Como habilitar a autenticação NTLM 2
Este artigo descreve como habilitar a autenticação NTLM 2.
Aplicável ao: Windows 10 - todas as edições
Número de KB original: 239869
Resumo
Historicamente, Windows NT dá suporte a duas variantes de autenticação de desafio/resposta para logons de rede:
- Desafio/resposta do LAN Manager (LM)
- Windows NT desafio/resposta (também conhecido como desafio/resposta NTLM versão 1) A variante LM permite interoperabilidade com a base instalada de clientes e servidores windows 95, Windows 98 e Windows 98 Second Edition. O NTLM fornece segurança aprimorada para conexões entre Windows NT clientes e servidores. Windows NT também dá suporte ao mecanismo de segurança de sessão NTLM que fornece confidencialidade de mensagem (criptografia) e integridade (assinatura).
Melhorias recentes em algoritmos de hardware e software de computador tornaram esses protocolos vulneráveis a ataques amplamente publicados para obter senhas de usuário. Em seus esforços contínuos para fornecer produtos mais seguros aos seus clientes, a Microsoft desenvolveu um aprimoramento, chamado NTLM versão 2, que melhora significativamente os mecanismos de segurança de autenticação e sessão. O NTLM 2 está disponível para Windows NT 4.0 desde que o Service Pack 4 (SP4) foi lançado e tem suporte nativo no Windows 2000. Você pode adicionar suporte ao NTLM 2 ao Windows 98 instalando as Extensões de Cliente do Active Directory.
Depois de atualizar todos os computadores com base no Windows 95, Windows 98, Windows 98 Second Edition e Windows NT 4.0, você pode melhorar muito a segurança da sua organização configurando clientes, servidores e controladores de domínio para usar apenas NTLM 2 (não LM ou NTLM).
Mais informações
Quando você instala extensões de cliente do Active Directory em um computador que está executando o Windows 98, os arquivos do sistema que fornecem suporte ao NTLM 2 também são instalados automaticamente. Esses arquivos são Secur32.dll, Msnp32.dll, Vredir.vxd e Vnetsup.vxd. Se você remover a Extensão de Cliente do Active Directory, os arquivos do sistema NTLM 2 não serão removidos porque os arquivos fornecem funcionalidades de segurança aprimoradas e correções relacionadas à segurança.
Por padrão, a criptografia de segurança de sessão NTLM 2 é restrita a um comprimento máximo de chave de 56 bits. O suporte opcional para chaves de 128 bits será instalado automaticamente se o sistema atender Estados Unidos regulamentos de exportação. Para habilitar o suporte à segurança da sessão NTLM 2 de 128 bits, instale o Microsoft Internet Explorer 4.x ou 5 e atualize para o suporte de conexão segura de 128 bits antes de instalar a Extensão de Cliente do Active Directory.
Para verificar sua versão de instalação:
- Use o Windows Explorer para localizar o arquivo Secur32.dll na pasta %SystemRoot%\System.
- Clique no arquivo com o botão direito e depois em Propriedades.
- Clique na guia Versão . A descrição da versão de 56 bits é "Microsoft Win32 Security Services (Versão de Exportação)." A descrição da versão de 128 bits é "Microsoft Win32 Security Services (Somente EUA e Canadá)."
Antes de habilitar a autenticação NTLM 2 para clientes Windows 98, verifique se todos os controladores de domínio para usuários que fazem logon na rede desses clientes estão executando Windows NT 4.0 Service Pack 4 ou posterior. (Os controladores de domínio podem executar Windows NT 4.0 Service Pack 6 se o cliente e o servidor estiverem unidos a domínios diferentes.) Nenhuma configuração do controlador de domínio é necessária para dar suporte ao NTLM 2. Você deve configurar controladores de domínio apenas para desabilitar o suporte para autenticação NTLM 1 ou LM.
Habilitando clientes NTLM 2 para Windows 95, Windows 98 ou Windows 98 Second Edition
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer o backup e a restauração do Registro no Windows
Para habilitar um cliente Windows 95, Windows 98 ou Windows 98 Second Edition para autenticação NTLM 2, instale o Cliente do Directory Services. Para ativar o NTLM 2 no cliente, siga estas etapas:
Iniciar Editor de Registro (Regedit.exe).
Localize e clique na seguinte chave no registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
Crie uma chave de registro LSA na chave do registro listada acima.
No menu Editar, clique em Adicionar valor e adicione o seguinte valor de Registro:
Nome do valor: LMCompatibility
Tipo de dados: REG_DWORD
Valor: 3
Intervalo válido: 0,3
Descrição: este parâmetro especifica o modo de autenticação e segurança de sessão a ser usado para logons de rede. Isso não afeta logons interativos.Nível 0 – Enviar resposta LM e NTLM; nunca use a segurança da sessão NTLM 2. Os clientes usarão autenticação LM e NTLM e nunca usarão a segurança da sessão NTLM 2; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
Nível 3 – enviar somente resposta NTLM 2. Os clientes usarão a autenticação NTLM 2 e usarão a segurança da sessão NTLM 2 se o servidor der suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
Observação
Para habilitar o NTLM 2 para clientes Windows 95, instale o Cliente DFS (Sistema de Arquivos Distribuídos), o WinSock 2.0 Update e o Microsoft DUN 1.3 para Windows 2000.
Saia do Editor do Registro.
Observação
Para Windows NT 4.0 e Windows 2000, a chave do registro é LMCompatibilityLevel e, para computadores baseados em Windows 95 e Windows 98, a chave de registro é LMCompatibility.
Para referência, o intervalo completo de valores para o valor LMCompatibilityLevel com suporte por Windows NT 4.0 e Windows 2000 incluem:
- Nível 0 – Enviar resposta LM e NTLM; nunca use a segurança da sessão NTLM 2. Os clientes usam autenticação LM e NTLM e nunca usam a segurança da sessão NTLM 2; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
- Nível 1 – Use a segurança da sessão NTLM 2 se negociado. Os clientes usam autenticação LM e NTLM e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
- Nível 2 – enviar somente resposta NTLM. Os clientes usam apenas a autenticação NTLM e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
- Nível 3 – enviar somente resposta NTLM 2. Os clientes usam a autenticação NTLM 2 e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio aceitam autenticação LM, NTLM e NTLM 2.
- Nível 4 – os controladores de domínio recusam respostas LM. Os clientes usam a autenticação NTLM e usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio recusam a autenticação LM (ou seja, aceitam NTLM e NTLM 2).
- Nível 5 – os controladores de domínio recusam respostas LM e NTLM (aceitem apenas NTLM 2). Os clientes usam a autenticação NTLM 2, usam a segurança da sessão NTLM 2 se o servidor dá suporte a ela; Os controladores de domínio recusam autenticação NTLM e LM (eles aceitam apenas NTLM 2). Um computador cliente só pode usar um protocolo para conversar com todos os servidores. Você não pode configurá-lo, por exemplo, para usar o NTLM v2 para se conectar a servidores baseados no Windows 2000 e, em seguida, usar o NTLM para se conectar a outros servidores. Este é o comportamento padrão do produto.
Você pode configurar a segurança mínima usada para programas que usam o SSP (Provedor de Suporte à Segurança NTLM) modificando a chave do registro a seguir. Esses valores dependem do valor LMCompatibilityLevel:
Iniciar Editor de Registro (Regedit.exe).
Localize a seguinte chave no registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
No menu Editar, clique em Adicionar valor e adicione o seguinte valor de Registro:
Nome do valor: NtlmMinClientSec
Tipo de dados: REG_WORD
Valor: um dos valores abaixo:- 0x00000010- Integridade da mensagem
- 0x00000020- Confidencialidade da mensagem
- segurança da sessão 0x00080000- NTLM 2
- criptografia de 0x20000000- 128 bits
- criptografia de 0x80000000 a 56 bits
Saia do Editor do Registro.
Se um programa cliente/servidor usar o SSP NTLM (ou usar uma chamada de procedimento remoto segura [RPC], que usa o SSP NTLM) para fornecer segurança de sessão para uma conexão, o tipo de segurança de sessão a ser usada será determinado da seguinte maneira:
- O cliente solicita qualquer ou todos os seguintes itens: integridade da mensagem, confidencialidade da mensagem, segurança da sessão NTLM 2 e criptografia de 128 bits ou 56 bits.
- O servidor responde, indicando quais itens do conjunto solicitado ele deseja.
- Diz-se que o conjunto resultante foi "negociado".
Você pode usar o valor NtlmMinClientSec para fazer com que as conexões cliente/servidor negociem uma determinada qualidade de segurança de sessão ou não tenham êxito. No entanto, você deve observar os seguintes itens:
- Se você usar 0x00000010 para o valor NtlmMinClientSec, a conexão não terá êxito se a integridade da mensagem não for negociada.
- Se você usar 0x00000020 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem não for negociada.
- Se você usar 0x00080000 para o valor NtlmMinClientSec, a conexão não terá êxito se a segurança da sessão NTLM 2 não for negociada.
- Se você usar 0x20000000 para o valor NtlmMinClientSec, a conexão não terá êxito se a confidencialidade da mensagem estiver em uso, mas a criptografia de 128 bits não for negociada.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários