Kā iespējot NTLM 2 autentifikāciju

Šis raksts tika arhivēts. Tas tiek piedāvāts “tāds, kāds tas ir”, un tas vairs netiks atjaunināts.
Svarīgi! Šajā rakstā ir informācija par reģistra modificēšanu. Pirms reģistra modificēšanas izveidojiet tā dublējumkopiju un pārliecinieties, vai saprotat, kā atjaunot reģistru, ja rodas kāda problēma. Lai iegūtu informāciju par reģistra dublējumkopijas veidošanu, atjaunošanu un rediģēšanu, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
256986 Microsoft Windows reģistra apraksts (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
KOPSAVILKUMS
Vēsturiski Windows NT atbalsta divu veidu izaicinājuma/atbildes autentifikāciju, veicot pieteikšanos tīklā:
  • Lokālā tīkla pārvaldnieka (LAN Manager — LM) izaicinājumu/atbildi
  • Windows NT izaicinājumu/atbildi (sauktu arī par NTLM 1. versijas izaicinājumu/atbildi)
LM variants atļauj sadarbspēju, ja ir instalēta Windows 95, Windows 98 vai Windows 98 Second Edition klientu un serveru bāze. NTLM sniedz labāku drošību Windows NT klientu un serveru savienojumiem. Windows NT atbalsta arī NTLM sesijas drošības mehānismu, kas nodrošina ziņojumu konfidencialitāti (šifrēšanu) un integritāti (parakstīšanu).

Jaunākie datoru aparatūras un programmatūras algoritmu uzlabojumi šos protokolus ir padarījuši neaizsargātus pret plaši izplatītiem uzbrukumiem, kuros tiek mēģināts iegūt lietotāju paroles. Korporācija Microsoft nepārtraukti strādā, lai klientiem piedāvātu arvien drošākus produktus, tāpēc ir izveidojusi uzlabojumu — NTLM 2. versiju —, kas ievērojami uzlabo gan autentifikācijas, gan arī sesijas drošības mehānismus. NTLM 2 sistēmā Windows NT 4.0 ir pieejama jau kopš 4. servisa pakotnes (SP4) izlaišanas, un tās atbalsts ir iebūvēts sistēmā Windows 2000. Sistēmai Windows 98 NTLM 2 atbalstu var pievienot, instalējot Active Directory klienta paplašinājumus.

Pēc visu Windows 95, Windows 98, Windows 98 Second Edition un Windows NT 4.0 datoru jaunināšanas varat ievērojami uzlabot sava uzņēmuma drošību, konfigurējot klientus, serverus un domēnu kontrollerus, lai tie izmantotu tikai NTLM 2 (nevis LM vai NTLM).
PAPILDINDORMĀCIJA
Lai iegūtu papildinformāciju par atbilstošā Active Directory klienta paplašinājuma instalēšanu, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
288358 Kā instalēt Active Directory klienta paplašinājumu (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
Instalējot Active Directory klientu paplašinājumus datorā, kur darbojas sistēma Windows 98, automātiski tiek instalēti arī tie sistēmas faili, kuri nodrošina NTLM 2 atbalstu. Šie faili ir Secur32.dll, Msnp32.dll, Vredir.vxd un Vnetsup.vxd. Ja Active Directory klienta paplašinājums tiek noņemts, NTLM 2 sistēmas faili noņemti netiek, jo tie nodrošina gan labākas drošības funkcionalitāti, gan arī ar drošību saistītus labojumus.

Pēc noklusējuma NTLM 2 sesijas drošības šifrēšanā atslēgas maksimālais garums ir 56 biti. Papildu 128 bitu atslēgu atbalsts tiek automātiski instalēts, ja sistēma atbilst Amerikas Savienoto Valstu eksporta noteikumiem. Lai iespējotu 128 bitu NTLM 2 sesijas drošības atbalstu, pirms Active Directory klienta paplašinājuma instalēšanas ir jāinstalē Microsoft Internet Explorer 4.x vai 5 un jāveic jaunināšana uz 128 bitu drošo savienojumu atbalstu.

Lai pārbaudītu savas instalācijas versiju:
  1. Izmantojot programmu Windows Explorer, mapē %SystemRoot%\System atrodiet failu Secur32.dll.
  2. Ar peles labo pogu noklikšķiniet uz faila un pēc tam noklikšķiniet uz Properties (Rekvizīti).
  3. Noklikšķiniet uz zīmnes Version (Versija). 56 bitu versijas apraksts ir "Microsoft Win32 Security Services (Export Version)" (Microsoft Win32 drošības pakalpojumi (eksporta versija)). 128 bitu versijas apraksts ir "Microsoft Win32 Security Services (US and Canada Only)" (Microsoft Win32 drošības pakalpojumi (tikai ASV un Kanāda)).
Pirms Windows 98 klientu NTLM 2 autentifikācijas iespējošanas pārbaudiet, vai visiem lietotājiem, kas jūsu tīklā piesakās no šiem klientiem, domēnu kontrolleri darbina Windows NT 4.0 ar 4. servisa pakotni vai jaunāku versiju. (Ja klients un serveris ir savienoti dažādos domēnos, domēnu kontrolleri var darbināt Windows NT 4.0 ar 6. servisa pakotni.) NTLM 2 atbalstam nav nepieciešama nekāda domēnu kontrolleru konfigurēšana. Domēnu kontrolleri ir jākonfigurē tikai, lai atspējotu NTLM 1 vai LM autentifikācijas atbalstu.Lai iegūtu papildinformāciju par šo protokolu variantu atšķirībām un jaunināšanas nozīmīgumu, kādēļ jāizmanto tikai NTLM 2, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
147706 Kā sistēmā Windows NT atspējot LM autentifikāciju (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)

NTLM 2 iespējošana Windows 95, Windows 98 vai Windows 98 Second Edition klientiem

Brīdinājums. Nepareizi lietojot reģistra redaktoru, varat radīt nopietnas problēmas, kuru dēļ var nākties atkārtoti instalēt operētājsistēmu. Korporācija Microsoft nevar garantēt, ka jūs varēsit novērst problēmas, kas radušās nepareizas reģistra redaktora lietošanas dēļ. Jūs uzņematies atbildību par reģistra redaktora lietošanu.
Lai Windows 95, Windows 98 vai Windows 98 Second Edition klientam iespējotu NTLM 2 autentifikāciju, instalējiet Directory Services klientu. Lai klientam aktivizētu NTLM 2, rīkojieties šādi:
  1. Startējiet reģistra redaktoru (Regedit.exe).
  2. Reģistrā atrodiet šādu atslēgu un noklikšķiniet uz tās:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Minētajā reģistra atslēgā izveidojiet reģistra atslēgu LSA.
  4. Izvēlnē Edit (Rediģēt) noklikšķiniet uz Add Value (Pievienot vērtību) un pēc tam pievienojiet šādu reģistra vērtību:
    Value Name: LMCompatibility
    Data Type: REG_DWORD
    Value: 3
    Valid Range: 0,3
    Description: šis parametrs norāda autentifikācijas režīmu un sesijas drošību, kas jāizmanto, piesakoties tīklā. Tas neietekmē interaktīvo pieteikšanos.
    • Level 0 — nosūtīt LM un NTLM atbildi; nekad neizmantot NTLM 2 sesijas drošību. Klienti izmanto LM un NTLM autentifikāciju un nekad neizmanto NTLM 2 sesijas drošību; domēnu kontrolleri akceptē LM, NTLM un NTLM 2 autentifikāciju.
    • Level 3 — nosūtīt tikai NTLM 2 atbildi. Klienti izmanto NTLM 2 autentifikāciju un izmanto NTLM 2 sesijas drošību, ja serveris to atbalsta; domēnu kontrolleri akceptē LM, NTLM un NTLM 2 autentifikāciju.
    Piezīme. Lai Windows 95 klientiem iespējotu NTLM 2, instalējiet dalītās failu sistēmas (Distributed File System — DFS) klientu, WinSock 2.0 atjauninājumu un Microsoft DUN 1.3 for Windows 2000.

  5. Izejiet no reģistra redaktora.

Piezīme. Sistēmās Windows NT 4.0 un Windows 2000 šī reģistra atslēga ir LMCompatibilityLevel, bet datoros ar sistēmām Windows 95 vai Windows 98 šī reģistra atslēga ir LMCompatibility.

Uzziņai — pilns vērtības LMCompatibilityLevel vērtību diapazons, ko atbalsta Windows NT 4.0 un Windows 2000, ir šāds:
  • Level 0 — nosūtīt LM un NTLM atbildi; nekad neizmantot NTLM 2 sesijas drošību. Klienti izmanto LM un NTLM autentifikāciju un nekad neizmanto NTLM 2 sesijas drošību; domēnu kontrolleri akceptē LM, NTLM un NTLM 2 autentifikāciju.
  • Level 1 — izmantot NTLM 2 sesijas drošību, ja tiek veiktas pārrunas. Klienti izmanto LM un NTLM autentifikāciju un izmanto NTLM 2 sesijas drošību, ja serveris to atbalsta; domēnu kontrolleri akceptē LM, NTLM un NTLM 2 autentifikāciju.
  • Level 2 — nosūtīt tikai NTLM atbildi. Klienti izmanto tikai NTLM autentifikāciju un izmanto NTLM 2 sesijas drošību, ja serveris to atbalsta; domēnu kontrolleri akceptē LM, NTLM un NTLM 2 autentifikāciju.
  • Level 3 — nosūtīt tikai NTLM 2 atbildi. Klienti izmanto NTLM 2 autentifikāciju un izmanto NTLM 2 sesijas drošību, ja serveris to atbalsta; domēnu kontrolleri akceptē LM, NTLM un NTLM 2 autentifikāciju.
  • Level 4 — domēnu kontrolleri nepieņem LM atbildes. Klienti izmanto NTLM autentifikāciju un izmanto NTLM 2 sesijas drošību, ja serveris to atbalsta; domēnu kontrolleri nepieņem LM autentifikāciju (tas ir, tie akceptē NTLM un NTLM 2).
  • Level 5 — domēnu kontrolleri nepieņem LM un NTLM atbildes (akceptē tikai NTLM 2). Klienti izmanto NTLM 2 autentifikāciju un izmanto NTLM 2 sesijas drošību, ja serveris to atbalsta; domēnu kontrolleri nepieņem NTLM un LM autentifikāciju (tie akceptē tikai NTLM 2).
Saziņai ar visiem serveriem klienta dators var izmantot tikai vienu protokolu. To nevar konfigurēt, lai, piemēram, izmantotu NTLM v2 savienojumiem ar Windows 2000 serveriem un pēc tam izmantotu NTLM savienojumiem ar citiem serveriem. Tā tas ir projektēts.

Modificējot tālāk norādīto reģistra atslēgu, varat konfigurēt minimālo drošības līmeni, kas tiek lietots programmām, kuras izmanto NTLM drošības atbalsta nodrošinātāju (Security Support Provider — SSP). Šīs vērtības ir atkarīgas no LMCompatibilityLevel vērtības:
  1. Startējiet reģistra redaktoru (Regedit.exe).
  2. Reģistrā atrodiet šādu atslēgu:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. Izvēlnē Edit (Rediģēt) noklikšķiniet uz Add Value (Pievienot vērtību) un pēc tam pievienojiet šādu reģistra vērtību:
    Value Name: NtlmMinClientSec
    Data Type: REG_WORD
    Value: kāda no šīm vērtībām:
    • 0x00000010 — ziņojumu integritāte
    • 0x00000020 — ziņojumu konfidencialitāte
    • 0x00080000 — NTLM 2 sesijas drošība
    • 0x20000000 — 128 bitu šifrēšana
    • 0x80000000 — 56 bitu šifrēšana

  4. Izejiet no reģistra redaktora.
Ja klienta/servera programma izmanto NTLM SSP (vai drošo attālās procedūras izsaukumu (Remote Procedure Call — RPC), kas lieto NTLM SSP), lai savienojumam nodrošinātu sesijas drošību, izmantojamais sesijas drošības tips tiek noteikts šādi:
  • Klients pieprasa vienu vai visus šos elementus: ziņojumu drošība, ziņojumu konfidencialitāte, NTLM 2 sesijas drošība un 128 bitu vai 56 bitu šifrēšana.
  • Serveris atbild, norādot, kuri no pieprasītās kopas elementiem tam ir nepieciešami.
  • Iegūtā kopa tiek uzskatīta par "pārrunās" iegūto.
Varat izmantot vērtību NtlmMinClientSec, lai klienta/servera savienojumiem liktu pārrunās iegūt norādīto sesijas drošības kvalitāti vai arī neizdoties. Tomēr ievērojiet šādus apsvērumus:
  • Ja par NtlmMinClientSec vērtību izmantojat 0x00000010, savienojums neizdosies, ja pārrunās netiks panākta vienošanās par ziņojumu integritāti.
  • Ja par NtlmMinClientSec vērtību izmantojat 0x00000020, savienojums neizdosies, ja pārrunās netiks panākta vienošanās par ziņojumu konfidencialitāti.
  • Ja par NtlmMinClientSec vērtību izmantojat 0x00080000, savienojums neizdosies, ja pārrunās netiks panākta vienošanās par NTLM 2 sesijas drošību.
  • Ja par NtlmMinClientSec vērtību izmantojat 0x20000000, savienojums neizdosies, ja tiek izmantota ziņojumu konfidencialitāte, bet pārrunās netiks panākta vienošanās par 128 bitu šifrēšanu.
ntlmv2
Rekvizīti

Raksta ID: 239869. Pēdējo reizi pārskatīts: 12/05/2015 15:35:18. Pārskatījums: 4.3

Microsoft Windows 2000 Advanced Server, Microsoft Windows NT 4.0 4. servisa pakotne, Microsoft Windows NT 4.0 5. servisa pakotne, Microsoft Windows 98 Second Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbnosurvey kbarchive kbenv kbhowto KB239869
Atsauksmes