BEVEZETÉS
Tudomásunkra jutott, hogy bizonyos részletes információk és eszközök támadásra használhatók az NT LAN Manager 1-es verziója (NTLMv1) és a LAN Manager (LM) hálózati hitelesítéssel szemben. A számítógépes hardver és az algoritmusok fejlődése miatt ezek a protokollok sebezhetővé váltak a felhasználók hitelesítő adatainak megszerzésére irányuló támadásokkal szemben. Az információk és az elérhető eszközkészletek kifejezetten azokra a környezetekre vonatkoznak, amelyeken nincs érvényben az NTLMv2-hitelesítés. Nyomatékosan javasoljuk ügyfeleinknek, hogy értékeljék ki a környezetüket, és frissítsék hálózathitelesítési beállításaikat. A Microsoft összes támogatott operációs rendszere biztosít NTLMv2-hitelesítési szolgáltatásokat.Automatikus javítás” című részhez.
Elsősorban az alapértelmezett beállításokkal rendelkező rendszerek vannak veszélyben, amelyek például Microsoft Windows NT 4, Windows 2000, Windows XP és Windows Server 2003 rendszert futtatnak. A Windows XP és Windows Server 2003 például alapértelmezés szerint támogatja az NTLMv1-hitelesítést. A Windows NT rendszer két lehetőséget támogat a hálózati bejelentkezések kérdés-válasz hitelesítésére: LAN Manager (LM) kérdés-válasz és Windows NT kérdés-válasz (amely NTLM 1-es verziójú kérdés-válaszként is ismert). Mindkét lehetőség lehetővé teszi az együttműködést a Windows 4.0, Windows 95, Windows 98 vagy Windows 98 Second Edition rendszert futtató kiszolgálókkal. Ha azt szeretné, hogy a probléma megoldása automatikusan történjen, lépjen tovább az „A megoldás
Amennyiben szeretné csökkenteni ezen probléma kockázatát, azt javasoljuk, hogy Windows NT 4, Windows 2000, Windows XP és Windows Server 2003 rendszereket futtató környezetekben csak az NTLMv2 használatát engedélyezze. Ehhez kézzel állítsa be a LAN Manager hitelesítési szintjét 3-as szintre vagy magasabb értékre az itt leírtak alapján. A Windows XP és Windows Server 2003 rendszereken elérhetők olyan Microsoft Fix it megoldások, amelyekkel a rendszerek beállíthatók kizárólag az NTLMv2 használatára. Ez a módszer az NTLM-beállítások használatát is lehetővé teszi, így a felhasználók a Hitelesítéskori kibővített védelem előnyeit is kihasználhatják.
Automatikus javítás
Az ebben a részben ismertetett automatikus javítási megoldás nem helyettesít más biztonsági frissítést. A Microsoft azt javasolja, hogy mindig telepítse a legújabb biztonsági frissítéseket. Ez az automatikus javítás azonban egyes esetekben kerülő megoldásként szolgálhat.
Microsoft Fix it a Windows XP rendszerhez A Fix it megoldás engedélyezéséhez vagy letiltásához kattintson a Fix it gombra vagy a hivatkozásra az Engedélyezés alcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az Automatikus javítás varázsló lépéseit.
Engedélyezés |
---|
Megjegyzések:
-
Előfordulhat, hogy a varázsló csak angol nyelven érhető el. Az automatikus javítás ugyanakkor a Windows többi nyelvi verziójával is működik.
-
Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD lemezre, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.
Microsoft Fix it a Windows Server 2003 rendszerhez
A Fix it megoldás engedélyezéséhez vagy letiltásához kattintson a Fix it gombra vagy a hivatkozásra az Engedélyezés alcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az Automatikus javítás varázsló lépéseit.
Engedélyezés |
---|
Megjegyzések:
-
Előfordulhat, hogy a varázsló csak angol nyelven érhető el. Az automatikus javítás ugyanakkor a Windows többi nyelvi verziójával is működik.
-
Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD lemezre, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.
Állapot
A Microsoft megerősítette a hiba létezését az Érintett termékek részben felsorolt Microsoft-termékekben.
További információ
GYIK
Vannak további elérhető információk a Windows Network Security és LAN Manager hitelesítési szintjéhez kapcsolódó veszélyforrásokról és az ellenintézkedésekről?
A veszélyforrásokról és az ellenintézkedésekről részletes információ érhető el a Microsoft TechNet webhelyen található Biztonsági fenyegetések és ellenintézkedéseik útmutatóban. Az NTLM-verzió beállításáról a LmCompatibilityLevel részben talál további információt.
Mi okozta a problémát?
2000 januárjáig az exportálási korlátozások meghatározták a titkosítási protokollok kulcsainak maximális hosszát. Az LM- és NTLM-hitelesítési protokollokat 2000 januárja előtt fejlesztették ki, így érvényesek voltak rájuk ezek a korlátozások. A Windows XP megjelenésekor visszamenőleges kompatibilitást biztosított a Windows 2000 és korábbi rendszerekhez tervezett hitelesítési környezetekkel.
Hogyan állapítható meg, hogy a konfiguráció sebezhető-e?
Akkor érinti ez a probléma, ha az LMCompatibilityLevel beállításjegyzék-beállítások értéke három (<3) vagy annál kevesebb.
Melyik Windows operációs rendszerek alapértelmezett konfigurációját érinti a probléma?
A Windows NT4, Windows 2000, Windows XP és a Windows Server 2003 alapértelmezett konfigurációjában az LMCompatibilityLevel értéke kisebb, mint három (<3).
Milyen lehetséges kockázata van az NTLMv2 használatának?
A Windows operációs rendszer minden támogatott verziója támogatja az NTLMv2-hitelesítést. A Windows NT 4.0 SP6a szintén támogatja az NTLMv2-hitelesítést. A kompatibilitási kockázat ezért nagyon alacsony. Harmadik féltől származó korábbi implementációk vagy konfigurációk esetében szükség lehet az együttműködési problémák kiértékelésére. Az újrakonfigurálás vagy frissítés megoldhatja a problémát. Az ügyfelek számára ajánlott a javító intézkedések elvégzése, hogy a hálózat konfigurálásával vagy frissítésével azonosítsák és lecseréljék az NTLMv1-hitelesítést. Az NTLMv1 protokoll használata határozottan hátrányos hatással van a hálózati biztonságra, és sebezhető lehet.
Mire használhatja fel a támadó a biztonsági rést?
A támadók hitelesítési kivonatokat nyerhetnek ki az LM- és NTLM-hálózati hitelesítés megszerzett válaszaiból.
Hol található információt arról, hogy a Microsoft Windows már nem támogatott verziói esetében hogyan engedélyezhető az NTLMv2?
Az NTLMv2 Windows NT, Windows 95, Windows 98 és Windows 98 Second Edition rendszerekkel való használatáról a Microsoft Tudásbázis 239869. számú cikkében talál részletes információt.
Köszönetnyilvánítás
köszönetét fejezi ki a következőknek az ügyfelek védelmében folytatott együttműködésükért:
A Microsoft-
Mark Gamache (T-Mobile USA), amiért közreműködött velünk abban, hogy megóvjuk ügyfeleinket az NTLMv1 (NT LAN Manager 1-es verzió) és LAN Manager (LM) hálózati hitelesítés elleni támadásoktól