NTLM 2 kimlik doğrulamasını etkinleştirme

  • Makale

Bu makalede NTLM 2 kimlik doğrulamasını etkinleştirme açıklanmaktadır.

Şunlar için geçerlidir: Windows 10 - tüm sürümler
Özgün KB numarası: 239869

Özet

Geçmişte, Windows NT ağ oturum açma işlemleri için sınama/yanıt kimlik doğrulamasının iki çeşidini destekler:

  • LAN Manager (LM) sınaması/yanıtı
  • Windows NT sınama/yanıt (NTLM sürüm 1 sınaması/yanıtı olarak da bilinir) LM değişkeni, yüklü Windows 95, Windows 98 ve Windows 98 İkinci Sürüm istemcileri ve sunucularıyla birlikte çalışabilirlik sağlar. NTLM, Windows NT istemciler ve sunucular arasındaki bağlantılar için gelişmiş güvenlik sağlar. Windows NT, ileti gizliliği (şifreleme) ve bütünlük (imzalama) sağlayan NTLM oturum güvenlik mekanizmasını da destekler.

Bilgisayar donanım ve yazılım algoritmalarında yapılan son geliştirmeler, bu protokolleri kullanıcı parolaları almak için yaygın olarak yayımlanan saldırılara karşı savunmasız hale getirmektedir. Microsoft, müşterilerine daha güvenli ürünler sunmak için devam eden çalışmalarında NTLM sürüm 2 olarak adlandırılan ve hem kimlik doğrulaması hem de oturum güvenliği mekanizmalarını önemli ölçüde geliştiren bir geliştirme geliştirmiştir. NTLM 2, Service Pack 4 (SP4) yayımlandıktan sonra Windows NT 4.0 için kullanılabilir ve Windows 2000'de yerel olarak desteklenir. Active Directory İstemci Uzantıları'nı yükleyerek Windows 98'e NTLM 2 desteği ekleyebilirsiniz.

Windows 95, Windows 98, Windows 98 İkinci Sürüm ve Windows NT 4.0'ı temel alan tüm bilgisayarları yükseltdikten sonra, istemcileri, sunucuları ve etki alanı denetleyicilerini yalnızca NTLM 2 kullanacak şekilde yapılandırarak (LM veya NTLM'yi değil) kuruluşunuzun güvenliğini büyük ölçüde geliştirebilirsiniz.

Daha fazla bilgi

Windows 98 çalıştıran bir bilgisayara Active Directory İstemci Uzantıları yüklediğinizde, NTLM 2 desteği sağlayan sistem dosyaları da otomatik olarak yüklenir. Bu dosyalar Secur32.dll, Msnp32.dll, Vredir.vxd ve Vnetsup.vxd dosyalarıdır. Active Directory İstemci Uzantısı'nı kaldırırsanız, dosyalar hem gelişmiş güvenlik işlevselliği hem de güvenlikle ilgili düzeltmeler sağladığından NTLM 2 sistem dosyaları kaldırılmaz.

Varsayılan olarak, NTLM 2 oturum güvenliği şifrelemesi en fazla 56 bit anahtar uzunluğuyla sınırlıdır. Sistem Birleşik Devletler dışarı aktarma düzenlemelerine uygunsa, 128 bit anahtarlar için isteğe bağlı destek otomatik olarak yüklenir. 128 bit NTLM 2 oturum güvenlik desteğini etkinleştirmek için, Active Directory İstemci Uzantısı'nı yüklemeden önce Microsoft Internet Explorer 4.x veya 5'i yüklemeniz ve 128 bit güvenli bağlantı desteğine yükseltmeniz gerekir.

Yükleme sürümünüzü doğrulamak için:

  1. %SystemRoot%\System klasöründeki Secur32.dll dosyasını bulmak için Windows Gezgini'ni kullanın.
  2. Dosyaya sağ tıklayın ve ardından Özellikler'e tıklayın.
  3. Sürüm sekmesine tıklayın. 56 bit sürümün açıklaması "Microsoft Win32 Güvenlik Hizmetleri (Dışarı Aktarma Sürümü)." 128 bit sürümün açıklaması "Microsoft Win32 Güvenlik Hizmetleri (Yalnızca ABD ve Kanada).

Windows 98 istemcileri için NTLM 2 kimlik doğrulamasını etkinleştirmeden önce, bu istemcilerden ağınızda oturum açan kullanıcıların tüm etki alanı denetleyicilerinin Windows NT 4.0 Service Pack 4 veya üzerini çalıştırdığını doğrulayın. (İstemci ve sunucu farklı etki alanlarına katılmışsa etki alanı denetleyicileri Windows NT 4.0 Service Pack 6 çalıştırabilir.) NTLM 2'yi desteklemek için etki alanı denetleyicisi yapılandırması gerekmez. Etki alanı denetleyicilerini yalnızca NTLM 1 veya LM kimlik doğrulaması desteğini devre dışı bırakmak için yapılandırmanız gerekir.

Windows 95, Windows 98 veya Windows 98 İkinci Sürüm istemcileri için NTLM 2'yi etkinleştirme

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
322756 Windows'da kayıt defterini yedekleme ve geri yükleme

NTLM 2 kimlik doğrulaması için Windows 95, Windows 98 veya Windows 98 İkinci Sürüm istemcisini etkinleştirmek için Dizin Hizmetleri İstemcisi'ni yükleyin. İstemcide NTLM 2'yi etkinleştirmek için şu adımları izleyin:

  1. Kayıt Defteri Düzenleyici (Regedit.exe) başlatın.

  2. Kayıt defterinde aşağıdaki anahtarı bulun ve tıklayın: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Yukarıda listelenen kayıt defteri anahtarında bir LSA kayıt defteri anahtarı oluşturun.

  4. Düzenle menüsünde, Değer Ekle'ye tıklayın ve sonra da aşağıdaki kayıt defteri değerini ekleyin:
    Değer Adı: LMCompatibility
    Veri Türü: REG_DWORD
    Değer: 3
    Geçerli Aralık: 0,3
    Açıklama: Bu parametre, ağ oturum açma işlemleri için kullanılacak kimlik doğrulama ve oturum güvenliği modunu belirtir. Etkileşimli oturum açmaları etkilemez.

    • Düzey 0 - LM ve NTLM yanıtı gönderme; NTLM 2 oturum güvenliğini hiçbir zaman kullanmayın. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve hiçbir zaman NTLM 2 oturum güvenliğini kullanmaz; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulamalarını kabul eder.

    • Düzey 3 - Yalnızca NTLM 2 yanıtı gönder. İstemciler NTLM 2 kimlik doğrulamasını ve sunucu destekliyorsa NTLM 2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulamalarını kabul eder.

    Not

    Windows 95 İstemcileri için NTLM 2'yi etkinleştirmek için Dağıtılmış Dosya Sistemi (DFS) İstemcisi, WinSock 2.0 Update ve Windows 2000 için Microsoft DUN 1.3'ü yükleyin.

  5. Kayıt Defteri Düzenleyicisi'nden çıkın.

Not

Windows NT 4.0 ve Windows 2000 için kayıt defteri anahtarı LMCompatibilityLevel, Windows 95 ve Windows 98 tabanlı bilgisayarlar için ise kayıt anahtarı LM Uyumluluğu'dur.

Başvuru için, Windows NT 4.0 ve Windows 2000 tarafından desteklenen LMCompatibilityLevel değerinin tam değer aralığı şunlardır:

  • Düzey 0 - LM ve NTLM yanıtı gönderme; NTLM 2 oturum güvenliğini hiçbir zaman kullanmayın. İstemciler LM ve NTLM kimlik doğrulaması kullanır ve hiçbir zaman NTLM 2 oturum güvenliğini kullanmaz; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulamalarını kabul eder.
  • Düzey 1 - Anlaşmaya varıldıysa NTLM 2 oturum güvenliğini kullanın. İstemciler LM ve NTLM kimlik doğrulamasını ve sunucu destekliyorsa NTLM 2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulamalarını kabul eder.
  • Düzey 2 - Yalnızca NTLM yanıtı gönder. İstemciler yalnızca NTLM kimlik doğrulamasını ve sunucu destekliyorsa NTLM 2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulamalarını kabul eder.
  • Düzey 3 - Yalnızca NTLM 2 yanıtı gönder. İstemciler NTLM 2 kimlik doğrulamasını ve sunucu destekliyorsa NTLM 2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM, NTLM ve NTLM 2 kimlik doğrulamalarını kabul eder.
  • Düzey 4 - Etki alanı denetleyicileri LM yanıtlarını reddeder. İstemciler NTLM kimlik doğrulamasını ve sunucu destekliyorsa NTLM 2 oturum güvenliğini kullanır; etki alanı denetleyicileri LM kimlik doğrulamayı reddeder (yani NTLM ve NTLM 2'yi kabul ederler).
  • Düzey 5 - Etki alanı denetleyicileri LM ve NTLM yanıtlarını reddeder (yalnızca NTLM 2'yi kabul edin). İstemciler NTLM 2 kimlik doğrulamasını kullanır, sunucu destekliyorsa NTLM 2 oturum güvenliğini kullanır; etki alanı denetleyicileri NTLM ve LM kimlik doğrulamayı reddeder (yalnızca NTLM 2'yi kabul eder). İstemci bilgisayar, tüm sunuculara konuşmada yalnızca bir protokol kullanabilir. Örneğin, Windows 2000 tabanlı sunuculara bağlanmak için NTLM v2'yi ve ardından ntlm kullanarak diğer sunuculara bağlanacak şekilde yapılandıramazsınız. Bu, tasarımdan kaynaklanır.

Aşağıdaki kayıt defteri anahtarını değiştirerek NTLM Güvenlik Destek Sağlayıcısı 'nı (SSP) kullanan programlar için kullanılan en düşük güvenliği yapılandırabilirsiniz. Bu değerler LMCompatibilityLevel değerine bağlıdır:

  1. Kayıt Defteri Düzenleyici (Regedit.exe) başlatın.

  2. Kayıt defterinde aşağıdaki anahtarı bulun: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Düzenle menüsünde, Değer Ekle'ye tıklayın ve sonra da aşağıdaki kayıt defteri değerini ekleyin:
    Değer Adı: NtlmMinClientSec
    Veri Türü: REG_WORD
    Değer: Aşağıdaki değerlerden biri:

    • 0x00000010- İleti bütünlüğü
    • 0x00000020- İleti gizliliği
    • 0x00080000- NTLM 2 oturum güvenliği
    • 0x20000000- 128 bit şifreleme
    • 0x80000000- 56 bit şifreleme

  4. Kayıt Defteri Düzenleyicisi'nden çıkın.

bir istemci/sunucu programı bir bağlantı için oturum güvenliği sağlamak üzere NTLM SSP kullanıyorsa (veya NTLM SSP kullanan güvenli Uzak Yordam Çağrısı [RPC] kullanıyorsa, kullanılacak oturum güvenliğinin türü aşağıdaki gibi belirlenir:

  • İstemci şu öğelerin herhangi birini veya tümünü ister: ileti bütünlüğü, ileti gizliliği, NTLM 2 oturum güvenliği ve 128 bit veya 56 bit şifreleme.
  • Sunucu yanıt verir ve istenen kümenin hangi öğelerini istediğini belirtir.
  • Sonuçta elde edilen kümenin "anlaşmaya varıldığı" söyleniyor.

İstemci/sunucu bağlantılarının belirli bir oturum güvenliği kalitesini belirlemesine veya başarılı olmamasına neden olması için NtlmMinClientSec değerini kullanabilirsiniz. Ancak aşağıdaki öğelere dikkat etmelisiniz:

  • NtlmMinClientSec değeri için 0x00000010 kullanırsanız, ileti bütünlüğü anlaşması yapılmazsa bağlantı başarılı olmaz.
  • NtlmMinClientSec değeri için 0x00000020 kullanırsanız, ileti gizliliği anlaşması yapılmazsa bağlantı başarılı olmaz.
  • NtlmMinClientSec değeri için 0x00080000 kullanırsanız, NTLM 2 oturum güvenliği anlaşması yapılmazsa bağlantı başarılı olmaz.
  • NtlmMinClientSec değeri için 0x20000000 kullanırsanız, ileti gizliliği kullanılıyorsa ancak 128 bit şifreleme anlaşması yapılmadıysa bağlantı başarılı olmaz.