NTLM 2 認証を有効にする方法

この記事は、以前は次の ID で公開されていました: JP239869
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
概要
これまで、Windows NT では、次の 2 種類のチャレンジ/レスポンス認証によるネットワーク ログオンをサポートしてきました。
  • LAN マネージャ (LM) チャレンジ/レスポンス
  • Windows NT チャンレジ/レスポンス (NTLM バージョン 1 チャレンジ/レスポンスとも呼ばれます)
LM を使用すると、Windows 95、Windows 98、Windows 98 Second Edition のクライアントおよびサーバーの既存のインストールに対する相互運用性を維持することができます。NTLM では、Windows NT クライアントとサーバーの接続におけるセキュリティが強化されています。Windows NT は、メッセージの機密性 (暗号化) と整合性 (署名) を保つための NTLM セッション セキュリティ メカニズムもサポートしています。

近年のコンピュータ ハードウェアおよびソフトウェア アルゴリズムの進歩に伴い、これらのプロトコルには、ユーザー パスワードを不正に入手するさまざまな攻撃に対する脆弱性が存在します。そこでマイクロソフトでは、より堅固な製品を提供するために、NTLM Version 2 と呼ばれる拡張機能を開発しました。これにより、認証とセッション セキュリティの両方のメカニズムが大幅に強化されます。NTLM 2 は、Service Pack 4 (SP4) のリリース以降、Windows NT 4.0 で利用できるようになり、Windows 2000 ではネイティブにサポートされます。Windows 98 でも、Active Directory クライアント拡張機能をインストールすることにより、NTLM 2 サポートを追加することができます。

Windows 95、Windows 98、Windows 98 Second Edition、および Windows NT 4.0 をベースとするすべてのコンピュータをアップグレードした後、クライアント、サーバー、およびドメイン コントローラで (LM や NTLM ではなく) NTLM 2 のみを使用するように構成すると、組織のセキュリティを大幅に強化させることができます。
詳細
適切な Active Directory Client Extension をインストールする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
288358 [NT] Active Directory Client Extension をインストールする方法
Windows 98 を実行しているコンピュータに Active Directory Client Extension をインストールすると、NTLM 2 サポートを提供するシステム ファイルも自動的にインストールされます。これらのファイルは、Secur32.dll、Msnp32.dll、Vredir.vxd、および Vnetsup.vxd です。Active Directory Client Extension を削除しても、NTLM 2 システム ファイルはセキュリティを強化する機能およびセキュリティ関連の修正を提供するファイルであるため、これらのファイルは削除されません。

デフォルトでは、NTLM 2 セッション セキュリティの暗号化は、キーの最大長が 56 ビットに制限されています。システムが米国の輸出規制に準拠している場合、オプションである 128 ビット キーのサポートが自動的にインストールされます。128 ビットの NTLM 2 セッション セキュリティのサポートを有効にするには、Active Directory Client Extension をインストールする前に、Microsoft Internet Explorer 4.x または 5 をインストールして、128 ビットのセキュリティで保護された接続がサポートされるようにアップグレードする必要があります。

インストールされているバージョンを確認するには、次の手順を実行します。
  1. エクスプローラを使用して、%SystemRoot%\System フォルダ内の Secur32.dll ファイルを検索します。
  2. ファイルを右クリックし、[プロパティ] をクリックします。
  3. [バージョン情報] タブをクリックします。56 ビット バージョンでは、"Microsoft Win32 Security Services (Export Version)" という説明が表示されます。128 ビット バージョンの場合、"Microsoft Win32 Security Services (US and Canada Only)" と表示されます。
Windows 98 クライアントで NTLM 2 認証を有効にする前に、これらのクライアントからユーザーがネットワーク経由でログオンするすべてのドメイン コントローラで Windows NT 4.0 Service Pack 4 以降が実行されていることを確認してください (クライアントとサーバーが異なるドメインに参加している場合は、ドメイン コントローラでは Windows NT 4.0 Service Pack 6 を実行できます)。ドメイン コントローラでは NTLM 2 をサポートするための特別な構成は必要ありません。ドメイン コントローラを構成する必要があるのは、NTLM 1 認証または LM 認証のサポートを無効にするときだけです。これらのプロトコルの相違点、およびアップグレードして NTLM 2 のみを使用することの重要性の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
147706 Windows NT 上の LM 認証を無効にする方法

Windows 95、Windows 98、または Windows 98 Second Edition クライアント用に NTLM 2 を有効にする

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
Windows 95、Windows 98、または Windows 98 Second Edition クライアントで NTLM 2 認証を有効にするには、ディレクトリ サービス クライアントをインストールします。次に、クライアントで NTLM 2 を有効にするには、次の手順を実行します。
  1. レジストリ エディタ (Regedit.exe) を起動します。
  2. レジストリで次のキーを見つけ、キーをクリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. 上記のレジストリ キーに、LSA というレジストリ キーを作成します。
  4. [編集] メニューの [新規] (または [新規作成]) をポイントして [DWORD 値] をクリックし、次のレジストリの値を追加します。
    値の名前 : LMCompatibility
    データ型 : REG_DWORD
    値のデータ : 3
    有効な範囲 : 0 ~ 3
    説明 : このパラメータは、ネットワーク ログオンで使用する認証モードとセッション セキュリティを指定するものです。この設定は、対話型ログオンには影響しません。
    • レベル 0 - LM および NTLM 応答を送信します。このとき、NTLM 2 セッション セキュリティは使用しません。クライアントは LM および NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラは、LM、NTLM、および NTLM 2 認証を受け入れます。
    • レベル 3 - NTLM 2 応答のみを送信します。クライアントは、NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLM 2 認証を受け入れます。
    : Windows 95 クライアントで NTLM 2 を有効にするには、分散ファイル システム (DFS) クライアント、WinSock 2.0 更新プログラム、および Windows 2000 用 Microsoft DUN 1.3 をインストールします。

  5. レジストリ エディタを終了します。

: Windows NT 4.0 および Windows 2000 ではレジストリ キーは LMCompatibilityLevel であり、Windows 95 および Windows 98 ベースのコンピュータではレジストリ キーは LMCompatibility です。

参考のため、LMCompatibilityLevel の値として Windows NT 4.0 および Windows 2000 でサポートされる、有効な値の範囲をすべて以下に示します。
  • レベル 0 - LM および NTLM 応答を送信します。このとき、NTLM 2 セッション セキュリティは使用されません。クライアントは LM および NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラは、LM、NTLM、および NTLM 2 認証を受け入れます。
  • レベル 1 - ネゴシエートされた場合は NTLM 2 セッション セキュリティを使用します。クライアントは、LM および NTLM 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLM 2 認証を受け入れます。
  • レベル 2 - NTLM 応答のみを送信します。クライアントは、NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLM 2 認証を受け入れます。
  • レベル 3 - NTLM 2 応答のみを送信します。クライアントは、NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラは、LM、NTLM、および NTLM 2 認証を受け入れます。
  • レベル 4 - ドメイン コントローラは LM 応答を拒否します。クライアントは、NTLM 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラは LM 認証を拒否します (つまり、NTLM および NTLM 2 を受け入れます)。
  • レベル 5 - ドメイン コントローラは、LM および NTLM 応答を拒否します (NTLM 2 のみを受け入れます)。クライアントは、NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラは、NTLM および LM 認証を拒否します (NTLM 2 のみを受け入れます)。
クライアント コンピュータがすべてのサーバーとのやり取りに使用できるのは 1 つのプロトコルのみです。これをユーザーが設定することはできません。たとえば、NTLM v2 を使用して Windows 2000 ベースのサーバーと接続し、NTLM を使用して他のサーバーと接続することはできません。これは仕様です。

以下のレジストリ キーを変更することにより、NTLM SSP (Security Support Provider) を利用するプログラムで使用される、最小のセキュリティを構成できます。これらの値は、LMCompatibilityLevel 値に依存します。
  1. レジストリ エディタ (Regedit.exe) を起動します。
  2. 次のレジストリ キーを見つけます。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. [編集] メニューの [新規] (または [新規作成]) をポイントして [DWORD 値] をクリックし、次のレジストリの値を追加します。
    値の名前 : NtlmMinClientSec
    データ型 : REG_WORD
    値 : 以下の値のいずれか
    • 0x00000010 - メッセージの整合性
    • 0x00000020 - メッセージの機密性
    • 0x00080000 - NTLM 2 セッション セキュリティ
    • 0x20000000- 128 ビットの暗号化
    • 0x80000000 - 56 ビットの暗号化

  4. レジストリ エディタを終了します。
接続に対してセッション セキュリティを提供するために NTLM SSP を利用するクライアント/サーバー プログラム (または、NTLM SSP が使用される、セキュリティで保護されたリモート プロシージャ コール (RPC) を利用するクライアント/サーバー プログラム) では、使用されるセッション セキュリティの種類は、次のように決定されます。
  • クライアントは、メッセージの整合性、メッセージの機密性、NTLM 2 セッション セキュリティ、128 ビットまたは 56 ビットの暗号化のうち、いずれかまたはすべての項目を要求します。
  • サーバーは、要求されたセットのどの項目を使用するかを示す応答を返します。
  • 結果のセットは "negotiated" と認識されます。
NtlmMinClientSec 値を使用すると、クライアント/サーバー接続で指定した品質のセッション セキュリティがネゴシエートされるようにすることや、接続を失敗させることができます。ただし、次の点に注意する必要があります。
  • NtlmMinClientSec 値に 0x00000010 を設定した場合、メッセージの整合性がネゴシエートされなければ、接続は成功しません。
  • NtlmMinClientSec 値に 0x00000020 を設定した場合、メッセージの機密性がネゴシエートされなければ、接続は成功しません。
  • NtlmMinClientSec 値に 0x00080000 を設定した場合、NTLM 2 セッション セキュリティがネゴシエートされなければ、接続は成功しません。
  • NtlmMinClientSec 値に 0x20000000 を設定すると、メッセージの機密性が使用されていて、128 ビットの暗号化がネゴシエートされなければ、接続は成功しません。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 239869 (最終更新日 2005-01-10) を基に作成したものです。
ntlmv2
プロパティ

文書番号:239869 - 最終更新日: 12/05/2015 15:35:17 - リビジョン: 4.3

Microsoft Windows 2000 Advanced Server, Microsoft Windows NT 4.0 Service Pack 4, Microsoft Windows NT 4.0 Service Pack 5, Microsoft Windows 98 Second Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbnosurvey kbarchive kbhowto kbenv KB239869
フィードバック