Diretrizes de segurança para autenticação de rede NTLMv1 e LM

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

INTRODUÇÃO
Temos ciência das informações detalhadas e ferramentas que podem ser usadas em ataques na autenticação de rede do NT LAN Manager versão 1 (NTLMv1) e LAN Manager (LM). As melhorias dos algoritmos de hardware e software do computador tornou estes protocolos vulneráveis aos ataques publicados para obter credenciais do usuário. A informação e os conjuntos de ferramentas estão disponíveis especificamente destinadas para ambientes que não aplicam a autenticação NTLMv2. Incentivamos nossos clientes a avaliarem seus ambientes e atualizarem suas configurações de autenticação de rede. Todos os sistemas operacionais da Microsoft suportados oferecem capacidades de autenticação NTLMv2.

Os sistemas afetados em uma configuração padrão estão em risco, como sistemas executando o Microsoft Windows NT 4, Windows 2000, Windows XP e Windows Server 2003. Por exemplo, por padrão, o Windows XP e Windows Server 2003 suportam autenticação NTLMv1. 

Para o Windows NT, duas opções são suportadas para autenticação de resposta de desafio em logons de rede: Resposta do desafio do LAN Manager (LM) e resposta do desafio do Windows NT (também conhecido como resposta do desafio do NTLM versão 1). Ambos permitem a interoperabilidade com bases instaladas do Windows NT 4.0, Windows 95, Windows 98 e Windows 98 Second Edition. 


Para podermos corrigir este problema para você, vá para a seção "Corrigir para mim".
Resolução
Para reduzir o risco deste problema, recomendamos configurar ambientes que executam o Windows NT 4, Windows 2000, Windows XP e Windows Server 2003 para permitir o uso de apenas NTLMv2. Para fazer isso, configure manualmente o Nível de Autenticação do LAN Manager para 3 ou superior, conforme descrito aqui.

Para o Windows XP e Windows Server 2003, as soluções do Microsoft Fix it estão disponíveis para configurar automaticamente os sistemas para permitir o uso de apenas NTLMv2. Este método também habilita as configurações de NTLM para os usuários aproveitarem a Proteção Estendida para Autenticação.
Corrigir para mim
A solução Fix it descrida nesta seção não é destinada para substituir qualquer atualização de segurança. É recomendável ter sempre as atualizações de segurança mais recentes instaladas. No entanto, oferecemos esta solução Fix it como uma alternativa para alguns cenários. 

Microsoft Fix it para Windows XP

Para habilitar ou desabilitar esta solução Fix it, clique no botão Fix it ou no link do cabeçalho Habilitar. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no assistente Fix it.
Habilitar
Observações
  • Esse assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, é possível salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.
Microsoft Fix it para Windows Server 2003

Para habilitar ou desabilitar esta solução Fix it, clique no botão Fix it ou no link do cabeçalho Habilitar. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no assistente Fix it.
Habilitar
Observações
  • Esse assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em versões do Windows em outros idiomas.
  • Se estiver usando um computador que não apresenta esse problema, é possível salvar a correção automática em uma unidade flash ou em um CD para executá-la posteriormente no computador com o problema.
Situação
A Microsoft confirmou que esse problema ocorre nos produtos listados na seção "Aplicável a".
Mais Informações

Perguntas Frequentes

Há mais informações sobre as ameaças e contramedidas para o Windows Network Security e o Nível de Autenticação do LAN Manager?

Informações detalhadas sobre ameaças e contramedidas estão disponíveis no Microsoft TechNet no Guia de Ameaças e Contramedidas. Para obter mais informações sobre a configuração da versão do NTLM, consulte LmCompatibilityLevel.

O que causou o problema?

Até janeiro de 2000, as restrições de exportação eram limitadas ao comprimento de chave máximo para protocolos criptográficos. Os protocolos de autenticação LM e NTLM foram desenvolvidos antes de janeiro de 2000 e, portanto, estava sujeitos a estas restrições. Quando o Windows XP foi lançado, foi configurado para garantir a compatibilidade inversa com ambientes de autenticação projetados para o Windows 2000 e anterior. 

Como verifico se minha configuração está vulnerável?

Você é afetado por este problema se as configurações de Registro LMCompatibilityLevel estão definidas para menos de três (<3).

Quais sistemas operacionais do Windows são afetados nas configurações padrões? 

Windows NT4, Windows 2000, Windows XP e Windows Server 2003 possuem um valor de configuração padrão de LMCompatibilityLevel inferior a três (<3).

Quais são os possíveis riscos de aplicar o NTLMv2?

Todas as versões compatíveis do sistema operacional Windows suportam NTLMv2. O Windows NT 4.0 SP6a também suporta NTLMv2. Portanto, há um risco muito pequeno de compatibilidade. Implementações herdadas de terceiros ou configurações que podem precisar ser avaliadas por qualquer problema de interoperabilidade. Uma reconfiguração ou atualização pode resolver este problema. Os clientes são recomendados a realizar etapas de correção para configurar ou atualizar sua rede ao identificar ou desativar o NTLMv1. O uso do protocolo NTLMv1 possui um efeito colateral definido na segurança de rede e pode ser comprometido.

Para o que um invasor pode usar a vulnerabilidade?

Um invasor pode extrair hashes de autenticação da respostas de autenticação de rede LM e NTLM capturadas.

Onde posso encontrar informações sobre como habilitar o NTLMv2 em versões do Microsoft Windows não mais suportadas? 

Informações detalhadas sobre o NTLMv2 para Windows NT, Windows 95, Windows 98 e Windows 98 Second Edition estão disponíveis no artigo 239869 da Base de Dados de Conhecimento da Microsoft.
Agradecimentos
A Microsoft agradece às seguintes pessoas por trabalharem conosco, ajudando a proteger os clientes:
  • Mark Gamache da T-Mobile USA por trabalhar conosco para ajudar a proteger os clientes contra ataques no NTLMv1 (NT LAN Manager versão 1) e na autenticação de rede do LAN Manager (LM)
atualização security_patch security_update segurança bug falha vulnerabilidade mal-intencionado invasor exploração Registro não autenticado buffer saturação estouro especialmente formado escopo especialmente criado negação de serviço DoS TSE
Observação: este é um artigo de “PUBLICAÇÃO RÁPIDA” criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso para ver outras informações.
Propriedades

ID do Artigo: 2793313 - Última Revisão: 01/12/2013 12:03:00 - Revisão: 1.1

Microsoft Windows Server 2003 Service Pack 2, Service Pack 3 para Windows XP

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Comentários