Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Beveiligingsrichtlijnen voor NTLMv1- en LM-netwerkverificatie

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Inleiding
We zijn op de hoogte van gedetailleerde informatie en hulpmiddelen die kunnen worden gebruikt voor aanvallen tegen NTLMv1- (NT LAN Manager versie 1) en LM-netwerkverificatie (LAN Manager). Verbeteringen in algoritmen voor computerhardware en -software hebben ervoor gezorgd dat deze protocollen kwetsbaar zijn geworden voor gepubliceerde aanvallen voor het verkrijgen van gebruikersreferenties. De informatie en de beschikbare toolsets zijn specifiek gericht op omgevingen die NTLMv2-verificatie niet afdwingen. We raden klanten met klem aan hun omgevingen te evalueren en de instellingen voor netwerkverificatie bij te werken. Alle ondersteunde besturingssystemen van Microsoft bieden mogelijkheden voor NTLMv2-verificatie.

Het risico is het grootst voor getroffen systemen in standaardconfiguraties, zoals systemen waarop Microsoft Windows NT 4, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd. Zo bieden Windows XP en Windows Server 2003 beide standaard ondersteuning voor NTLMv1-verificatie.

Windows NT ondersteunt twee opties voor verificatievragen in netwerkaanmeldingen: LM-verificatievragen (LAN Manager) en Windows NT-verificatievragen (ook bekend als NTLM versie 1-verificatievragen). Beide opties maken onderlinge samenwerking met geïnstalleerde basissen van Windows NT 4.0, Windows 95, Windows 98 en Windows 98 Second Edition mogelijk.


Als u het probleem door ons wilt laten oplossen, gaat u naar de sectie 'Het probleem voor mij oplossen'.
Oplossing
We raden u aan omgevingen waarin Windows NT 4, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd zodanig te configureren dat alleen het gebruik van NTLMv2 is toegestaan, om het risico van dit probleem te verkleinen. Stel hiervoor het LAN Manager-verificatieniveau in op niveau 3 of hoger. Hoe u dat doet, leest u hier.

Voor Windows XP en Windows Server 2003 zijn Microsoft Fix it-oplossingen beschikbaar om systemen automatisch zodanig te configureren dat ze alleen NTLMv2 toestaan. Met deze methode worden ook NTLM-instellingen ingeschakeld voor gebruikers, zodat ze profiteren van Uitgebreide beveiliging voor verificatie.
Het probleem voor mij oplossen
De Fix it-oplossing die in deze sectie wordt beschreven, is niet bedoeld als vervanging voor een beveiligingsupdate. Het is aan te raden altijd de nieuwste beveiligingsupdates te installeren. In bepaalde scenario's kan deze Fix it-oplossing echter als tijdelijke oplossing dienen.

Microsoft Fix it voor Windows XP

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop of koppeling Fix it onder de kop Inschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Inschakelen
Opmerkingen
  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
Microsoft Fix it voor Windows Server 2003

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop of koppeling Fix it onder de kop Inschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Inschakelen
Opmerkingen
  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
Status
Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie

Veelgestelde vragen

Is er meer informatie beschikbaar over dreigingen en tegenmaatregelen voor Windows Network Security en het LAN Manager-verificatieniveau?

Gedetailleerde informatie over dreigingen en tegenmaatregelen is beschikbaar op Microsoft TechNet in de Threats and Countermeasures Guide. Zie LmCompatibilityLevel voor meer informatie over NTLM-versieconfiguratie.

Wat de oorzaak van het probleem?

Tot januari 2000 beperkten exportbeperkingen de maximale sleutellengte voor cryptografieprotocollen. De LM- en NTLM-verificatieprotocollen zijn beide ontwikkeld vóór januari 2000, waardoor deze beperkingen erop van toepassing waren. Toen Windows XP werd uitgebracht, was dit besturingssysteem zodanig geconfigureerd dat het achterwaarts compatibel was met verificatie-omgevingen die waren ontwikkeld voor Windows 2000 en lager.

Hoe kan ik onderzoeken of mijn configuratie kwetsbaar?

Dit probleem is op uw configuratie van toepassing als de LMCompatibilityLevel-registerinstellingen zijn ingesteld op een lagere waarde dan (<3).

Van welke standaardconfiguraties zijn de Windows-besturingssystemen getroffen?

In de standaardconfiguratie van Windows NT 4, Windows 2000, Windows XP en Windows Server 2003 is de waarde van LMCompatibilityLevel lager dan drie (<3).

Wat zijn de mogelijke risico's van het afdwingen van NTLMv2?

Alle ondersteunde versies van het Windows-besturingssysteem ondersteunen NTLMv2. Windows NT 4.0 SP6a biedt ook ondersteuning voor NTLMv2. Daarom is het risico van compatibiliteitsproblemen zeer klein. Oudere implementaties of configuraties van derden moeten mogelijk worden onderzocht op samenwerkingsproblemen. Een upgrade of een nieuwe configuratie kan dit probleem oplossen. Klanten wordt met klem geadviseerd om herstellende stappen uit te voeren om hun netwerk te configureren en upgraden en NTLMv1 op te sporen en uit te faseren. Gebruik van het NTLMv1-protocol heeft duidelijke, nadelige gevolgen voor netwerkbeveiliging en kan gevaarlijk zijn.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?

Een aanvaller kan verificatie-hashes van vastgelegde LM/ en NTLM-netwerkverificatie-antwoorden extraheren.

Waar vind ik meer informatie over het inschakelen van NTLMv2 op versies van Microsoft Windows waarvoor geen ondersteuning meer wordt verleend? 

Gedetailleerde informatie over NTLMv2 voor Windows NT, Windows 95, Windows 98 en Windows 98 Second Edition is beschikbaar in Microsoft Knowledge Base-artikel 239869 (Mogelijk alleen beschikbaar in het Engels).
Dankbetuiging
Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:
  • Mark Gamache van T-Mobile USA voor de samenwerking in de beveiliging van klanten tegen aanvallen tegen NTLMv1- (NT LAN Manager versie 1) en LM-netwerkverificatie (LAN Manager)
update beveiligingspatch beveiligingsupdate beveiliging fout beveiligingsfout beveiligingsprobleem kwaadwillende aanvaller misbruik register niet-gemachtigd bufferoverschrijding overloop speciaal gevormd bereik speciaal vervaardigd denial of service DoS TSE
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.
Eigenschappen

Artikel-id: 2793313 - Laatst bijgewerkt: 01/14/2013 16:26:00 - Revisie: 1.0

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Feedback