NTLM 2-verificatie inschakelen

In dit artikel wordt beschreven hoe u NTLM 2-verificatie inschakelt.

Van toepassing op: Windows 10 - alle edities
Origineel KB-nummer: 239869

Samenvatting

In het verleden ondersteunt Windows NT twee varianten van verificatie van vraag/antwoord voor netwerkaanmeldingen:

• VRAAG/antwoord van LAN Manager (LM)
• Windows NT-uitdaging/-antwoord (ook wel bekend als NTLM versie 1-vraag/antwoord) De LM-variant maakt interoperabiliteit mogelijk met de geïnstalleerde basis van Windows 95-, Windows 98- en Windows 98 Second Edition-clients en -servers. NTLM biedt verbeterde beveiliging voor verbindingen tussen Windows NT-clients en -servers. Windows NT ondersteunt ook het NTLM-sessiebeveiligingsmechanisme dat voorziet in vertrouwelijkheid van berichten (versleuteling) en integriteit (ondertekening).

Recente verbeteringen in computerhardware- en softwarealgoritmen hebben deze protocollen kwetsbaar gemaakt voor algemeen gepubliceerde aanvallen voor het verkrijgen van gebruikerswachtwoorden. In zijn voortdurende inspanningen om veiligere producten aan haar klanten te leveren, heeft Microsoft een verbetering ontwikkeld, NTLM versie 2 genoemd, waarmee zowel de verificatie- als sessiebeveiligingsmechanismen aanzienlijk worden verbeterd. NTLM 2 is beschikbaar voor Windows NT 4.0 sinds Service Pack 4 (SP4) werd uitgebracht en wordt systeemeigen ondersteund in Windows 2000. U kunt NTLM 2-ondersteuning toevoegen aan Windows 98 door de Active Directory-clientextensies te installeren.

Nadat u alle computers hebt bijgewerkt die zijn gebaseerd op Windows 95, Windows 98, Windows 98 Second Edition en Windows NT 4.0, kunt u de beveiliging van uw organisatie aanzienlijk verbeteren door clients, servers en domeincontrollers te configureren om alleen NTLM 2 (niet LM of NTLM) te gebruiken.

Meer informatie

Wanneer u Active Directory-clientextensies installeert op een computer met Windows 98, worden de systeembestanden die ondersteuning bieden voor NTLM 2 ook automatisch geïnstalleerd. Deze bestanden zijn Secur32.dll, Msnp32.dll, Vredir.vxd en Vnetsup.vxd. Als u de Active Directory-clientextensie verwijdert, worden de systeembestanden van NTLM 2 niet verwijderd omdat de bestanden zowel verbeterde beveiligingsfunctionaliteit als beveiligingsgerelateerde oplossingen bieden.

Standaard is NTLM 2-sessiebeveiligingsversleuteling beperkt tot een maximale sleutellengte van 56 bits. Optionele ondersteuning voor 128-bits sleutels wordt automatisch geïnstalleerd als het systeem voldoet aan Verenigde Staten exportvoorschriften. Als u ondersteuning voor 128-bits NTLM 2-sessiebeveiliging wilt inschakelen, moet u Microsoft Internet Explorer 4.x of 5 installeren en upgraden naar 128-bits ondersteuning voor beveiligde verbindingen voordat u de Active Directory-clientextensie installeert.

Uw installatieversie controleren:

1. Gebruik Windows Verkenner om het Secur32.dll-bestand te zoeken in de map %SystemRoot%\System.
2. Klik met de rechtermuisknop op het bestand en klik vervolgens op Eigenschappen.
3. Klik op het tabblad Versie . De beschrijving voor de 56-bits versie is 'Microsoft Win32 Security Services (exportversie).' De beschrijving voor de 128-bits versie is 'Microsoft Win32 Security Services (alleen VS en Canada).'

Voordat u NTLM 2-verificatie inschakelt voor Windows 98-clients, controleert u of op alle domeincontrollers voor gebruikers die zich aanmelden bij uw netwerk vanaf deze clients Windows NT 4.0 Service Pack 4 of hoger wordt uitgevoerd. (Op de domeincontrollers kan Windows NT 4.0 Service Pack 6 worden uitgevoerd als de client en server zijn gekoppeld aan verschillende domeinen.) Er is geen configuratie van de domeincontroller vereist om NTLM 2 te ondersteunen. U moet domeincontrollers configureren om alleen ondersteuning voor NTLM 1- of LM-verificatie uit te schakelen.

NTLM 2 inschakelen voor Windows 95-, Windows 98- of Windows 98 Second Edition-clients

Installeer de Directory Services-client om een Windows 95-, Windows 98- of Windows 98 Second Edition-client in te schakelen voor NTLM 2-verificatie. Voer de volgende stappen uit om NTLM 2 op de client te activeren:

1. Start register Editor (Regedit.exe).

2. Zoek en klik op de volgende sleutel in het register: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

3. Maak een LSA-registersleutel in de registersleutel die hierboven wordt vermeld.

4. Klik in het menu Bewerken op Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:
   Waardenaam: LMCompatibility
   Gegevenstype: REG_DWORD
   Waarde: 3
   Geldig bereik: 0,3
   Beschrijving: met deze parameter geeft u de verificatiemodus en sessiebeveiliging op die moeten worden gebruikt voor netwerkaanmeldingen. Dit heeft geen invloed op interactieve aanmeldingen.

   • Niveau 0: LM- en NTLM-antwoord verzenden; gebruik nooit NTLM 2-sessiebeveiliging. Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLM 2-sessiebeveiliging; domeincontrollers accepteren LM-, NTLM- en NTLM 2-verificatie.

   • Niveau 3: alleen NTLM 2-antwoord verzenden. Clients gebruiken NTLM 2-verificatie en gebruiken NTLM 2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLM 2-verificatie.

   Opmerking

   Als u NTLM 2 wilt inschakelen voor Windows 95-clients, installeert u Distributed File System (DFS) Client, WinSock 2.0 Update en Microsoft DUN 1.3 voor Windows 2000.

5. Sluit de Register-editor af.

Ter referentie bevat het volledige bereik van waarden voor de waarde LMCompatibilityLevel die worden ondersteund door Windows NT 4.0 en Windows 2000:

• Niveau 0: LM- en NTLM-antwoord verzenden; gebruik nooit NTLM 2-sessiebeveiliging. Clients gebruiken LM- en NTLM-verificatie en gebruiken nooit NTLM 2-sessiebeveiliging; domeincontrollers accepteren LM-, NTLM- en NTLM 2-verificatie.
• Niveau 1: gebruik NTLM 2-sessiebeveiliging als er wordt onderhandeld. Clients gebruiken LM- en NTLM-verificatie en gebruiken NTLM 2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLM 2-verificatie.
• Niveau 2: alleen NTLM-antwoord verzenden. Clients gebruiken alleen NTLM-verificatie en gebruiken NTLM 2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLM 2-verificatie.
• Niveau 3: alleen NTLM 2-antwoord verzenden. Clients gebruiken NTLM 2-verificatie en gebruiken NTLM 2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers accepteren LM-, NTLM- en NTLM 2-verificatie.
• Niveau 4: Domeincontrollers weigeren LM-antwoorden. Clients gebruiken NTLM-verificatie en gebruiken NTLM 2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers weigeren LM-verificatie (dat wil zeggen, ze accepteren NTLM en NTLM 2).
• Niveau 5: domeincontrollers weigeren LM- en NTLM-antwoorden (accepteren alleen NTLM 2). Clients gebruiken NTLM 2-verificatie, gebruiken NTLM 2-sessiebeveiliging als de server dit ondersteunt; domeincontrollers weigeren NTLM- en LM-verificatie (ze accepteren alleen NTLM 2). Een clientcomputer kan slechts één protocol gebruiken om met alle servers te praten. U kunt het bijvoorbeeld niet configureren om NTLM v2 te gebruiken om verbinding te maken met windows 2000-servers en vervolgens om NTLM te gebruiken om verbinding te maken met andere servers. Dit is inherent aan het ontwerp van het product.

U kunt de minimale beveiliging configureren die wordt gebruikt voor programma's die gebruikmaken van de NTLM Security Support Provider (SSP) door de volgende registersleutel te wijzigen. Deze waarden zijn afhankelijk van de waarde LMCompatibilityLevel:

1. Start register Editor (Regedit.exe).

2. Zoek de volgende sleutel in het register: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

3. Klik in het menu Bewerken op Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:
   Waardenaam: NtlmMinClientSec
   Gegevenstype: REG_WORD
   Waarde: een van de onderstaande waarden:

   • 0x00000010- Berichtintegriteit
   • 0x00000020- Vertrouwelijkheid van berichten
   • 0x00080000- NTLM 2-sessiebeveiliging
   • 0x20000000- 128-bits versleuteling
   • 0x80000000- 56-bits versleuteling

4. Sluit de Register-editor af.

Als een client-/serverprogramma gebruikmaakt van de NTLM-SSP (of secure Remote Procedure Call [RPC], die gebruikmaakt van de NTLM-SSP) om sessiebeveiliging voor een verbinding te bieden, wordt het type sessiebeveiliging als volgt bepaald:

• De client vraagt om een of meer van de volgende items: berichtintegriteit, vertrouwelijkheid van berichten, NTLM 2-sessiebeveiliging en 128-bits of 56-bits versleuteling.
• De server reageert en geeft aan welke items van de aangevraagde set hij wil.
• De resulterende set zou zijn 'onderhandeld'.

U kunt de waarde NtlmMinClientSec gebruiken om client-/serververbindingen te laten onderhandelen over een bepaalde kwaliteit van sessiebeveiliging of om niet te slagen. Houd echter rekening met de volgende items:

• Als u 0x00000010 gebruikt voor de waarde NtlmMinClientSec, slaagt de verbinding niet als er niet over berichtintegriteit wordt onderhandeld.
• Als u 0x00000020 gebruikt voor de waarde NtlmMinClientSec, slaagt de verbinding niet als er niet over de vertrouwelijkheid van berichten wordt onderhandeld.
• Als u 0x00080000 gebruikt voor de waarde NtlmMinClientSec, slaagt de verbinding niet als er niet wordt onderhandeld over NTLM 2-sessiebeveiliging.
• Als u 0x20000000 gebruikt voor de waarde NtlmMinClientSec, slaagt de verbinding niet als de vertrouwelijkheid van berichten wordt gebruikt, maar er niet wordt onderhandeld over 128-bits versleuteling.