkamenet-biztonsági szolgáltatás használata megállapodás alapján. Az ügyfelek az LM és az NTLM hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a tartományvezérlő támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
  • 2. szint - Csak NTLM válasz küldése. Az ügyfelek csak az NTLM hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a tartományvezérlő támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítéseket is.
  • 3. szint - Csak NTLM 2 válasz küldése. Az ügyfelek az NTLM 2 hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők elfogadják az LM, NTLM és NTLM 2 hitelesítést is.
  • 4. szint - A tartományvezérlők visszautasítják az LM válaszokat. Az ügyfelek az NTLM hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők visszautasítják az LM hitelesítést (azaz az NTLM és az NTLM 2 hitelesítéseket fogadják el).
  • 5. szint - A tartományvezérlők visszautasítják az LM és NTLM válaszokat (csak NTLM 2 elfogadása). Az ügyfelek az NTLM 2 hitelesítést használják, továbbá az NTLM 2 munkamenet-biztonsági szolgáltatást is, ha a kiszolgáló támogatja azt. A tartományvezérlők visszautasítják az LM és az NTLM hitelesítést (azaz csak az NTLM 2 hitelesítést fogadják el).
Az ügyfélszámítógép az összes kiszolgálóval történő kommunikációhoz csak egy protokollt használhat. Nem lehetséges olyan beállítás, hogy az ügyfél NTLM 2 protokollt használjon Windows 2000 rendszerű kiszolgálókkal folytatott kommunikációkhoz, míg a többi kiszolgálóval NTLM protokoll segítségével kommunikáljon. Ez szándékosan van így.

A rendszerleíró adatbázis következő kulcsának módosításával megadhatja a NTLM biztonsági támogatás szolgáltatója (SSP – Security Support Provider) eszközt használó programok esetén használt minimális biztonsági szolgáltatások szintjét. Ezek az értékek a LMCompatibilityLevel értéktől függnek:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedit.exe).
  2. A rendszerleíró adatbázisban keresse meg a következő kulcsot:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. A Szerkesztés menüből válassza az Azonosító hozzáadása parancsot, majd hozza létre a következő azonosítót:
    Azonosítónév: NtlmMinClientSec
    Adattípus: REG_WORD
    Érték: a következő értékek közül az egyik:
    • 0x00000010- Üzenetintegritás
    • 0x00000020- Üzenettitkosítás
    • 0x00080000- NTLM 2 munkamenet-biztonság
    • 0x20000000- 128 bites titkosítás
    • 0x80000000- 56 bites titkosítás

  4. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.
Ha egy kiszolgáló- vagy ügyfélalkalmazás az NTLM SSP eszközt (vagy az NTLM SSP eszközt használó biztonságos távoli eljáráshívást [RPC - Remote Procedure Call]) használja a kapcsolat munkamenet-biztonságának biztosításához, a használt munkamenet-biztonsági szolgáltatást a következőképpen lehet meghatározni:
  • Az ügyfél a következők egyikét kéri: üzenetintegritás, üzenettitkosítás, NTLM 2 munkamenet-biztonság, 128 bites vagy 56 bites titkosítás.
  • A kiszolgáló válaszában jelzi, hogy a kért elemek közül melyikre tart igényt.
  • Ezt úgy nevezik, hogy a felek „megegyeztek” az eredményhalmazról.
Az NtlmMinClientSec érték változtatásával beállíthatja, hogy a kiszolgáló és az ügyfél vagy egyezzen meg a munkamenet biztonsági paramétereiről, vagy a kapcsolatfelvétel legyen sikertelen. Figyelembe kell venni azonban a következőket:
  • Ha az NtlmMinClientSec változóban 0x00000010 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni az üzenetintegritásról.
  • Ha az NtlmMinClientSec változóban 0x00000020 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni az üzenettitkosításról.
  • Ha az NtlmMinClientSec változóban 0x00080000 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni az NTLM 2 munkamenet-biztonsági szolgáltatás használatáról.
  • Ha az NtlmMinClientSec változóban 0x20000000 értéket állít be, a kapcsolatfelvétel sikertelen, ha a felek nem tudnak megegyezni a 128 bites titkosításról.
ntlmv2
Tulajdonságok

Cikkazonosító: 239869 - Utolsó ellenőrzés: 12/02/2005 10:04:00 - Verziószám: 4.3

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
  • kbhowto kbenv KB239869
Visszajelzés