Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Inleiding

We zijn op de hoogte van gedetailleerde informatie en hulpmiddelen die kunnen worden gebruikt voor aanvallen tegen NTLMv1- (NT LAN Manager versie 1) en LM-netwerkverificatie (LAN Manager). Verbeteringen in algoritmen voor computerhardware en -software hebben ervoor gezorgd dat deze protocollen kwetsbaar zijn geworden voor gepubliceerde aanvallen voor het verkrijgen van gebruikersreferenties. De informatie en de beschikbare toolsets zijn specifiek gericht op omgevingen die NTLMv2-verificatie niet afdwingen. We raden klanten met klem aan hun omgevingen te evalueren en de instellingen voor netwerkverificatie bij te werken. Alle ondersteunde besturingssystemen van Microsoft bieden mogelijkheden voor NTLMv2-verificatie.

Het risico is het grootst voor getroffen systemen in standaardconfiguraties, zoals systemen waarop Microsoft Windows NT 4, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd. Zo bieden Windows XP en Windows Server 2003 beide standaard ondersteuning voor NTLMv1-verificatie.

Windows NT ondersteunt twee opties voor verificatievragen in netwerkaanmeldingen: LM-verificatievragen (LAN Manager) en Windows NT-verificatievragen (ook bekend als NTLM versie 1-verificatievragen). Beide opties maken onderlinge samenwerking met geïnstalleerde basissen van Windows NT 4.0, Windows 95, Windows 98 en Windows 98 Second Edition mogelijk.


Als u het probleem door ons wilt laten oplossen, gaat u naar de sectie 'Het probleem voor mij oplossen'.

Oplossing

We raden u aan omgevingen waarin Windows NT 4, Windows 2000, Windows XP of Windows Server 2003 wordt uitgevoerd zodanig te configureren dat alleen het gebruik van NTLMv2 is toegestaan, om het risico van dit probleem te verkleinen. Stel hiervoor het LAN Manager-verificatieniveau in op niveau 3 of hoger. Hoe u dat doet, leest u hier.

Voor Windows XP en Windows Server 2003 zijn Microsoft Fix it-oplossingen beschikbaar om systemen automatisch zodanig te configureren dat ze alleen NTLMv2 toestaan. Met deze methode worden ook NTLM-instellingen ingeschakeld voor gebruikers, zodat ze profiteren van Uitgebreide beveiliging voor verificatie.




Het probleem voor mij oplossen

De Fix it-oplossing die in deze sectie wordt beschreven, is niet bedoeld als vervanging voor een beveiligingsupdate. Het is aan te raden altijd de nieuwste beveiligingsupdates te installeren. In bepaalde scenario's kan deze Fix it-oplossing echter als tijdelijke oplossing dienen.

Microsoft Fix it voor Windows XP

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop of koppeling Fix it onder de kop Inschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.

Inschakelen

Opmerkingen

  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.

  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.

Microsoft Fix it voor Windows Server 2003

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop of koppeling Fix it onder de kop Inschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.

Inschakelen

Opmerkingen

  • Deze wizard is mogelijk alleen beschikbaar in het Engels. De automatische correctie werkt echter ook voor andere taalversies van Windows.

  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie

Veelgestelde vragen

Is er meer informatie beschikbaar over dreigingen en tegenmaatregelen voor Windows Network Security en het LAN Manager-verificatieniveau?

Gedetailleerde informatie over dreigingen en tegenmaatregelen is beschikbaar op Microsoft TechNet in de Threats and Countermeasures Guide. Zie LmCompatibilityLevel voor meer informatie over NTLM-versieconfiguratie.


Wat de oorzaak van het probleem?

Tot januari 2000 beperkten exportbeperkingen de maximale sleutellengte voor cryptografieprotocollen. De LM- en NTLM-verificatieprotocollen zijn beide ontwikkeld vóór januari 2000, waardoor deze beperkingen erop van toepassing waren. Toen Windows XP werd uitgebracht, was dit besturingssysteem zodanig geconfigureerd dat het achterwaarts compatibel was met verificatie-omgevingen die waren ontwikkeld voor Windows 2000 en lager.

Hoe kan ik onderzoeken of mijn configuratie kwetsbaar?

Dit probleem is op uw configuratie van toepassing als de LMCompatibilityLevel-registerinstellingen zijn ingesteld op een lagere waarde dan (<3).

Van welke standaardconfiguraties zijn de Windows-besturingssystemen getroffen?

In de standaardconfiguratie van Windows NT 4, Windows 2000, Windows XP en Windows Server 2003 is de waarde van LMCompatibilityLevel lager dan drie (<3).

Wat zijn de mogelijke risico's van het afdwingen van NTLMv2?

Alle ondersteunde versies van het Windows-besturingssysteem ondersteunen NTLMv2. Windows NT 4.0 SP6a biedt ook ondersteuning voor NTLMv2. Daarom is het risico van compatibiliteitsproblemen zeer klein. Oudere implementaties of configuraties van derden moeten mogelijk worden onderzocht op samenwerkingsproblemen. Een upgrade of een nieuwe configuratie kan dit probleem oplossen. Klanten wordt met klem geadviseerd om herstellende stappen uit te voeren om hun netwerk te configureren en upgraden en NTLMv1 op te sporen en uit te faseren. Gebruik van het NTLMv1-protocol heeft duidelijke, nadelige gevolgen voor netwerkbeveiliging en kan gevaarlijk zijn.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?

Een aanvaller kan verificatie-hashes van vastgelegde LM/ en NTLM-netwerkverificatie-antwoorden extraheren.

Waar vind ik meer informatie over het inschakelen van NTLMv2 op versies van Microsoft Windows waarvoor geen ondersteuning meer wordt verleend? 

Gedetailleerde informatie over NTLMv2 voor Windows NT, Windows 95, Windows 98 en Windows 98 Second Edition is beschikbaar in Microsoft Knowledge Base-artikel 239869 (Mogelijk alleen beschikbaar in het Engels).

Dankbetuiging


Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:


  • Mark Gamache van T-Mobile USA voor de samenwerking in de beveiliging van klanten tegen aanvallen tegen NTLMv1- (NT LAN Manager versie 1) en LM-netwerkverificatie (LAN Manager)

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×