Momentan sunteți offline, așteptați să vă reconectați la internet

Cum se activează autentificarea NTLM 2

Important Acest articol conţine informaţii despre modificarea valorilor din registry. Înainte de a face modificări în registry, asiguraţi-vă că aţi realizat o copie de rezervă şi că ştiţi să restabiliţi registry dacă apare o problemă. Pentru informaţii despre copierea de rezervă, restaurarea şi editarea registry, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
256986 Descrierea Registry din Microsoft Windows
REZUMAT
De-a lungul timpului, Windows NT a acceptat două variante de autentificare de tip provocare/răspuns (NTLM) pentru conectarea la reţea:
  • Provocare/răspuns LAN Manager (LM)
  • Provocare/răspuns Windows NT (cunoscută şi ca provocare/răspuns NTLM versiunea 1)
Varianta LM permite interoperabilitate cu baza instalată de clienţi şi servere de Windows 95, Windows 98 şi Windows 98 Second Edition. NTLM furnizează securitate îmbunătăţită pentru conexiunile între clienţii şi serverele Windows NT. Windows NT acceptă, de asemenea, mecanismul de securitate al sesiunii NTLM care furnizează confidenţialitatea mesajelor (criptare) şi integritate (semnătură).

Îmbunătăţirile recente ale hardware-ului şi ale algoritmilor software au făcut ca aceste protocoale să devină vulnerabile la atacurile publicate pe scară largă pentru obţinerea parolelor de utilizator. În efortul continuu de a oferi clienţilor produse mai sigure, Microsoft a dezvoltat versiunea 2 de NTLM, perfecţionată, care aduce îmbunătăţiri semnificative atât pentru autentificarea, cât şi pentru mecanismele de securitate a sesiunii. NTLM 2 a fost disponibil pentru Windows NT 4.0 începând cu lansarea Service Pack 4 (SP4) şi este acceptat nativ în Windows 2000. Suportul NTLM 2 se poate adăuga la Windows 98 prin instalarea extensiilor de client Active Directory.

După actualizarea tuturor computerelor bazate pe Windows 95, Windows 98, Windows 98 Second Edition şi Windows NT 4.0, securitatea organizaţiei se poate îmbunătăţi în mare măsură prin configurarea clienţilor, serverelor şi controlerilor de domeniu pentru a utiliza numai NTLM 2 (nici LM, nici NTLM).
INFORMAŢII SUPLIMENTARE
Pentru informaţii suplimentare despre instalarea extensiei de client Active Directory adecvate, faceţi clic pe următorul număr de articol pentru a vedea articolul din Baza de cunoştinţe Microsoft:
288358 Cum se instalează extensia client Active Directory (Această legătură poate să indice către un conţinut care este parţial sau în întregime în limba engleză.)
Când instalaţi extensiile client Active Directory pe un computer care execută Windows 98, fişierele de sistem care furnizează suport NTLM 2 se instalează automat. Aceste fişiere sunt Secur32.dll, Msnp32.dll, Vredir.vxd şi Vnetsup.vxd. Dacă eliminaţi extensia de client Active Directory, fişierele de sistem NTLM 2 nu se elimină, datorită faptului că ele furnizează atât funcţionalitate de securitate îmbunătăţită cât şi remedii referitoare la securitate.

În mod implicit, criptarea de securitate a sesiunii NTLM 2 este restricţionată la o lungime de cheie maximă de 56 biţi. Dacă sistemul satisface reglementările de export ale SUA, se instalează automat suport opţional pentru chei de 128 biţi. Pentru a activa suportul de securitate a sesiunii NTLM 2 pe 128 biţi, trebuie să instalaţi Microsoft Internet Explorer 4.x sau 5 şi să faceţi upgrade la suport de conexiune pe 128 biţi înainte de a instala extensia de client Active Directory.

Pentru a verifica versiunea instalării:
  1. Utilizaţi Windows Explorer pentru a găsi fişierul Secur32.dll în folderul %SystemRoot%\System.
  2. Faceţi clic cu butonul din dreapta pe fişier, apoi faceţi clic pe Proprietăţi.
  3. Faceţi clic pe fila Versiune. Descrierea pentru versiunea pe 56 biţi este „Microsoft Win32 Security Services (Export Version)”. Descrierea pentru versiunea pe 128 biţi este „Microsoft Win32 Security Services (US and Canada Only)”.
Înainte de a activa autentificarea NTLM 2 pentru clienţii Windows 98, verificaţi ca toţi controlerii de domeniu pentru utilizatorii care se conectează la reţeaua dvs. de la aceşti clienţi să execute Windows NT 4.0 Service Pack 4 sau versiuni mai recente. (Controlerii de domeniu pot executa Windows NT 4.0 Service Pack 6 în cazul în care clientul şi serverul sunt asociaţi la domenii diferite.) Nu este obligatorie nici o configuraţie de controler de domeniu pentru a avea suport NTLM 2. Trebuie să configuraţi controlerii de domeniu numai pentru a dezactiva suportul pentru NTLM 1 sau pentru autentificarea LM.Pentru informaţii suplimentare despre despre diferenţele între aceste variante de protocol şi importanţa upgrade-ului pentru a utiliza numai NTLM 2, faceţi clic pe următorul număr de articol pentru a vedea articolul din Baza de cunoştinţe Microsoft:
147706 Cum se dezactivează autentificarea LM în Windows NT (Această legătură poate să indice către un conţinut care este parţial sau în întregime în limba engleză.)

Activarea NTLM 2 pentru clienţii Windows 95, Windows 98 sau Windows 98 Second Edition

Avertisment Dacă nu utilizaţi corect Registry Editor, pot apărea probleme grave care să necesite reinstalarea sistemului de operare. Microsoft nu poate garanta că problemele care rezultă din utilizarea incorectă a Registry Editor pot fi remediate. Utilizaţi Registry Editor pe propriul risc.
Pentru a activa un client Windows 95, Windows 98 sau Windows 98 Second Edition pentru autentificarea NTLM 2, instalaţi Directory Services Client. Pentru a activa NTLM 2 la client, urmaţi aceşti paşi:
  1. Porniţi Registry Editor (Regedit.exe).
  2. Căutaţi şi faceţi clic pe următoarea cheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. Creaţi o cheie de registry LSA în cheia de registry de mai sus.
  4. În meniul Edit, faceţi clic pe Add Value, apoi adăugaţi următoarea valoare de registry:
    Nume valoare: LMCompatibility
    Tip de date: REG_DWORD
    Valoare: 3
    Interval valid: 0,3
    Descriere: Acest parametru specifică modul de autentificare şi de securitate a sesiunii utilizate pentru conectările la reţea. El nu are influenţă asupra conectărilor interactive.
    • Nivel 0 - Trimite răspuns LM şi NTLM; nu utilizează niciodată securitate de sesiune NTLM 2. Clienţii vor utiliza autentificare LM şi NTLM şi nu vor utiliza niciodată securitatea de sesiune NTLM 2; controlerii de domeniu acceptă autentificare LM, NTLM şi NTLM 2.
    • Nivel 3 - Trimite numai răspuns NTLM 2. Clienţii vor utiliza autentificare NTLM 2 şi vor utiliza securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM şi NTLM 2.
    Notă Pentru a activa NTLM 2 pentru clienţii Windows 95, instalaţi clientul sistem de fişiere distribuite (DFS), WinSock 2.0 Update şi Microsoft DUN 1.3 pentru Windows 2000.

  5. Părăsiţi Registry Editor.

Notă Pentru Windows NT 4.0 şi Windows 2000, cheia de registry este LMCompatibilityLevel, iar pentru computerele bazate pe Windows 95 şi Windows 98, cheia de registry este LMCompatibility.

Ca referinţă, intervalul complet de valori pentru valoarea LMCompatibilityLevel acceptat de Windows NT 4.0 şi Windows 2000 cuprinde:
  • Nivel 0 - Trimite răspuns LM şi NTLM; nu utilizează niciodată securitate de sesiune NTLM 2. Clienţii utilizează autentificare LM şi NTLM şi nu vor utiliza niciodată securitatea de sesiune NTLM 2; controlerii de domeniu acceptă autentificare LM, NTLM şi NTLM 2.
  • Nivel 1 - Utilizează securitatea de sesiune NTLM 2, dacă s-a negociat. Clienţii utilizează autentificare LM şi NTLM şi utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM şi NTLM 2.
  • Nivel 2 - Trimite numai răspuns NTLM. Clienţii utilizează numai autentificare NTLM şi utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM şi NTLM 2.
  • Nivel 3 - Trimite numai răspuns NTLM 2. Clienţii utilizează autentificare NTLM 2 şi utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu acceptă autentificare LM, NTLM şi NTLM 2.
  • Nivel 4 - Controlerii de domeniu refuză răspunsuri LM. Clienţii utilizează autentificare NTLM şi utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu refuză autentificarea LM (adică, acceptă autentificare NTLM şi NTLM 2).
  • Nivel 5 - Controlerii de domeniu refuză răspunsuri LM şi NTLM (acceptă numai NTLM 2). Clienţii utilizează autentificare NTLM, utilizează securitatea de sesiune NTLM 2 dacă este acceptată de server; controlerii de domeniu refuză autentificarea NTLM şi LM (acceptă numai NTLM 2).
Un computer client poate utiliza numai un singur protocol la comunicarea cu toate serverele. Nu poate fi configurat, de exemplu, pentru a utiliza NTLM v2 pentru conectarea la serverele bazate pe Windows 2000, apoi NTLM pentru conectarea la alte servere. Acest comportament este cel proiectat.

Se poate configura securitatea minimă care se utilizează pentru programele care utilizează furnizorul de suport de securitate NTLM (SSP) modificând următoarea cheie de registry. Aceste valori depind de valoarea LMCompatibilityLevel:
  1. Porniţi Registry Editor (Regedit.exe).
  2. Căutaţi şi faceţi clic pe următoarea cheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. În meniul Edit, faceţi clic pe Add Value, apoi adăugaţi următoarea valoare de registry:
    Nume valoare: NtlmMinClientSec
    Tip de date: REG_WORD
    Valoare: una dintre valorile de mai jos:
    • 0x00000010- Integritatea mesajelor
    • 0x00000010- Confidenţialitatea mesajelor
    • 0x00080000- Securitate de sesiune NTLM 2
    • 0x20000000- criptare pe 128 biţi
    • 0x80000000- criptare pe 56 biţi

  4. Părăsiţi Registry Editor.
Dacă un program client/server utilizează NTLM SSP (sau utilizează RPC securizat [Remote Procedure Call - apel de procedură la distanţă], care utilizează NTLM SSP) pentru a furniza securitate de sesiune pentru o conexiune, tipul de securitate de sesiune care se utilizează este stabilit după cum urmează:
  • Clientul solicită unul sau toate elementele următoare: integritatea mesajelor, confidenţialitatea mesajelor, securitate de sesiune NTLM 2 şi criptare pe 128 biţi sau pe 56 biţi.
  • Serverul răspunde, indicând care elemente ale setului solicitat îi sunt necesare.
  • Se spune că setul rezultat a fost „negociat”.
Valoarea NtlmMinClientSec se poate utiliza fie pentru negocierea unei anumite calităţi a securităţii de sesiune de către conexiunile client/server, fie pentru nereuşită. Ţineţi însă seama de următoarele elemente:
  • Dacă utilizaţi 0x00000010 pentru valoarea NtlmMinClientSec, conexiunea nu va reuşi dacă nu se negociază integritatea mesajelor.
  • Dacă utilizaţi 0x00000020 pentru valoarea NtlmMinClientSec, conexiunea nu va reuşi dacă nu se negociază confidenţialitatea mesajelor.
  • Dacă utilizaţi 0x00080000 pentru valoarea NtlmMinClientSec, conexiunea nu va reuşi dacă nu se negociază securitatea de sesiune NTLM 2.
  • Dacă utilizaţi 0x20000000 pentru valoarea NtlmMinClientSec, conexiunea nu va reuşi dacă se utilizează confidenţialitatea mesajelor, dar nu se negociază criptarea pe 128 biţi.
ntlmv2
Proprietăți

ID articol: 239869 - Ultima examinare: 02/06/2006 17:24:15 - Revizie: 4.3

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
  • kbenv kbhowto KB239869
Feedback