Como habilitar a autenticação NTLM 2

  • Artigo

Este artigo descreve como habilitar a autenticação NTLM 2.

Aplicável ao: Windows 10 - todas as edições
Número de KB original: 239869

Resumo

Historicamente, Windows NT dá suporte a duas variantes de autenticação de desafio/resposta para logons de rede:

  • Desafio/resposta do LAN Manager (LM)
  • Windows NT desafio/resposta (também conhecido como desafio/resposta NTLM versão 1) A variante LM permite interoperabilidade com a base instalada de clientes e servidores windows 95, Windows 98 e Windows 98 Second Edition. O NTLM fornece segurança aprimorada para conexões entre Windows NT clientes e servidores. Windows NT também dá suporte ao mecanismo de segurança de sessão NTLM que fornece confidencialidade de mensagem (criptografia) e integridade (assinatura).

Melhorias recentes em algoritmos de hardware e software de computador tornaram esses protocolos vulneráveis a ataques amplamente publicados para obter senhas de usuário. Em seus esforços contínuos para fornecer produtos mais seguros aos seus clientes, a Microsoft desenvolveu um aprimoramento, chamado NTLM versão 2, que melhora significativamente os mecanismos de segurança de autenticação e sessão. O NTLM 2 está disponível para Windows NT 4.0 desde que o Service Pack 4 (SP4) foi lançado e tem suporte nativo no Windows 2000. Você pode adicionar suporte ao NTLM 2 ao Windows 98 instalando as Extensões de Cliente do Active Directory.

Depois de atualizar todos os computadores com base no Windows 95, Windows 98, Windows 98 Second Edition e Windows NT 4.0, você pode melhorar muito a segurança da sua organização configurando clientes, servidores e controladores de domínio para usar apenas NTLM 2 (não LM ou NTLM).

Mais informações

Quando você instala extensões de cliente do Active Directory em um computador que está executando o Windows 98, os arquivos do sistema que fornecem suporte ao NTLM 2 também são instalados automaticamente. Esses arquivos são Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se você remover a Extensão de Cliente do Active Directory, os arquivos do sistema NTLM 2 não serão removidos porque os arquivos fornecem funcionalidades de segurança aprimoradas e correções relacionadas à segurança.

Por padrão, a criptografia de segurança de sessão NTLM 2 é restrita a um comprimento máximo de chave de 56 bits. O suporte opcional para chaves de 128 bits será instalado automaticamente se o sistema atender Estados Unidos regulamentos de exportação. Para habilitar o suporte à segurança da sessão NTLM 2 de 128 bits, instale o Microsoft Internet Explorer 4.x ou 5 e atualize para o suporte de conexão segura de 128 bits antes de instalar a Extensão de Cliente do Active Directory.

Para verificar sua versão de instalação:

  1. Use o Windows Explorer para localizar o arquivo Secur32.dll na pasta %SystemRoot%\System.
  2. Clique no arquivo com o botão direito e depois em Propriedades.
  3. Clique na guia Versão . A descrição da versão de 56 bits é "Microsoft Win32 Security Services (Versão de Exportação)." A descrição da versão de 128 bits é "Microsoft Win32 Security Services (Somente EUA e Canadá)."

Antes de habilitar a autenticação NTLM 2 para clientes Windows 98, verifique se todos os controladores de domínio para usuários que fazem logon na rede desses clientes estão executando Windows NT 4.0 Service Pack 4 ou posterior. (Os controladores de domínio podem executar Windows NT 4.0 Service Pack 6 se o cliente e o servidor estiverem unidos a domínios diferentes.) Nenhuma configuração do controlador de domínio é necessária para dar suporte ao NTLM 2. Você deve configurar controladores de domínio apenas para desabilitar o suporte para autenticação NTLM 1 ou LM.

Habilitando clientes NTLM 2 para Windows 95, Windows 98 ou Windows 98 Second Edition

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer o backup e a restauração do Registro no Windows

Para habilitar um cliente Windows 95, Windows 98 ou Windows 98 Second Edition para autenticação NTLM 2, instale o Cliente do Directory Services. Para ativar o NTLM 2 no cliente, siga estas etapas:

  1. Iniciar Editor de Registro (Regedit.exe).

  2. Localize e clique na seguinte chave no registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Crie uma chave de registro LSA na chave do registro listada acima.

  4. No menu Editar, clique em Adicionar valor e adicione o seguinte valor de Registro:
    Nome do valor: LMCompatibility
    Tipo de dados: REG_DWORD
    Valor: 3
    Intervalo válido: 0,3
    Descrição: este parâmetro especifica o modo de autenticação e segurança de sessão a ser usado para logons de rede. Isso não afeta logons interativos.

    • Nível 0 – Enviar resposta LM e NTLM; nunca use a segurança da sessão NTLM 2. Os clientes usarão autenticação LM e NTLM e nunca usarão a segurança da sessão NTLM 2; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.

    • Nível 3 – enviar somente resposta NTLM 2. Os clientes usarão a autenticação NTLM 2 e usarão a segurança da sessão NTLM 2 se o servidor der suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.

    Observação

    Para habilitar o NTLM 2 para clientes Windows 95, instale o Cliente DFS (Sistema de Arquivos Distribuídos), o WinSock 2.0 Update e o Microsoft DUN 1.3 para Windows 2000.

  5. Saia do Editor do Registro.

Observação

Para Windows NT 4.0 e Windows 2000, a chave do registro é LMCompatibilityLevel e, para computadores baseados em Windows 95 e Windows 98, a chave de registro é LMCompatibility.

Para referência, o intervalo completo de valores para o valor LMCompatibilityLevel com suporte por Windows NT 4.0 e Windows 2000 incluem:

  • Nível 0 – Enviar resposta LM e NTLM; nunca use a segurança da sessão NTLM 2. Os clientes usam autenticação LM e NTLM e nunca usam a segurança da sessão NTLM 2; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 1 – Use a segurança da sessão NTLM 2 se negociado. Os clientes usam autenticação LM e NTLM e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 2 – enviar somente resposta NTLM. Os clientes usam apenas a autenticação NTLM e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 3 – enviar somente resposta NTLM 2. Os clientes usam a autenticação NTLM 2 e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
  • Nível 4 – os controladores de domínio recusam respostas LM. Os clientes usam a autenticação NTLM e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio recusam a autenticação LM (ou seja, aceitam NTLM e NTLM 2).
  • Nível 5 – os controladores de domínio recusam respostas LM e NTLM (aceitem apenas NTLM 2). Os clientes usam a autenticação NTLM 2, usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio recusam autenticação NTLM e LM (eles aceitam apenas NTLM 2). Um computador cliente só pode usar um protocolo para conversar com todos os servidores. Você não pode configurá-lo, por exemplo, para usar o NTLM v2 para se conectar a servidores baseados no Windows 2000 e, em seguida, usar o NTLM para se conectar a outros servidores. Este é o comportamento padrão do produto.

Você pode configurar a segurança mínima usada para programas que usam o SSP (Provedor de Suporte à Segurança NTLM) modificando a chave do registro a seguir. Esses valores dependem do valor LMCompatibilityLevel:

  1. Iniciar Editor de Registro (Regedit.exe).

  2. Localize a seguinte chave no registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor de Registro:
    Nome do valor: NtlmMinClientSec
    Tipo de dados: REG_WORD
    Valor: um dos valores abaixo:

    • 0x00000010- Integridade da mensagem
    • 0x00000020- Confidencialidade da mensagem
    • segurança da sessão 0x00080000- NTLM 2
    • criptografia de 0x20000000- 128 bits
    • criptografia de 0x80000000 a 56 bits

  4. Saia do Editor do Registro.

Se um programa cliente/servidor usar o SSP NTLM (ou usar uma chamada de procedimento remoto segura [RPC], que usa o SSP NTLM) para fornecer segurança de sessão para uma conexão, o tipo de segurança de sessão a ser usada será determinado da seguinte maneira:

  • O cliente solicita qualquer ou todos os seguintes itens: integridade da mensagem, confidencialidade da mensagem, segurança da sessão NTLM 2 e criptografia de 128 bits ou 56 bits.
  • O servidor responde, indicando quais itens do conjunto solicitado ele deseja.
  • Diz-se que o conjunto resultante foi "negociado".

Você pode usar o valor NtlmMinClientSec para fazer com que as conexões cliente/servidor negociem uma determinada qualidade de segurança de sessão ou não tenham êxito. No entanto, você deve observar os seguintes itens:

  • Se você usar 0x00000010 para o valor NtlmMinClientSec, a conexão não terá êxito se a integridade da mensagem não for negociada.
  • Se você usar 0x00000020 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem não for negociada.
  • Se você usar 0x00080000 para o valor NtlmMinClientSec, a conexão não terá êxito se a segurança da sessão NTLM 2 não for negociada.
  • Se você usar 0x20000000 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem estiver em uso, mas a criptografia de 128 bits não for negociada.