Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

ВВЕДЕНИЕ

Нам хорошо известно, что имеется много информации и инструментов, которые могут быть использованы для совершения атак в ходе проверки подлинности по протоколам NT LAN Manager 1 (NTLMv1) и LAN Manager (LM). Нововведения в области компьютерного оборудования и программного обеспечения сделали эти протоколы уязвимыми для несанкционированных попыток получения учетных данных пользователей. Эта информация и инструменты в большей степени направлены на среды, в которых проверка подлинности по протоколу NTLMv2 не является обязательной. Мы настоятельно рекомендуем клиентам проверить свои среды и провести обновление параметров проверки подлинности сети. Все поддерживаемые операционные системы Майкрософт предоставляют возможность проверки подлинности по протоколу NTLMv2.

В первую очередь угрозе подвержены системы, которые используют конфигурацию по умолчанию (например, Microsoft Windows NT 4, Windows 2000, Windows XP и Windows Server 2003). По умолчанию как Windows XP, так и Windows Server 2003, к примеру, поддерживают проверку подлинности по протоколу NTLMv1. 

В операционной системе Windows NT поддерживаются два варианта проверки подлинности с запросом и подтверждением при входе в сеть: запрос и подтверждение по протоколу LAN Manager (LM) и запрос и подтверждение Windows NT (также известное как запрос и подтверждение по протоколу NTLM 1). Оба варианта служат для взаимодействия с системами Windows NT 4.0, Windows 95, Windows 98 и Windows 98 Second Edition. 


Если для решения проблемы требуется помощь, перейдите к разделу Получение помощи в решении проблемы.

Решение

Чтобы снизить риск возникновения проблемы, рекомендуется разрешить использование только протокола NTLMv2 для проверки подлинности в средах, в которых представлены системы Windows NT 4, Windows 2000, Windows XP и Windows Server 2003. Для этого вручную укажите для уровня проверки подлинности LAN Manager значение, равное 3 (или большее), как описано здесь.

Для Windows XP и Windows Server 2003 доступны решения Microsoft Fix it, чтобы автоматически настроить системы на использование исключительно протокола NTLMv2. Этот метод также позволяет использовать расширенную защиту для проверки подлинности в рамках параметров NTLM.




Получение помощи в решении проблемы

Описанное в этом разделе решение Fix it не может использоваться вместо обновлений для системы безопасности, последние версии которых всегда должны быть установлены на компьютере. Однако в некоторых случаях это решение позволяет обойти проблему. 

Microsoft Fix it для Windows XP

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить. Затем в диалоговом окне Загрузка файла нажмите кнопку Запустить и следуйте инструкциям мастера Fix it.

Включить

Примечания.

  • Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.

  • Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Microsoft Fix it для Windows Server 2003

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить. Затем в диалоговом окне Загрузка файла нажмите кнопку Запустить и следуйте инструкциям мастера Fix it.

Включить

Примечания.

  • Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.

  • Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Статус

Данное поведение является подтвержденной ошибкой в продуктах Майкрософт, перечисленных в разделе "Информация в данной статье относится к следующим продуктам".

Дополнительная информация

Вопросы и ответы

Можно ли найти дополнительные сведения об угрозах и мерах противодействия для сетевой системы безопасности Windows и уровня проверки подлинности LAN Manager?

Дополнительные сведения об угрозах и мерах противодействия доступны на портале Microsoft TechNet в разделе Руководство по угрозам безопасности и методы противодействия. Дополнительные сведения о настройке версий NTLM см. раздел LmCompatibilityLevel.


Что явилось причиной проблемы?

До января 2000 г. экспортные ограничения определяли максимальную длину ключа для протоколов шифрования. Протоколы проверки подлинности LM и NTLM были разработаны до января 2000, и поэтому на них распространялись эти ограничения. После выпуска Windows XP система была сконфигурирована таким образом, чтобы обеспечить совместимость со средами проверки подлинности, которые были разработаны для ОС Windows 2000 и более ранних версий. 

Как узнать, является ли моя конфигурация уязвимой?

Эта проблема может произойти, если значение параметра реестра LMCompatibilityLevel меньше чем три (<3).

Какие операционные системы Windows, для которых используются параметры по умолчанию, являются уязвимыми? 

В параметрах по умолчанию для ОС Windows NT4, Windows 2000, Windows XP и Windows Server 2003 значение параметра LMCompatibilityLevel меньше чем три (<3).

Какой потенциальные риск существует при принудительном использовании протокола NTLMv2?

Все поддерживаемые версии операционных систем Windows поддерживают протокол NTLMv2. Windows NT 4.0 с пакетом обновления 6a (SP6a) также поддерживает протокол NTLMv2. Поэтому проблемы совместимости очень маловероятны. Возможно понадобится проверка сторонних (устаревших) приложений и конфигураций на предмет совместимости. Повторная настройка или обновление могут решить проблему. Клиентам настоятельно рекомендуется выполнить ряд действий для настройки или обновления их сетей, чтобы выяснить, используется ли протокол NTLMv1, и исключить его. Использование протокола NTLMv1 отрицательно влияет на сетевую безопасность и может поставить ее под угрозу.

Каким образом злоумышленник может использовать данную уязвимость?

Злоумышленник может извлечь хэш-значения из полученных подтверждений при проверке подлинности по протоколам LM и NTLM при входе в сеть.

Где найти сведения о включении протокола NTLMv2 в версиях ОС Microsoft Windows, которые не поддерживаются в настоящее время? 

Дополнительные сведения о протоколе NTLMv2 для ОС Windows NT, Windows 95, Windows 98 и Windows 98 Second Edition доступны в статье 239869 базы знаний Майкрософт.

Благодарность


Корпорация Майкрософт благодарит следующих людей за помощь в защите клиентов:


  • Марка Гамач (Mark Gamache), сотрудника компании T-Mobile (США), за совместную работу, направленную на защиту клиентов от атак в ходе проверки подлинности по протоколам NTLMv1 (NT LAN Manager версии 1) и LAN Manager (LM).

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×