Kaip įgalinti NTLM 2 autentifikavimą

Svarbu Šiame straipsnyje pateikiama informacija apie registro keitimą. Prieš keisdami registrą padarykite atsarginę jo kopiją ir išsiaiškinkite, kaip atkurti registrą, jei kiltų problemų. Jei norite sužinoti, kaip daryti atsargines kopijas, atkurti ar redaguoti registrą, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite Microsoft žinių bazės straipsnį:
256986 Microsoft Windows registro aprašas (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)

S A N T R A U K A

Windows NT visada palaikydavo du iššūkio arba atsakymo variantus, skirtus tinklo registravimuisi:
 • LAN Manager (LM) iššūkis arba atsakas
 • Windows NT iššūkis arba atsakas (taip pat vadinamas NTLM versijos 1 iššūkiu arba atsaku)
Įdiegus LM variantą užtikrinamas tarpusavio suderinamumas tarp įdiegtų Windows 95, Windows 98 ir Windows 98 antrojo leidimo klientų ir serverių. NTLM užtikrina didesnę Windows NT klientų ir serverių ryšių saugą. Windows NT taip pat palaiko NTLM seanso saugos mechanizmą, užtikrinantį pranešimų konfidencialumą (šifravimas) ir vientisumą (pasirašymas).

Dėl neseniai atliktų kompiuterio aparatūros ir programinės įrangos algoritmų patobulinimų padidėjo tikimybė, kad į protokolus bus bandoma įsilaužti, norint gauti vartotojo slaptažodžius. Siekdama teikti klientams saugesnius produktus, Microsoft sukūrė patobulinimą, pavadintą NTLM 2 versija, kuris ženkliai patobulina autentifikavimo ir seanso saugos mechanizmus. Išleidus 4 pakeitimų (SP4) paketą NTLM 2 buvo įtrauktas į Windows NT 4.0, o į Windows 2000 jis buvo įtrauktas nuo pat pradžių. NTLM 2 palaikymą į Windows 98 galite įtraukti įdiegę Active Directory kliento plėtinius.

Atnaujinę visus kompiuterius, kuriuose įdiegtos Windows 95, Windows 98, Windows 98 antrasis leidimas ar Windows NT 4.0, ženkliai pagerinsite organizacijos saugą, jei klientus, serverius ir domeno valdiklius sukonfigūruosite naudoti tik NTLM 2 (o ne LM arba NTLM).

D A U G I A U I N F O R M A C I J O S

Jei norite papildomos informacijos, kaip įdiegti Active Directory kliento plėtinį, spustelėkite šį straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazėje esantį straipsnį:

288358 Kaip diegti Active Directory kliento plėtinį (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)

Kai Active Directory kliento plėtinį įdiegsite į kompiuterį, kuriame veikia Windows 98, NTLM 2 palaikymą teikiantys sistemos failai bus įdiegti automatiškai. Tai Secur32.dll, Msnp32.dll, Vredir.vxd ir Vnetsup.vxd failai. Jei pašalinsite Active Directory kliento plėtinį, NTLM 2 sistemos failai nebus šalinami, nes jie užtikrina didesnę saugą ir su ja susijusius taisymus.Pagal numatytąjį nustatymą NTLM 2 seanso saugos šifravimo rakto ilgis ribojamas iki 56 bitų. Papildomas 128 bitų raktų palaikymas diegiamas automatiškai, jei sistema atitinka JAV eksporto reikalavimus. Jei norite įjungti 128 bitų NTLM 2 seanso saugos palaikymą, prieš diegiant Active Directory kliento plėtinį turite įdiegti Microsoft Internet Explorer 4.x arba 5 ir iki 128 bitų atnaujinti saugaus ryšio palaikymą.Jei norite patikrinti diegimo versiją:
 1. Naudodami Windows Explorer failą Secur32.dll perkelkite į aplanką %SystemRoot%\System.
 2. Dešiniuoju pelės mygtuku spustelėkite failą, tada spustelėkite Ypatybės.
 3. Spustelėkite skirtuką Versija. 56 bitų versijos aprašas yra „Microsoft Win32 saugos tarnybos (eksporto versija)“. 128 bitų versijos aprašas yra „Microsoft Win32 saugos tarnybos (tik JAV ir Kanadai)“.

Prieš įgalindami NTLM 2 autentifikavimą, skirtą Windows 98 klientams, įsitikinkite, kad visuose valdikliuose, skirtuose vartotojams, kurie tinkle registruojasi iš šių klientų, veikia Windows NT 4.0 4 arba vėlesnis pakeitimų paketas. (Domeno valdiklyje gali veikti Windows NT 4.0 6 pakeitimų paketas, jei klientas ir serveris jungiami prie skirtingų domenų.) Nereikia konfigūruoti domeno valdiklio, kad būtų palaikomas NTLM 2. Domeno valdiklius konfigūruokite tik jei norite išjungti NTLM 1 arba LM autentifikavimo palaikymą.Jei norite gauti papildomos informacijos apie skirtumus tarp šio protokolo variantų ir apie naujinimo, kad būtų galima naudoti tik NTLM 2, svarbą spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

147706 Kaip išjungti LM autentifikavimą Windows NT (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)

NTLM 2 įgalinimas Windows 95, Windows 98 arba Windows 98 antrojo leidimo klientams

Įspėjimas Jei netinkamai naudojate Registro redaktorių, galite sukelti rimtų problemų, dėl kurių gali prireikti iš naujo įdiegti operacinę sistemą. Microsoft negali garantuoti, kad pavyks išspręsti problemas, kilusias dėl netinkamo registro redaktoriaus naudojimo. Naudodami registro redaktorių prisiimate atsakomybę.
Jei norite, kad Windows 95, Windows 98 arba Windows 98 antrojo leidimo klientams būtų įgalintas NTLM 2 autentifikavimas, įdiekite katalogo tarnybos klientą. Jei klientui norite aktyvinti NTLM 2, atlikite šiuos veiksmus:
 1. Paleiskite registro redaktorių (Regedit.exe).
 2. Raskite ir spustelėkite šį registro raktą:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
 3. Sukurkite LSA registro raktą anksčiau nurodytame registro rakte.
 4. Meniu Redagavimas spustelėkite Pridėti reikšmę ir įveskite šią registro reikšmę:
  Reikšmės pavadinimas: LMCompatibility
  Duomenų tipas: REG_DWORD
  Reikšmė: 3
  Tinkamas diapazonas: 0,3
  Aprašas: Šis parametras nurodo, kad registruojantis tinkle reikia naudoti autentifikavimo režimą ir seanso saugą. Tai neturi įtakos interaktyviajam registravimuisi.
  • 0 lygis – siunčia LM ir NTLM atsakymą; niekada nenaudoja NTLM 2 seanso saugos. Klientai naudos LM ir NTLM autentifikavimą ir niekada nenaudos NTLM 2 seanso saugos; domeno valdikliai priims LM, NTLM ir NTLM 2 autentifikavimą.
  • 3 lygis – siunčia tik NTLM 2 atsakymą. Klientai naudos NTLM 2 autentifikavimą, NTLM 2 seanso saugą, jei serveris palaikys, domeno valdikliai priims LM, NTLM ir NTLM 2 autentifikavimą.
  Pastaba Jei norite įgalinti NTLM 2 Windows 95 klientams, įdiekite paskirstytos failų sistemos (DFS) klientą, WinSock 2.0 naujinį ir Microsoft DUN 1.3, skirtą Windows 2000.

 5. Išeikite iš registro redaktoriaus.

Pastaba Windows NT 4.0 ir Windows 2000 registro raktas yra LMCompatibilityLevel, o kompiuteriuose, kuriuose įdiegta Windows 95 ir Windows 98, registro raktas yra LMCompatibility.

Visos LMCompatibilityLevel reikšmei priskirtos reikšmės, kurias palaiko Windows NT 4.0 ir Windows 2000:
 • 0 lygis – siunčia LM ir NTLM atsakymą; niekada nenaudoja NTLM 2 seanso saugos. Klientai naudos LM ir NTLM autentifikavimą ir niekada nenaudos NTLM 2 seanso saugos; domeno valdikliai priims LM, NTLM ir NTLM 2 autentifikavimą.
 • 1 lygis – naudoja NTLM 2 seanso saugą, jei susitarta. Klientai naudos LM, NTLM autentifikavimą ir NTLM 2 seanso saugą naudos, jei palaikys serveris, o domeno valdikliai priims LM, NTLM ir NTLM 2 autentifikavimą.
 • 2 lygis – siunčia tik NTLM atsakymą. Klientai naudos tik NTLM autentifikavimą, NTLM 2 seanso saugą naudos, jei palaikys serveris, domeno valdikliai priims LM, NTLM ir NTLM 2 autentifikavimą.
 • 3 lygis – siunčia tik NTLM 2 atsakymą. Klientai naudos NTLM 2 autentifikavimą, NTLM 2 seanso saugą naudos, jei serveris palaikys, domeno valdikliai priims LM, NTLM ir NTLM 2 autentifikavimą.
 • 4 lygis – domeno valdikliai nepriima LM atsakymų. Klientai naudos NTLM autentifikavimą ir NTLM 2 seanso saugą, jei palaiko serveris, o domeno valdikliai nepriims LM autentifikavimo (t. y. jie priims NTLM ir NTLM 2).
 • 5 lygis – valdikliai nepriima LM ir NTLM atsakymų (priima tik NTLM 2). Klientai naudos NTLM 2 autentifikavimą ir NTLM 2 seanso saugą, jei palaiko serveris, o domeno valdikliai atsisakys NTLM ir LM autentifikavimo (jie priims tik NTLM 2).
Susisiekdamas su visais serveriais kliento kompiuteris gali naudoti tik vieną protokolą. Negalite konfigūruoti, kad būtų galima naudoti, pvz., NTLM v2 jungiantis prie serverių, kuriuose įdiegta Windows 2000, o paskui naudoti NTLM jungiantis prie kitų serverių. Tai lemia dizainas.

Galite konfigūruoti minimalią saugą, naudojamą programose, kurios naudoja NTLM saugos palaikymo teikėją (Security Support Provider – SSP), modifikuodami šį registro raktą. Šias reikšmes lemia reikšmė LMCompatibilityLevel:
 1. Paleiskite registro redaktorių (Regedit.exe).
 2. Registre raskite šį raktą:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
 3. Meniu Redagavimas spustelėkite Pridėti reikšmę ir įveskite šią registro reikšmę:
  Reikšmės pavadinimas: NtlmMinClientSec
  Duomenų tipas: REG_WORD
  Reikšmė: viena iš toliau pateiktų reikšmių:
  • 0x00000010 – pranešimo vientisumas
  • 0x00000020 – pranešimo konfidencialumas
  • 0x00080000 – NTLM 2 seanso sauga
  • 0x20000000 – 128 bitų šifravimas
  • 0x20000000 – 56 bitų šifravimas

 4. Išeikite iš registro redaktoriaus.
Jei kliento arba serverio programa naudoja NTLM SSP (arba saugų nuotolinių procedūrų iškvietimą (Remote Procedure Call – RPC), kurį naudoja NTLM SSP) ryšio seanso saugai užtikrinti, naudojamas seanso saugos tipas nustatomas taip:
 • klientas prašo visų arba kurio nors iš šių elementų: pranešimo vientisumo, pranešimo konfidencialumo, NTLM 2 seanso saugos ir 128 arba 56 bitų šifravimo.
 • Serveris atsako, nurodydamas, kurių iš pageidautų elementų reikia.
 • Laikoma, kad gaunamas rinkinys yra susitartas.
Galite naudoti reikšmę NtlmMinClientSec, jei norite, kad kliento arba serverio ryšiai susitartų dėl pateiktos seanso saugos kokybės, arba nebūtu sukurti. Tačiau turite atkreipti dėmesį į:
 • Jei 0x00000010 naudojate kaip NtlmMinClientSec reikšmę, ryšys nesukuriamas, jei nesusitarta dėl pranešimo vientisumo.
 • Jei 0x00000020 naudojate kaip NtlmMinClientSec reikšmę, ryšys nesukuriamas, jei nesusitarta dėl pranešimo konfidencialumo.
 • Jei 0x00080000 naudojate kaip NtlmMinClientSec reikšmę, ryšys nesukuriamas, jei nesusitarta dėl NTLM 2 seanso saugos.
 • Jei 0x20000000 naudojate kaip NtlmMinClientSec reikšmę, ryšys nesukuriamas, jei naudojamas pranešimo konfidencialumas, bet nesusitarta dėl 128 bitų šifravimo.
Savybės

Straipsnio ID: 239869 – Paskutinė peržiūra: 2006-02-06 – Peržiūra: 1

Atsiliepimai