Habilitación de la autenticación NTLM 2

En este artículo se describe cómo habilitar la autenticación NTLM 2.

Se aplica a todas las ediciones de Windows 10
Número de KB original: 239869

Resumen

Históricamente, Windows NT admite dos variantes de autenticación de desafío y respuesta para los inicios de sesión de red:

  • Desafío o respuesta de LAN Manager (LM)
  • Desafío o respuesta de Windows NT (también conocido como desafío/respuesta de la versión 1 de NTLM) La variante LM permite la interoperabilidad con la base instalada de servidores y clientes de Windows 95, Windows 98 y Windows 98 Second Edition. NTLM proporciona seguridad mejorada para las conexiones entre los clientes y servidores de Windows NT. Windows NT también admite el mecanismo de seguridad de sesión NTLM que proporciona confidencialidad de mensajes (cifrado) e integridad (firma).

Las mejoras recientes en el hardware del equipo y los algoritmos de software han hecho que estos protocolos sean vulnerables a ataques ampliamente publicados para obtener contraseñas de usuario. En sus esfuerzos continuos por ofrecer productos más seguros a sus clientes, Microsoft ha desarrollado una mejora, denominada NTLM versión 2, que mejora significativamente tanto la autenticación como los mecanismos de seguridad de sesión. NTLM 2 está disponible para Windows NT 4.0 desde que se lanzó Service Pack 4 (SP4) y se admite de forma nativa en Windows 2000. Puede agregar compatibilidad con NTLM 2 a Windows 98 mediante la instalación de las extensiones de cliente de Active Directory.

Después de actualizar todos los equipos basados en Windows 95, Windows 98, Windows 98 Second Edition y Windows NT 4.0, puede mejorar considerablemente la seguridad de su organización mediante la configuración de clientes, servidores y controladores de dominio para usar solo NTLM 2 (no LM o NTLM).

Más información

Al instalar extensiones de cliente de Active Directory en un equipo que ejecuta Windows 98, los archivos del sistema que proporcionan compatibilidad con NTLM 2 también se instalan automáticamente. Estos archivos son Secur32.dll, Msnp32.dll, Vredir.vxd y Vnetsup.vxd. Si quita la extensión de cliente de Active Directory, los archivos del sistema NTLM 2 no se quitan porque los archivos proporcionan funcionalidad de seguridad mejorada y correcciones relacionadas con la seguridad.

De forma predeterminada, el cifrado de seguridad de sesión NTLM 2 está restringido a una longitud máxima de clave de 56 bits. La compatibilidad opcional con claves de 128 bits se instala automáticamente si el sistema cumple Estados Unidos normativas de exportación. Para habilitar la compatibilidad con la seguridad de sesión NTLM 2 de 128 bits, debe instalar Microsoft Internet Explorer 4.x o 5 y actualizar a la compatibilidad con conexiones seguras de 128 bits antes de instalar la extensión de cliente de Active Directory.

Para comprobar la versión de instalación:

  1. Use el Explorador de Windows para buscar el archivo Secur32.dll en la carpeta %SystemRoot%\System.
  2. Haga clic con el botón secundario en el archivo y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Versión . La descripción de la versión de 56 bits es "Servicios de seguridad de Microsoft Win32 (versión de exportación)." La descripción de la versión de 128 bits es "Microsoft Win32 Security Services (SOLO EE. UU. y Canadá)."

Antes de habilitar la autenticación NTLM 2 para clientes de Windows 98, compruebe que todos los controladores de dominio de los usuarios que inician sesión en la red desde estos clientes ejecutan Windows NT 4.0 Service Pack 4 o posterior. (Los controladores de dominio pueden ejecutar Windows NT 4.0 Service Pack 6 si el cliente y el servidor están unidos a dominios diferentes). No se requiere ninguna configuración de controlador de dominio para admitir NTLM 2. Solo debe configurar controladores de dominio para deshabilitar la compatibilidad con la autenticación NTLM 1 o LM.

Habilitación de NTLM 2 para clientes de Windows 95, Windows 98 o Windows 98 Second Edition

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

Para habilitar un cliente de Windows 95, Windows 98 o Windows 98 Second Edition para la autenticación NTLM 2, instale el cliente de Servicios de directorio. Para activar NTLM 2 en el cliente, siga estos pasos:

  1. Inicie Editor del Registro (Regedit.exe).

  2. Busque y haga clic en la clave siguiente en el Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Cree una clave del Registro LSA en la clave del Registro enumerada anteriormente.

  4. En el menú Edición, haga clic en Añadir valor y agregue el siguiente valor del Registro:
    Nombre del valor: LMCompatibility
    Tipo de datos: REG_DWORD
    Valor: 3
    Intervalo válido: 0,3
    Descripción: este parámetro especifica el modo de autenticación y seguridad de sesión que se usará para los inicios de sesión de red. No afecta a los inicios de sesión interactivos.

    • Nivel 0 - Enviar respuesta LM y NTLM; nunca use la seguridad de sesión NTLM 2. Los clientes usarán la autenticación LM y NTLM, y nunca usarán la seguridad de sesión NTLM 2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.

    • Nivel 3: enviar solo respuesta NTLM 2. Los clientes usarán la autenticación NTLM 2 y usarán la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.

    Nota:

    Para habilitar NTLM 2 para clientes de Windows 95, instale el cliente del sistema de archivos distribuido (DFS), WinSock 2.0 Update y Microsoft DUN 1.3 para Windows 2000.

  5. Salga del editor del Registro.

Nota:

Para Windows NT 4.0 y Windows 2000, la clave del Registro es LMCompatibilityLevel y, para los equipos basados en Windows 95 y Windows 98, la clave de registro es LMCompatibility.

Como referencia, el intervalo completo de valores para el valor LMCompatibilityLevel compatible con Windows NT 4.0 y Windows 2000 incluye:

  • Nivel 0 - Enviar respuesta LM y NTLM; nunca use la seguridad de sesión NTLM 2. Los clientes usan la autenticación LM y NTLM y nunca usan la seguridad de sesión NTLM 2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 1: use la seguridad de sesión NTLM 2 si se negocia. Los clientes usan la autenticación LM y NTLM, y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 2: enviar solo respuesta NTLM. Los clientes solo usan la autenticación NTLM y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 3: enviar solo respuesta NTLM 2. Los clientes usan la autenticación NTLM 2 y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 4: los controladores de dominio rechazan las respuestas LM. Los clientes usan la autenticación NTLM y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio rechazan la autenticación LM (es decir, aceptan NTLM y NTLM 2).
  • Nivel 5: los controladores de dominio rechazan las respuestas LM y NTLM (solo aceptan NTLM 2). Los clientes usan la autenticación NTLM 2, usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio rechazan la autenticación NTLM y LM (solo aceptan NTLM 2). Un equipo cliente solo puede usar un protocolo para comunicarse con todos los servidores. No se puede configurar, por ejemplo, para usar NTLM v2 para conectarse a servidores basados en Windows 2000 y, a continuación, usar NTLM para conectarse a otros servidores. Esto es así por motivos de diseño.

Puede configurar la seguridad mínima que se usa para los programas que usan el proveedor de soporte técnico de seguridad (SSP) NTLM modificando la siguiente clave del Registro. Estos valores dependen del valor LMCompatibilityLevel:

  1. Inicie Editor del Registro (Regedit.exe).

  2. Busque la siguiente clave en el Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. En el menú Edición, haga clic en Añadir valor y agregue el siguiente valor del Registro:
    Nombre del valor: NtlmMinClientSec
    Tipo de datos: REG_WORD
    Valor: uno de los valores siguientes:

    • 0x00000010: integridad del mensaje
    • 0x00000020- Confidencialidad del mensaje
    • 0x00080000: seguridad de sesión NTLM 2
    • 0x20000000: cifrado de 128 bits
    • 0x80000000: cifrado de 56 bits
  4. Salga del editor del Registro.

Si un programa cliente/servidor usa el SSP NTLM (o usa una llamada a procedimiento remoto segura [RPC], que usa el SSP NTLM) para proporcionar seguridad de sesión para una conexión, el tipo de seguridad de sesión que se usará se determina de la siguiente manera:

  • El cliente solicita cualquiera o todos los elementos siguientes: integridad del mensaje, confidencialidad del mensaje, seguridad de sesión NTLM 2 y cifrado de 128 bits o 56 bits.
  • El servidor responde, lo que indica qué elementos del conjunto solicitado desea.
  • Se dice que el conjunto resultante se ha "negociado".

Puede usar el valor NtlmMinClientSec para hacer que las conexiones cliente/servidor negocien una calidad determinada de seguridad de sesión o no se realicen correctamente. Sin embargo, debe tener en cuenta los siguientes elementos:

  • Si usa 0x00000010 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si no se negocia la integridad del mensaje.
  • Si usa 0x00000020 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si no se negocia la confidencialidad del mensaje.
  • Si usa 0x00080000 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si no se negocia la seguridad de sesión NTLM 2.
  • Si usa 0x20000000 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si se usa la confidencialidad del mensaje, pero no se negocia el cifrado de 128 bits.