Så här aktiverar du NTLM 2-autentisering

  • Artikel

Den här artikeln beskriver hur du aktiverar NTLM 2-autentisering.

Gäller för: Windows 10 – alla utgåvor
Ursprungligt KB-nummer: 239869

Sammanfattning

Tidigare har Windows NT stöd för två varianter av utmanings-/svarsautentisering för nätverksinloggningar:

  • LAN Manager(LM) utmaning/svar
  • Windows NT challenge/response (även kallat NTLM version 1 challenge/response) LM-varianten möjliggör samverkan med den installerade basen för Windows 95-, Windows 98- och Windows 98 Second Edition-klienter. NTLM ger förbättrad säkerhet för anslutningar mellan Windows NT-klienter och -servrar. Windows NT stöder också NTLM-sessionssäkerhetsmekanismen som tillhandahåller meddelandesekretess (kryptering) och integritet (signering).

De senaste förbättringarna av datormaskinvara och programvarualgoritmer har gjort dessa protokoll sårbara för allmänt publicerade attacker för att hämta användarlösenord. I sitt pågående arbete med att leverera säkrare produkter till sina kunder har Microsoft utvecklat en förbättring, som kallas NTLM version 2, som avsevärt förbättrar både autentiserings- och sessionssäkerhetsmekanismerna. NTLM 2 har varit tillgängligt för Windows NT 4.0 sedan Service Pack 4 (SP4) släpptes och stöds internt i Windows 2000. Du kan lägga till stöd för NTLM 2 i Windows 98 genom att installera Active Directory-klienttilläggen.

När du har uppgraderat alla datorer som är baserade på Windows 95, Windows 98, Windows 98 Second Edition och Windows NT 4.0 kan du avsevärt förbättra organisationens säkerhet genom att konfigurera klienter, servrar och domänkontrollanter att endast använda NTLM 2 (inte LM eller NTLM).

Mer information

När du installerar Active Directory-klienttillägg på en dator som kör Windows 98 installeras även systemfilerna som ger stöd för NTLM 2 automatiskt. Dessa filer är Secur32.dll, Msnp32.dll, Vredir.vxd och Vnetsup.vxd. Om du tar bort Active Directory-klienttillägget tas inte NTLM 2-systemfilerna bort eftersom filerna ger både förbättrade säkerhetsfunktioner och säkerhetsrelaterade korrigeringar.

Som standard är NTLM 2-sessionssäkerhetskryptering begränsad till en maximal nyckellängd på 56 bitar. Valfritt stöd för 128-bitarsnycklar installeras automatiskt om systemet uppfyller USA exportregler. Om du vill aktivera 128-bitars stöd för NTLM 2-sessionssäkerhet måste du installera Microsoft Internet Explorer 4.x eller 5 och uppgradera till 128-bitars stöd för säker anslutning innan du installerar Active Directory-klienttillägget.

Så här verifierar du installationsversionen:

  1. Använd Utforskaren i Windows för att hitta den Secur32.dll filen i mappen %SystemRoot%\System.
  2. Högerklicka på filen och klicka sedan på Egenskaper.
  3. Klicka på fliken Version . Beskrivningen för 56-bitarsversionen är "Microsoft Win32 Security Services (exportversion)." Beskrivningen för 128-bitarsversionen är "Microsoft Win32 Security Services (endast USA och Kanada)."

Innan du aktiverar NTLM 2-autentisering för Windows 98-klienter kontrollerar du att alla domänkontrollanter för användare som loggar in i nätverket från dessa klienter kör Windows NT 4.0 Service Pack 4 eller senare. (Domänkontrollanterna kan köra Windows NT 4.0 Service Pack 6 om klienten och servern är anslutna till olika domäner.) Ingen domänkontrollantkonfiguration krävs för att stödja NTLM 2. Du måste bara konfigurera domänkontrollanter för att inaktivera stöd för NTLM 1- eller LM-autentisering.

Aktivera NTLM 2 för Windows 95-, Windows 98- eller Windows 98 Second Edition-klienter

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Hur man säkerhetskopierar och återställer registret i Windows

Om du vill aktivera en Windows 95-, Windows 98- eller Windows 98 Second Edition-klient för NTLM 2-autentisering installerar du Directory Services-klienten. Följ dessa steg för att aktivera NTLM 2 på klienten:

  1. Starta registry Editor (Regedit.exe).

  2. Leta upp och klicka på följande nyckel i registret: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Skapa en LSA-registernyckel i registernyckeln som anges ovan.

  4. På menyn Redigera klickar du på Lägg till värde och lägger sedan till följande registervärde:
    Värdenamn: LMCompatibility
    Datatyp: REG_DWORD
    Värde: 3
    Giltigt intervall: 0,3
    Beskrivning: Den här parametern anger läget för autentisering och sessionssäkerhet som ska användas för nätverksinloggningar. Det påverkar inte interaktiva inloggningar.

    • Nivå 0 – Skicka LM- och NTLM-svar; använd aldrig NTLM 2-sessionssäkerhet. Klienter använder LM- och NTLM-autentisering och använder aldrig NTLM 2-sessionssäkerhet. domänkontrollanter accepterar LM-, NTLM- och NTLM 2-autentisering.

    • Nivå 3 – Skicka endast NTLM 2-svar. Klienter använder NTLM 2-autentisering och använder NTLM 2-sessionssäkerhet om servern stöder det. domänkontrollanter accepterar LM-, NTLM- och NTLM 2-autentisering.

    Obs!

    Om du vill aktivera NTLM 2 för Windows 95-klienter installerar du DFS-klienten (Distributed File System), WinSock 2.0 Update och Microsoft DUN 1.3 för Windows 2000.

  5. Avsluta Registereditorn.

Obs!

För Windows NT 4.0 och Windows 2000 är registernyckeln LMCompatibilityLevel, och för Windows 95- och Windows 98-baserade datorer är registernyckeln LMCompatibility.

Som referens omfattar det fullständiga intervallet med värden för LMCompatibilityLevel-värdet som stöds av Windows NT 4.0 och Windows 2000:

  • Nivå 0 – Skicka LM- och NTLM-svar; använd aldrig NTLM 2-sessionssäkerhet. Klienter använder LM- och NTLM-autentisering och använder aldrig NTLM 2-sessionssäkerhet. domänkontrollanter accepterar LM-, NTLM- och NTLM 2-autentisering.
  • Nivå 1 – Använd NTLM 2-sessionssäkerhet om det förhandlas. Klienter använder LM- och NTLM-autentisering och använder NTLM 2-sessionssäkerhet om servern stöder det; domänkontrollanter accepterar LM-, NTLM- och NTLM 2-autentisering.
  • Nivå 2 – Skicka endast NTLM-svar. Klienter använder endast NTLM-autentisering och använder NTLM 2-sessionssäkerhet om servern stöder det. domänkontrollanter accepterar LM-, NTLM- och NTLM 2-autentisering.
  • Nivå 3 – Skicka endast NTLM 2-svar. Klienter använder NTLM 2-autentisering och använder NTLM 2-sessionssäkerhet om servern stöder det; domänkontrollanter accepterar LM-, NTLM- och NTLM 2-autentisering.
  • Nivå 4 – Domänkontrollanter nekar LM-svar. Klienter använder NTLM-autentisering och använder NTLM 2-sessionssäkerhet om servern stöder det. domänkontrollanter nekar LM-autentisering (det vill säga de accepterar NTLM och NTLM 2).
  • Nivå 5 – Domänkontrollanter nekar LM- och NTLM-svar (accepterar endast NTLM 2). Klienter använder NTLM 2-autentisering, använder NTLM 2-sessionssäkerhet om servern stöder det; domänkontrollanter nekar NTLM- och LM-autentisering (de accepterar endast NTLM 2). En klientdator kan bara använda ett protokoll för att prata med alla servrar. Du kan till exempel inte konfigurera att använda NTLM v2 för att ansluta till Windows 2000-baserade servrar och sedan använda NTLM för att ansluta till andra servrar. Detta är avsiktligt.

Du kan konfigurera den minsta säkerhet som används för program som använder SSP (NTLM Security Support Provider) genom att ändra följande registernyckel. Dessa värden är beroende av värdet LMCompatibilityLevel:

  1. Starta registry Editor (Regedit.exe).

  2. Leta upp följande nyckel i registret: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. På menyn Redigera klickar du på Lägg till värde och lägger sedan till följande registervärde:
    Värdenamn: NtlmMinClientSec
    Datatyp: REG_WORD
    Värde: ett av värdena nedan:

    • 0x00000010 – Meddelandeintegritet
    • 0x00000020 – Meddelandesekretess
    • 0x00080000– NTLM 2-sessionssäkerhet
    • 0x20000000- 128-bitars kryptering
    • 0x80000000– 56-bitars kryptering

  4. Avsluta Registereditorn.

Om ett klient-/serverprogram använder NTLM SSP (eller använder säkert fjärrproceduranrop [RPC], som använder NTLM SSP) för att tillhandahålla sessionssäkerhet för en anslutning, bestäms typen av sessionssäkerhet som ska användas på följande sätt:

  • Klienten begär alla eller alla följande objekt: meddelandeintegritet, meddelandesekretess, NTLM 2-sessionssäkerhet och 128-bitars eller 56-bitars kryptering.
  • Servern svarar och anger vilka objekt i den begärda uppsättningen som den vill ha.
  • Den resulterande uppsättningen sägs ha "förhandlats".

Du kan använda värdet NtlmMinClientSec för att göra så att klient-/serveranslutningar antingen förhandlar om en viss kvalitet på sessionssäkerheten eller inte lyckas. Observera dock följande:

  • Om du använder 0x00000010 för värdet NtlmMinClientSec lyckas inte anslutningen om meddelandeintegriteten inte förhandlas.
  • Om du använder 0x00000020 för värdet NtlmMinClientSec lyckas inte anslutningen om meddelandesekretessen inte förhandlas.
  • Om du använder 0x00080000 för NtlmMinClientSec-värdet lyckas inte anslutningen om NTLM 2-sessionssäkerhet inte förhandlas.
  • Om du använder 0x20000000 för NtlmMinClientSec-värdet lyckas inte anslutningen om meddelandets konfidentialitet används men 128-bitarskryptering inte förhandlas.