Jak włączyć obsługę uwierzytelniania NTLM 2

Ważne Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed edycją rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące tworzenia kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

Streszczenie

System Windows NT obsługuje dwie odmiany uwierzytelniania typu wezwanie/odpowiedź dla logowania sieciowego:
 • uwierzytelnianie typu wezwanie/odpowiedź programu LAN Manager (LM)
 • uwierzytelnianie typu wezwanie/odpowiedź systemu Windows NT (zwane również uwierzytelnianiem NTLM w wersji 1 typu wezwanie/odpowiedź)
Odmiana LM umożliwia współdziałanie z zainstalowaną bazą klientów i serwerów systemów Windows 95, Windows 98 i Windows 98 Second Edition. Odmiana NTLM zapewnia ulepszone zabezpieczenia dla połączeń między klientami i serwerami systemu Windows NT. System Windows NT obsługuje również mechanizm zabezpieczeń sesji NTLM zapewniający poufność (szyfrowanie) oraz integralność (podpisywanie) komunikatów.

Niedawne ulepszenia sprzętu komputerowego i algorytmów oprogramowania przyczyniły się do ograniczenia odporności tych protokołów na powszechnie opisywane ataki ukierunkowane na uzyskanie haseł użytkowników. W ramach nieustających starań o dostarczanie klientom lepiej zabezpieczonych produktów firma Microsoft opracowała ulepszenie zwane uwierzytelnianiem NTLM w wersji 2, które znacznie usprawnia mechanizmy zabezpieczeń zarówno uwierzytelniania, jak i sesji. Uwierzytelnianie NTLM 2 było dostępne dla systemu Windows NT 4.0 od wydania dodatku Service Pack 4 (SP4) i jest obsługiwane jako funkcja macierzysta w systemie Windows 2000. Można dodać obsługę uwierzytelniania NTLM 2 do systemu Windows 98, instalując rozszerzenia klienta usługi Active Directory.

Po uaktualnieniu wszystkich komputerów z systemami Windows 95, Windows 98, Windows 98 Second Edition i Windows NT 4.0 można znacznie ulepszyć zabezpieczenia organizacji, konfigurując komputery klienckie, serwery i kontrolery domeny do używania tylko uwierzytelniania NTLM 2 (nie LM lub NTLM).

Więcej informacji

Aby uzyskać dodatkowe informacje dotyczące instalowania odpowiedniego rozszerzenia klienta usługi Active Directory, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

288358 Jak zainstalować rozszerzenie klienta usługi Active Directory

Podczas instalowania rozszerzeń klienta usługi Active Directory na komputerze, na którym jest uruchomiony system Windows 98, pliki systemowe zapewniające obsługę uwierzytelniania NTLM 2 są również instalowane automatycznie. Pliki te to Secur32.dll, Msnp32.dll, Vredir.vxd i Vnetsup.vxd. Jeśli rozszerzenie klienta usługi Active Directory zostanie usunięte, pliki systemu związane z uwierzytelnianiem NTLM 2 nie są usuwane, ponieważ zapewniają zarówno rozszerzone funkcje zabezpieczeń, jak i poprawki związane z zabezpieczeniami.Domyślnie szyfrowanie zabezpieczeń sesji NTLM 2 jest ograniczone do maksymalnej długości klucza, 56 bitów. Opcjonalna obsługa kluczy 128-bitowych jest instalowana automatycznie, jeżeli system jest zgodny z przepisami eksportowymi obowiązującymi w Stanach Zjednoczonych. Aby włączyć obsługę zabezpieczeń 128-bitowych sesji NTLM 2, należy przed zainstalowaniem rozszerzenia klienta usługi Active Directory zainstalować program Microsoft Internet Explorer w wersji 4.x lub 5 i uaktualnić oprogramowanie do obsługi 128-bitowych zabezpieczeń połączeń.Aby zweryfikować wersję instalacji:
 1. Korzystając z Eksploratora Windows, zlokalizuj plik Secur32.dll w folderze %SystemRoot%\System.
 2. Kliknij plik prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
 3. Kliknij kartę Wersja. W przypadku wersji 56-bitowej jest wyświetlany opis „Usługi zabezpieczeń systemu Microsoft Win32 (wersja eksportowa)”. W przypadku wersji 128-bitowej wyświetlany jest opis „Usługi zabezpieczeń systemu Microsoft Win32 (tylko USA i Kanada)”.

Przed włączeniem obsługi uwierzytelniania NTLM 2 dla klientów systemu Windows 98 należy zweryfikować, że system Windows NT 4.0 z dodatkiem Service Pack 4 lub nowszym jest uruchomiony na wszystkich kontrolerach domeny w przypadku użytkowników logujących się do danej sieci z tych komputerów klienckich. (Na kontrolerach domeny może być uruchomiony system Windows NT 4.0 z dodatkiem Service Pack 6, jeżeli klient i serwer zostały dołączone do różnych domen). Żadne czynności związane z konfiguracją kontrolerów domeny nie są wymagane do obsługi uwierzytelniania NTLM 2. Należy skonfigurować kontrolery domeny tylko w celu wyłączenia obsługi uwierzytelniania NTLM 1 lub LM.Aby uzyskać dodatkowe informacje dotyczące różnic między tymi odmianami protokołu i znaczenia uaktualniania w celu korzystania tylko z uwierzytelniania NTLM 2, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

147706 How to disable LM authentication on Windows NT

Włączanie obsługi uwierzytelniania NTLM 2 dla klientów systemów Windows 95, Windows 98 i Windows 98 Second Edition

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.
Aby włączyć obsługę uwierzytelniania NTLM 2 dla klienta systemu Windows 95, Windows 98 lub Windows 98 Second Edition, należy zainstalować klienta usług katalogowych. Aby uaktywnić uwierzytelnianie NTLM 2 na komputerze klienckim, wykonaj następujące kroki:
 1. Uruchom Edytor Rejestru (Regedit.exe).
 2. Zlokalizuj i kliknij następujący klucz w rejestrze:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
 3. Utwórz klucz rejestru LSA w powyższym kluczu rejestru.
 4. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
  Nazwa wartości: LMCompatibility
  Typ danych: REG_DWORD
  Wartość: 3
  Zakres prawidłowych wartości: 0,3
  Opis: Ten parametr określa tryb zabezpieczeń uwierzytelniania i sesji używany w przypadku logowania do sieci. Ten parametr nie wpływa na logowanie interakcyjne.
  • Poziom 0 — Wyślij odpowiedź typu LM i NTLM; nie używaj zabezpieczeń sesji NTLM 2. Klienci będą korzystać z uwierzytelniania LM i NTLM i nigdy nie użyją zabezpieczeń sesji NTLM 2; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
  • Poziom 3 — Wyślij tylko odpowiedź typu NTLM 2. Klienci będą korzystać z uwierzytelniania NTLM 2 i używają zabezpieczeń sesji NTLM 2, jeżeli są one obsługiwane przez serwer; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
  Uwaga Aby włączyć uwierzytelnianie NTLM 2 dla klientów systemu Windows 95, należy zainstalować klienta rozproszonego systemu plików (DFS), aktualizację usługi WinSock 2.0 i program Microsoft DUN 1.3 for Windows 2000.

 5. Zamknij Edytor rejestru.

Uwaga W systemach Windows NT 4.0 i Windows 2000 należy użyć klucza rejestru LMCompatibilityLevel, a w przypadku komputerów z systemami Windows 95 i Windows 98 — klucza rejestru LMCompatibility.

Pełny zakres wartości LMCompatibilityLevel obsługiwanych przez systemy Windows NT 4.0 i Windows 2000 jest następujący:
 • Poziom 0 — Wyślij odpowiedź typu LM i NTLM; nie używaj zabezpieczeń sesji NTLM 2. Klienci korzystają z uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLM 2; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
 • Poziom 1 — Użyj zabezpieczeń sesji NTLM 2, jeżeli są negocjowane. Klienci korzystają z uwierzytelniania LM oraz NTLM i używają zabezpieczeń sesji NTLM 2, jeżeli są one obsługiwane przez serwer; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
 • Poziom 2 — Wyślij tylko odpowiedź typu NTLM. Klienci korzystają tylko z uwierzytelniania NTLM i używają zabezpieczeń sesji NTLM 2, jeżeli są one obsługiwane przez serwer; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
 • Poziom 3 — Wyślij tylko odpowiedź typu NTLM 2. Klienci korzystają z uwierzytelniania NTLM 2 i używają zabezpieczeń sesji NTLM 2, jeżeli są one obsługiwane przez serwer; kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
 • Poziom 4 — Kontrolery domeny odmawiają odpowiedzi typu LM. Klienci korzystają z uwierzytelniania NTLM i używają zabezpieczeń sesji NTLM 2, jeżeli są one obsługiwane przez serwer; kontrolery domeny odmawiają uwierzytelniania LM (tzn. akceptują uwierzytelnianie NTLM i NTLM 2).
 • Poziom 5 — Kontrolery domeny odmawiają odpowiedzi typu LM i NTLM (akceptują tylko uwierzytelnianie NTLM 2). Klienci korzystają z uwierzytelniania NTLM 2 i używają zabezpieczeń sesji NTLM 2, jeżeli są one obsługiwane przez serwer; kontrolery domeny odmawiają uwierzytelniania NTLM i LM (tzn. akceptują tylko uwierzytelnianie NTLM 2).
Komputer kliencki może używać tylko jednego protokołu podczas komunikowania się ze wszystkimi serwerami. Nie można go skonfigurować na przykład do używania uwierzytelniania NTLM v2 w celu połączenia z serwerami z systemem Windows 2000, a następnie do łączenia się z innymi serwerami przy użyciu uwierzytelniania NTLM. To zachowanie jest zgodne z projektem.

Można skonfigurować minimalne zabezpieczenia używane przez programy korzystające z dostawcy obsługi zabezpieczeń (SSP) uwierzytelniania NTLM, modyfikując następujący klucz rejestru. Te wartości są zależne od wartości LMCompatibilityLevel:
 1. Uruchom Edytor Rejestru (Regedit.exe).
 2. Zlokalizuj w rejestrze następujący klucz:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
 3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
  Nazwa wartości: NtlmMinClientSec
  Typ danych: REG_WORD
  Wartość: jedna z następujących wartości:
  • 0x00000010- Integralność komunikatów
  • 0x00000020- Poufność komunikatów
  • 0x00080000- Zabezpieczenia sesji NTLM 2
  • 0x20000000- Szyfrowanie 128-bitowe
  • 0x80000000- Szyfrowanie 56-bitowe

 4. Zamknij Edytor rejestru.
Jeśli program typu klient/serwer korzysta z dostawcy SSP uwierzytelniania NTLM (lub używa bezpiecznej funkcji zdalnego wywoływania procedur [RPC, Remote Procedure Call] związanej z korzystaniem z dostawcy SSP uwierzytelniania NTLM) w celu zapewnienia zabezpieczeń sesji dla połączenia, typ używanych zabezpieczeń sesji jest ustalany następująco:
 • Klient żąda dowolnego z następujących elementów lub ich wszystkich: integralności komunikatów, poufności komunikatów, zabezpieczenia sesji NTLM 2 oraz szyfrowanie 128-bitowe lub 56-bitowe.
 • Serwer odpowiada, wskazując żądane elementy z wymaganego zestawu.
 • Zestaw wynikowy jest określany jako „negocjowany”.
Korzystając z wartości NtlmMinClientSec, można skonfigurować obowiązkowe negocjowanie określonej jakości zabezpieczeń sesji dla połączeń typu klient/serwer. Należy jednak uwzględnić następujące czynniki:
 • Jeśli jest używana wartość NtlmMinClientSec równa 0x00000010, połączenie nie jest ustanawiane, jeżeli integralność komunikatów nie jest negocjowana.
 • Jeśli jest używana wartość NtlmMinClientSec równa 0x00000020, połączenie nie jest ustanawiane, jeżeli poufność komunikatów nie jest negocjowana.
 • Jeśli jest używana wartość NtlmMinClientSec równa 0x00080000, połączenie nie jest ustanawiane, jeżeli zabezpieczenia sesji NTLM 2 nie są negocjowane.
 • Jeśli jest używana wartość NtlmMinClientSec równa 0x20000000, połączenie nie jest ustanawiane, jeżeli zapewniona jest poufność komunikatów, jednak szyfrowanie 128-bitowe nie jest negocjowane.
Właściwości

Identyfikator artykułu: 239869 — ostatni przegląd: 03.11.2005 — zmiana: 1

Opinia