Wskazówki dotyczące zabezpieczeń uwierzytelniania sieciowego NTLMv1 i LM

WPROWADZENIE

Firma Microsoft jest świadoma dostępności szczegółowych informacji i narzędzi, które umożliwiają przeprowadzanie ataków dotyczących uwierzytelniania sieciowego NTLMv1 (NT LAN Manager — wersja 1) i LM (LAN Manager). Udoskonalenia sprzętu komputerowego i algorytmów oprogramowania sprawiły, że te protokoły stały się podatne na opublikowane ataki mające na celu uzyskanie poświadczeń użytkowników. Dostępne informacje i zestawy narzędzi dotyczą środowisk, w których nie jest wymuszane uwierzytelnianie NTLMv2. Firma Microsoft zdecydowanie zaleca klientom, aby przeanalizowali swoje środowiska i zaktualizowali ustawienia uwierzytelniania sieciowego. Wszystkie obsługiwane systemy operacyjne firmy Microsoft oferują funkcje uwierzytelniania NTLMv2.

Zagrożone są przede wszystkim systemy, w przypadku których ten problem występuje w konfiguracji domyślnej, takie jak Microsoft Windows NT 4, Windows 2000, Windows XP i Windows Server 2003. Na przykład systemy Windows XP i Windows Server 2003 domyślnie obsługują uwierzytelnianie NTLMv1.

W systemie Windows NT są obsługiwane dwie opcje logowania sieciowego za pomocą uwierzytelniania typu wyzwanie/odpowiedź: wyzwanie/odpowiedź LM (LAN Manager) oraz wyzwanie/odpowiedź Windows NT (określane też jako wyzwanie/odpowiedź NTLM — wersja 1). Te opcje umożliwiają współpracę z zainstalowanymi systemami Windows NT 4.0, Windows 95, Windows 98 i Windows 98 Second Edition. 


Aby automatycznie rozwiązać ten problem, przejdź do sekcji Automatyczne rozwiązywanie problemu.

Rozwiązanie

W celu ograniczenia ryzyka związanego z tym problemem zaleca się skonfigurowanie środowisk z systemami Windows NT 4, Windows 2000, Windows XP i Windows Server 2003 w taki sposób, aby było dozwolone stosowanie tylko uwierzytelniania NTLMv2. Aby to zrobić, należy ręcznie ustawić poziom uwierzytelniania LAN Manager równy 3 lub wyższy, zgodnie z opisem podanym tutaj.

Dla systemów Windows XP i Windows Server 2003 są dostępne rozwiązania Microsoft Fix it pozwalające automatycznie skonfigurować systemy w celu zezwolenia na stosowanie tylko uwierzytelniania NTLMv2. Użycie tej metody powoduje również włączenie ustawień NTLM, które umożliwiają użytkownikom korzystanie z ochrony rozszerzonej na potrzeby uwierzytelniania.
Automatyczne rozwiązywanie problemu

Rozwiązanie w postaci poprawki automatycznej opisane w tej sekcji nie zastępuje żadnej aktualizacji zabezpieczeń. Zalecane jest regularne instalowanie najnowszych aktualizacji zabezpieczeń. To rozwiązanie w postaci poprawki automatycznej jest udostępniane jako opcja obejścia problemu w niektórych scenariuszach.

Poprawka automatyczna Microsoft Fix it dla systemu Windows XP

Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Włącz
Uwagi
  • Ten kreator może być dostępny tylko w języku angielskim. Jednak ta poprawka automatyczna działa również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.
Poprawka automatyczna Microsoft Fix it dla systemu Windows Server 2003

Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Włącz
Uwagi
  • Ten kreator może być dostępny tylko w języku angielskim. Jednak ta poprawka automatyczna działa również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”.

Więcej informacji

Często zadawane pytania

Czy jest dostępnych więcej informacji o zagrożeniach i środkach zapobiegawczych dotyczących zabezpieczeń sieciowych systemu Windows i poziomu uwierzytelniania programu LAN Manager?

Szczegółowe informacje o zagrożeniach i środkach zapobiegawczych są dostępne w witrynie Microsoft TechNet w przewodniku po zagrożeniach i środkach zapobiegawczych. Aby uzyskać więcej informacji o konfiguracji wersji protokołu NTLM, zobacz LmCompatibilityLevel.


Jaka jest przyczyna tego problemu?

Do stycznia 2000 ograniczenia dotyczące eksportu określały limit maksymalnej długości klucza w protokołach kryptograficznych. Protokoły uwierzytelniania LM i NTLM zostały opracowane przed styczniem 2000, dlatego podlegały tym ograniczeniom. Gdy został wydany system Windows XP, był on skonfigurowany w celu zapewnienia zgodności ze starszymi wersjami środowisk uwierzytelniania przeznaczonymi dla systemu Windows 2000 i wcześniejszych wersji.

Jak sprawdzić, czy dana konfiguracja jest zagrożona?

Ten problem dotyczy przypadków, w których ustawienia rejestru LMCompatibilityLevel mają wartość mniejszą niż trzy (<3).

Które systemy operacyjne Windows w konfiguracjach domyślnych są zagrożone tym problemem?

W systemach Windows NT 4, Windows 2000, Windows XP i Windows Server 2003 domyślna wartość konfiguracji LMCompatibilityLevel jest mniejsza niż trzy (<3).

Jakie potencjalne zagrożenia powoduje wymuszanie protokołu NTLMv2?

Wszystkie obsługiwane wersje systemu operacyjnego Windows obsługują protokół NTLMv2. System Windows NT 4.0 z dodatkiem SP6a również obsługuje protokół NTLMv2. Dlatego istnieje bardzo niewielkie ryzyko niezgodności. Starsze konfiguracje lub implementacje innych firm mogą wymagać przeanalizowania pod kątem problemów dotyczących niezgodności. Ten problem można rozwiązać przez ponowną konfigurację lub uaktualnienie. Zdecydowanie zaleca się, aby klienci podjęli kroki zaradcze, konfigurując i uaktualniając sieci w celu zidentyfikowania i wycofania protokołu NTLMv1. Stosowanie protokołu NTLMv1 ma określony, niekorzystny wpływ na zabezpieczenia sieci i grozi ich naruszeniem.

Jak osoba atakująca może wykorzystać tę lukę w zabezpieczeniach?

Osoba atakująca może wyodrębnić wartości skrótu uwierzytelniania z przechwyconych odpowiedzi dotyczących uwierzytelniania sieciowego LM i NTLM.

Gdzie można znaleźć informacje o włączaniu protokołu NTLMv2 w wersjach systemu Microsoft Windows, które nie są już objęte wsparciem?

Szczegółowe informacje o protokole NTLMv2 w systemach Windows NT, Windows 95, Windows 98 i Windows 98 Second Edition zawiera artykuł 239869 z bazy wiedzy Microsoft Knowledge Base.

Podziękowania


Firma Microsoft dziękuje następującym osobom za pomoc w ochronie klientów:


  • Mark Gamache z firmy T-Mobile USA — za współpracę z firmą Microsoft w celu ochrony klientów przed atakami dotyczącymi uwierzytelniania sieciowego NTLMv1 (NT LAN Manager — wersja 1) i LM (LAN Manager)
Właściwości

Identyfikator artykułu: 2793313 — ostatni przegląd: 11.01.2013 — zmiana: 1

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional

Opinia