Povolenie overovania s použitím protokolu NTLM 2

Dôležité upozornenie: Tento článok obsahuje informácie o úprave databázy Registry. Databázu Registry pred vykonaním úprav zálohujte. Mali by ste tiež vedieť, ako databázu Registry obnoviť v prípade, že sa vyskytne problém. Ďalšie informácie o zálohovaní, obnovení a úprave databázy Registry získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
256986 Popis databázy Registry systému Microsoft Windows

S U H R N

Z historického hľadiska systém Windows NT podporuje dva varianty overenia výzvy/odpovede pri prihlásení na sieť:
 • Výzva/odpoveď nástroja LAN Manager (LM)
 • Výzva/odpoveď systému Windows NT (známa aj ako výzva/odpoveď NTLM verzia 1)
Variant LM umožňuje interoperabilitu s nainštalovanými klientmi a servermi s operačnými systémami Windows 95, Windows 98 a Windows 98 Second Edition. Protokol NTLM poskytuje vylepšené zabezpečenie pripojení medzi klientmi a servermi s operačným systémom Windows NT. Systém Windows NT tiež podporuje mechanizmus zabezpečenia relácie protokolu NTLM, ktorý zabezpečuje dôvernosť (šifrovanie) a integritu (podpisovanie) správ.

Najnovšie vylepšenia počítačového hardvéru a softvérových algoritmov spôsobili, že tieto protokoly sú nedostatočne zabezpečené voči útokom zameraným na získanie používateľských hesiel. Vo svojom neustálom úsilí o dodanie bezpečnejších produktov svojim klientom spoločnosť Microsoft vyvinula vylepšenie s označením protokol NTLM verzia 2, ktoré významne zlepšuje mechanizmy overovania aj zabezpečenia relácie. Verzia NTLM 2 je k dispozícii pre systém Windows NT 4.0 od vydania balíka Service Pack 4 (SP4) a je natívne podporovaná aj v systéme Windows 2000. Do systému Windows 98 môžete podporu pre verziu NTLM 2 pridať nainštalovaním klientskych rozšírení služby Active Directory.

Po inovácii všetkých počítačov so systémami Windows 95, Windows 98, Windows 96 Second Edition a Windows NT 4.0 môžete výrazne zvýšiť zabezpečenie organizácie konfiguráciou klientov, serverov a radičov domén tak, aby využívali iba verziu NTLM 2 (nie verzie LM alebo NTLM).

D A L S I E I N F O R M A C I E

Ďalšie informácie o inštalácii vhodného klientskeho rozšírenia služby Active Directory nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na nasledovné číslo článku:

288358 Inštalácia klientskeho rozšírenia služby Active Directory (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine)

Pri inštalácii klientskeho rozšírenia služby Active Directory na počítači so systémom Windows 98 sa automaticky nainštalujú aj systémové súbory, ktoré poskytujú podporu pre verziu NTLM 2. Sú to súbory Secur32.dll, Msnp32.dll, Vredir.vxd a Vnetsup.vxd. Ak klientske rozšírenie služby Active Directory odstránite, systémové súbory verzie NTLM 2 sa neodstránia, pretože poskytujú funkciu zvýšeného zabezpečenia, ako aj opravy týkajúce sa zabezpečenia.Ako predvolené je nastavené šifrovanie zabezpečenia relácie verzie NTLM 2 obmedzené na maximálnu dĺžku kľúča 56 bitov. Voliteľná podpora pre 128-bitové kľúče sa automaticky nainštaluje, ak systém spĺňa obmedzenia USA pre export. Aby bolo možné povoliť podporu zabezpečenia relácie verzie NTLM 2 na 128 bitov, musíte pred inštalovaním klientskeho rozšírenia služby Active Directory nainštalovať program Microsoft Explorer, verzia 4 x alebo 5, a inovovať ho na 128-bitové zabezpečené pripojenie.Overenie nainštalovanej verzie:
 1. Použite program Prieskumník na vyhľadanie súboru Secur32.dll v priečinku systému %SystemRoot%\System.
 2. Pravým tlačidlom myši kliknite na súbor a potom kliknite na položku Vlastnosti.
 3. Kliknite na kartu Verzia. Popis 56-bitovej verzie je Microsoft Win32 Security Services (Export Version). Popis 128-bitovej verzie je Microsoft Win32 Security Services (US and Canada Only).

Pred povolením overovania pomocou verzie NTLM 2 pre klientov so systémom Windows 98 si overte, že všetky radiče domén používateľov, ktorí sa prihlasujú do siete z týchto klientov, majú zavedený systém Windows NT 4.0 Service Pack 4 alebo novšiu verziu. (Radiče domén môžu spustiť balík Windows NT 4.0 Service Pack 6, ak sú klient a server pripojené k rôznym doménam). Na podporu verzie NTLM 2 sa nevyžaduje konfigurácia radiča domény. Radič domény je potrebné nakonfigurovať iba na zakázanie podpory overovania prostredníctvom verzie NTLM 1 alebo LM.Ďalšie informácie o rozdieloch medzi týmito variantmi protokolov a dôležitosti inovácie na výhradné používanie verzie NTLM 2 nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na nasledujúce číslo článku:

147706 Zakázanie overovania pomocou protokolu LM v prostredí so systémom Windows NT (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine)

Povolenie protokolu NTLM 2 pre klientov so systémami Windows 95, Windows 98 alebo Windows 98 Second Edition

Upozornenie: Ak Editor databázy Registry použijete nesprávne, môžete spôsobiť vážne problémy, ktoré môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že problémy, ktoré vzniknú v dôsledku nesprávneho použitia Editora databázy Registry, budete môcť vyriešiť. Editor databázy Registry používate na vlastné riziko.
Na povolenie overovania pomocou protokolu NTLM 2 pre klientov so systémami Windows 95, Windows 98 alebo Windows 98 Second Edition je potrebné nainštalovať klienta služby Directory Services. Aktivovanie protokolu NTLM 2 v klientovi:
 1. Spustite Editor databázy Registry (Regedit32.exe).
 2. Nájdite v databáze Registry nasledujúci kľúč a kliknite naň:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
 3. Vo vyššie uvedenom kľúči databázy Registry vytvorte kľúč LSA.
 4. V ponuke Úpravy kliknite na položku Pridať hodnotu a pridajte do databázy Registry nasledujúcu hodnotu:
  Názov hodnoty: LMCompatibility
  Typ údajov: REG_DWORD
  Hodnota: 3
  Platný rozsah: 0,3
  Popis: Tento parameter špecifikuje použitie režimu overenia a zabezpečenia relácie pre prihlásenia na sieť. Neovplyvňuje interaktívne prihlásenia.
  • Úroveň 0 - Poslať odpoveď LM a NTLM, nikdy nepoužívať zabezpečenie relácie NTLM 2. Klienti budú využívať overovanie pomocou protokolov LM a NTLM, nikdy nebudú využívať zabezpečenie relácie pomocou protokolu NTLM 2, radiče domény akceptujú overovanie pomocou protokolov LM, NTLM a NTLM 2.
  • Úroveň 3 - Poslať iba odpoveď NTLM 2. Klienti budú využívať overovanie a aj zabezpečenie relácie pomocou protokolu NTLM 2, ak ho server podporuje, radiče domény budú akceptovať overovanie pomocou protokolov LM, NTLM a NTLM 2.
  Poznámka. Aby bolo možné povoliť protokol NTLM 2 u klientov so systémami Windows 95, nainštalujte klienta systému súborov DSF, WinSock 2.0 Update a Microsoft DUN 1.3 pre systém Windows 2000.

 5. Zatvorte Editor databázy Registry.

Poznámka. Pre systémy Windows NT 4.0 a Windows 2000 je kľúčom databázy Registry LMCompatibilityLevel a pre počítače so systémami Windows 95 a Windows 98 je kľúčom databázy Registry LMCompatibility.

Úplný rozsah hodnôt kľúča LMCompatibilityLevel, ktoré podporujú systémy Windows NT 4.0 a Windows 2000, zahŕňa:
 • Úroveň 0 - Poslať odpoveď LM a NTLM, nikdy nepoužívať zabezpečenie relácie NTLM 2. Klienti využívajú overovanie pomocou protokolov LM a NTLM, nikdy nevyužívajú zabezpečenie relácie pomocou protokolu NTLM 2, radiče domény akceptujú overovanie pomocou protokolov LM, NTLM a NTLM 2.
 • Úroveň 1 - Použiť zabezpečenie relácie NTLM 2, ak je dohodnuté. Klienti využívajú overovanie pomocou protokolov LM a NTLM a používajú zabezpečenie relácie NTLM 2 v prípade, že ho server podporuje, radiče domény akceptujú overovanie pomocou protokolov LM, NTLM a NTLM 2.
 • Úroveň 2 - Poslať iba odpoveď NTLM. Klienti využívajú overovanie pomocou protokolu NTLM a používajú zabezpečenie relácie NTLM 2 v prípade, že ho server podporuje, radiče domény akceptujú overovanie pomocou protokolov LM, NTLM a NTLM 2.
 • Úroveň 3 - Poslať iba odpoveď NTLM 2. Klienti využívajú overovanie a aj zabezpečenie relácie pomocou protokolu NTLM 2, ak ho server podporuje, radiče domény budú akceptovať overovanie pomocou protokolov LM, NTLM a NTLM 2.
 • Úroveň 4 - Radiče domény odmietajú odpovede LM. Klienti využívajú overovanie pomocou protokolu NTLM a zabezpečenie relácie pomocou protokolu NTLM 2, ak ho server podporuje, radiče domény odmietajú overovanie pomocou protokolu LM (to znamená, že akceptujú protokoly NTLM a NTLM2).
 • Úroveň 5 - Radiče domény odmietajú odpovede pomocou protokolov LM a NTLM (akceptujú iba protokol NTLM 2). Klienti využívajú overovanie a zabezpečenie relácie pomocou protokolu NTLM 2, ak ho server podporuje, radiče domény odmietajú overovanie pomocou protokolov NTLM a LM (akceptujú iba protokol NTLM 2).
Klientsky počítač môže na komunikáciu so všetkými servermi používať iba jeden protokol. Nemôžete ho nakonfigurovať napríklad tak, aby sa protokol NTLM 2 používal na pripojenie k serverom so systémom Windows 2000 a protokol NTLM na pripojenie k ostatným serverom. Toto je nastavenie výrobcu.

Môžete nakonfigurovať minimálne zabezpečenie, ktoré sa používa pre programy využívajúce protokol NTLM poskytovateľa zabezpečenia podpory (SSP) prostredníctvom zmeny nasledujúceho kľúča databázy Registry: Tieto hodnoty závisia od hodnoty LMCompatibilityLevel:
 1. Spustite Editor databázy Registry (Regedit32.exe).
 2. V databáze Registry vyhľadajte nasledujúci kľúč:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
 3. V ponuke Úpravy kliknite na položku Pridať hodnotu a pridajte do databázy Registry nasledujúcu hodnotu:
  Názov hodnoty: NtlmMinClientSec
  Typ údajov: REG_WORD
  Hodnota: jedna z nižšie uvedených hodnôt:
  • 0x00000010- Integrita správ
  • 0x00000020- Dôvernosť správ
  • 0x00080000- Zabezpečenie relácie pomocou protokolu NTLM 2
  • 0x20000000- 128-bitové šifrovanie
  • 0x80000000- 56-bitové šifrovanie

 4. Zatvorte Editor databázy Registry.
Ak program klienta/servera využíva protokol NTLM SSP (alebo využíva zabezpečené vzdialené volania procedúr [RPC, Remote Procedure Call], ktoré využíva protokol NTLM SSP) na zabezpečenie relácie pri pripojení, potom by mal byť využívaný nasledovný typ zabezpečenia relácie:
 • Klient vyžaduje niektoré alebo aj všetky nasledujúce položky: integrita správ, dôvernosť správ, zabezpečenie relácie pomocou protokolu NTLM 2 a 128-bitové a 56-bitové šifrovanie.
 • Server odpovedá a indikuje, ktoré položky požadovanej množiny vyžaduje.
 • Výsledná množina sa označuje ako dohodnutá.
Hodnota NtlmMinClientSec sa môže použiť na to, aby mali pripojenia klient/server dohodnutú určitú kvalitu zabezpečenia relácie alebo boli neúspešné. Mali by ste si však všimnúť nasledovné položky:
 • Ak ako hodnotu NtlmMinClientSec použijete 0x00000010, pripojenie nebude úspešné, ak nie je dohodnutá integrita správ.
 • Ak ako hodnotu NtlmMinClientSec použijete 0x00000020, pripojenie nebude úspešné, ak nie je dohodnutá dôvernosť správ.
 • Ak ako hodnotu NtlmMinClientSec použijete 0x00080000, pripojenie nebude úspešné, ak nie je dohodnuté zabezpečenie relácie pomocou protokolu NTLM 2.
 • Ak ako hodnotu NtlmMinClientSec použijete 0x20000000, pripojenie nebude úspešné, ak sa využíva dôvernosť správ, ale nie je dohodnuté 128-bitové šifrovanie.
Vlastnosti

ID článku: 239869 – Posledná kontrola: 7. 2. 2006 – Revízia: 1

Pripomienky