Включение проверки подлинности NTLM 2

В этой статье описывается включение проверки подлинности NTLM 2.

Область применения: Windows 10 — все выпуски
Исходный номер базы знаний: 239869

Сводка

Исторически Windows NT поддерживает два варианта проверки подлинности запроса и ответа для входа в сеть:

• Запрос или ответ диспетчера локальной сети (LM)
• Windows NT запрос и ответ (также известный как NTLM версии 1: запрос и ответ). Вариант LM обеспечивает взаимодействие с установленной базой клиентов и серверов Windows 95, Windows 98 и Windows 98 Second Edition. NTLM обеспечивает улучшенную безопасность подключений между Windows NT клиентами и серверами. Windows NT также поддерживает механизм безопасности сеанса NTLM, обеспечивающий конфиденциальность сообщений (шифрование) и целостность (подписывание).

Недавние улучшения в компьютерном оборудовании и программных алгоритмах сделали эти протоколы уязвимыми для широко публикуемых атак для получения паролей пользователей. В своих текущих усилиях по доставке более безопасных продуктов своим клиентам корпорация Майкрософт разработала усовершенствование, называемое NTLM версии 2, которое значительно улучшает механизмы проверки подлинности и безопасности сеансов. NTLM 2 был доступен для Windows NT 4.0 с момента выпуска с пакетом обновления 4 (SP4) и изначально поддерживается в Windows 2000. Вы можете добавить поддержку NTLM 2 в Windows 98, установив клиентские расширения Active Directory.

После обновления всех компьютеров, основанных на Windows 95, Windows 98, Windows 98 Second Edition и Windows NT 4.0, вы можете значительно повысить безопасность организации, настроив клиенты, серверы и контроллеры домена только NTLM 2 (не LM или NTLM).

Дополнительная информация

При установке клиентских расширений Active Directory на компьютере под управлением Windows 98 системные файлы, обеспечивающие поддержку NTLM 2, также устанавливаются автоматически. Эти файлы: Secur32.dll, Msnp32.dll, Vredir.vxd и Vnetsup.vxd. При удалении клиентского расширения Active Directory системные файлы NTLM 2 не удаляются, так как они предоставляют как расширенные функции безопасности, так и исправления, связанные с безопасностью.

По умолчанию шифрование безопасности сеанса NTLM 2 ограничено максимальной длиной ключа 56 бит. Дополнительная поддержка 128-разрядных ключей устанавливается автоматически, если система удовлетворяет США правилам экспорта. Чтобы включить поддержку безопасности 128-разрядных сеансов NTLM 2, необходимо установить Microsoft Internet Обозреватель 4.x или 5 и обновить поддержку 128-разрядного безопасного подключения перед установкой расширения клиента Active Directory.

Чтобы проверить версию установки, выполните приведенные ниже действия.

1. Используйте windows Обозреватель, чтобы найти файл Secur32.dll в папке %SystemRoot%\System.
2. Щелкните правой кнопкой мыши файл и выберите команду Свойства.
3. Перейдите на вкладку Версия . Описание 56-разрядной версии : Microsoft Win32 Security Services (экспортная версия)". Описание 128-разрядной версии : Microsoft Win32 Security Services (только ДЛЯ США и Канады)".

Прежде чем включить проверку подлинности NTLM 2 для клиентов Windows 98, убедитесь, что все контроллеры домена для пользователей, которые входят в сеть с этих клиентов, работают Windows NT 4.0 с пакетом обновления 4 (SP4) или более поздней версии. (Контроллеры домена могут работать Windows NT 4.0 с пакетом обновления 6 (SP6), если клиент и сервер присоединены к разным доменам.) Для поддержки NTLM 2 конфигурация контроллера домена не требуется. Необходимо настроить контроллеры домена только для отключения поддержки проверки подлинности NTLM 1 или LM.

Включение NTLM 2 для клиентов Windows 95, Windows 98 или Windows 98 Second Edition

Чтобы включить клиент Windows 95, Windows 98 или Windows 98 Second Edition для проверки подлинности NTLM 2, установите клиент служб каталогов. Чтобы активировать NTLM 2 на клиенте, выполните следующие действия.

1. Запустите Редактор реестра (Regedit.exe).

2. Найдите и щелкните следующий раздел в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

3. Создайте раздел реестра LSA в указанном выше разделе реестра.

4. В меню Правка щелкните пункт Добавить значение, а затем добавьте следующее значение реестра:
   Имя значения: LMCompatibility
   Тип данных: REG_DWORD
   Значение: 3
   Допустимый диапазон: 0,3
   Описание. Этот параметр указывает режим проверки подлинности и безопасности сеанса, который будет использоваться для входа в сеть. Это не влияет на интерактивные входы.

   • Уровень 0 — отправка ответов LM и NTLM; никогда не используйте безопасность сеанса NTLM 2. Клиенты будут использовать проверку подлинности LM и NTLM и никогда не использовать безопасность сеанса NTLM 2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.

   • Уровень 3. Отправка только ответа NTLM 2. Клиенты будут использовать проверку подлинности NTLM 2 и безопасность сеанса NTLM 2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.

   Примечание.

   Чтобы включить NTLM 2 для клиентов Windows 95, установите клиент распределенной файловой системы (DFS), обновление WinSock 2.0 и Microsoft DUN 1.3 для Windows 2000.

5. Закройте редактор реестра.

Для справки полный диапазон значений значения LMCompatibilityLevel, поддерживаемых Windows NT 4.0 и Windows 2000:

• Уровень 0 — отправка ответов LM и NTLM; никогда не используйте безопасность сеанса NTLM 2. Клиенты используют проверку подлинности LM и NTLM и никогда не используют безопасность сеанса NTLM 2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
• Уровень 1. Использование безопасности сеанса NTLM 2 при согласовании. Клиенты используют проверку подлинности LM и NTLM, а также безопасность сеанса NTLM 2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
• Уровень 2. Отправка только ответа NTLM. Клиенты используют только проверку подлинности NTLM и безопасность сеанса NTLM 2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
• Уровень 3. Отправка только ответа NTLM 2. Клиенты используют проверку подлинности NTLM 2 и безопасность сеанса NTLM 2, если сервер поддерживает ее; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
• Уровень 4. Контроллеры домена отказываются от ответов LM. Клиенты используют проверку подлинности NTLM и безопасность сеанса NTLM 2, если сервер поддерживает ее; контроллеры домена отказываются от проверки подлинности LM (то есть принимают NTLM и NTLM 2).
• Уровень 5. Контроллеры домена отклоняют ответы LM и NTLM (принимают только NTLM 2). Клиенты используют проверку подлинности NTLM 2 и безопасность сеанса NTLM 2, если сервер поддерживает ее; контроллеры домена отказываются от проверки подлинности NTLM и LM (они принимают только NTLM 2). Клиентский компьютер может использовать только один протокол для связи со всеми серверами. Его нельзя настроить, например, использовать NTLM версии 2 для подключения к серверам под управлением Windows 2000, а затем использовать NTLM для подключения к другим серверам. Данное поведение является особенностью продукта.

Вы можете настроить минимальный уровень безопасности, используемый для программ, использующих поставщик поддержки безопасности NTLM (SSP), изменив следующий раздел реестра. Эти значения зависят от значения LMCompatibilityLevel:

1. Запустите Редактор реестра (Regedit.exe).

2. Найдите следующий раздел в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

3. В меню Правка щелкните пункт Добавить значение, а затем добавьте следующее значение реестра:
   Имя значения: NtlmMinClientSec
   Тип данных: REG_WORD
   Значение: одно из следующих значений:

   • 0x00000010— целостность сообщений
   • 0x00000020— конфиденциальность сообщений
   • 0x00080000 — безопасность сеанса NTLM 2
   • 0x20000000 — 128-разрядное шифрование
   • 0x80000000 — 56-разрядное шифрование

4. Закройте редактор реестра.

Если клиентская или серверная программа использует поставщик служб SSP NTLM (или использует безопасный удаленный вызов процедур [RPC], который использует протокол NTLM SSP) для обеспечения безопасности сеанса для подключения, тип безопасности сеанса определяется следующим образом:

• Клиент запрашивает любые или все следующие элементы: целостность сообщений, конфиденциальность сообщений, безопасность сеанса NTLM 2 и 128-разрядное или 56-разрядное шифрование.
• Сервер отвечает, указывая, какие элементы запрошенного набора ему нужны.
• Результирующий набор, как говорят, был "согласован".

Значение NtlmMinClientSec можно использовать для того, чтобы клиентские и серверные подключения согласовывались с заданным качеством безопасности сеанса или не были успешными. Однако следует отметить следующие элементы:

• Если для значения NtlmMinClientSec используется 0x00000010, подключение не будет выполнено, если целостность сообщения не согласована.
• Если для значения NtlmMinClientSec используется 0x00000020, подключение не будет выполнено, если не согласована конфиденциальность сообщений.
• Если для значения NtlmMinClientSec используется 0x00080000, подключение не будет выполнено, если не согласована безопасность сеанса NTLM 2.
• Если для значения NtlmMinClientSec используется 0x20000000, подключение не будет выполнено, если используется конфиденциальность сообщений, но не согласовано 128-разрядное шифрование.