Làm thế nào để kích hoạt tính năng xác thực NTLM 2

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:239869
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Trong lịch sử, Windows NT hỗ trợ hai biến thể của thách thức/phản ứng xác thực cho mạng logons:
 • LAN Manager (LM) thách thức/phản ứng
 • Windows NT thách thức/phản ứng (cũng được gọi là NTLM Phiên bản 1 thách thức/phản ứng)
Biến thể LM cho phép khả năng tương tác với các cơ sở đã được cài đặt Windows 95, Windows 98 và Windows 98 Second Edition khách hàng và máy chủ. NTLM cung cấp cải tiến an ninh cho các kết nối giữa khách hàng Windows NT và các máy chủ. Windows NT cũng hỗ trợ NTLM phiên security mechanism mà cung cấp thông báo bảo mật (mã hóa) và toàn vẹn (ký).

Cải thiện gần đây trong máy tính phần cứng và phần mềm các thuật toán đã thực hiện những giao thức này dễ bị tấn công được công bố rộng rãi cho Lấy mật khẩu người dùng. Trong nỗ lực liên tục để cung cấp an toàn hơn sản phẩm cho khách hàng của mình, Microsoft đã phát triển một nâng cao, được gọi là NTLM Phiên bản 2, mà cải thiện đáng kể cả xác thực và phiên cơ chế bảo mật. NTLM 2 đã có sẵn cho Windows NT 4.0 từ dịch vụ Pack 4 (SP4) được phát hành, và nó hỗ trợ nguyên bản Windows 2000. Bạn có thể thêm hỗ trợ NTLM 2 Windows 98 bằng cách cài đặt tiện ích mở rộng khách hàng thư mục hoạt động.

Sau khi bạn nâng cấp tất cả máy tính dựa vào Windows 95, Windows 98, Windows 98 Second Edition, và Windows NT 4.0, bạn rất có thể cải thiện an ninh của tổ chức bạn bởi cấu hình khách hàng, máy chủ, và bộ điều khiển vùng để sử dụng chỉ NTLM 2 (không LM hoặc NTLM).
THÔNG TIN THÊM
Để thêm thông tin về cài đặt mở rộng khách hàng thư mục hoạt động thích hợp, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
288358Làm thế nào để cài đặt phần mở rộng Active Directory khách hàng
Khi bạn cài đặt hoạt động thư mục khách hàng tiện ích mở rộng trên một máy tính đang chạy Windows 98, các tệp hệ thống hỗ trợ NTLM 2 cũng tự động được cài đặt. Những tập tin này là Secur32.dll, Msnp32.dll, Vredir.vxd, và Vnetsup.vxd. Nếu bạn loại bỏ hoạt động thư mục khách hàng Extension, NTLM 2 hệ thống tập tin được không xóa bởi vì các tập tin cung cấp chức năng tăng cường an ninh và bảo mật liên quan đến sửa chữa.

Theo mặc định, NTLM 2 phiên làm việc mật mã hóa là bị giới hạn đến một phím dài 56 bit. Tùy chọn hỗ trợ 128-bit phím tự động cài đặt nếu hệ thống đáp ứng Hoa Kỳ xuất khẩu quy định. Để kích hoạt tính năng 128-bit NTLM 2 phiên hỗ trợ bảo mật, bạn phải cài đặt Microsoft Internet Explorer 4.x hoặc 5 và nâng cấp lên 128-bit secure hỗ trợ kết nối trước khi cài đặt phần mở rộng hoạt động thư mục khách hàng.

Để kiểm tra phiên bản cài đặt của bạn:
 1. Sử dụng Windows Explorer để xác định vị trí tệp Secur32.dll trong cặp %SystemRoot%\System.
 2. Nhấp chuột phải vào tệp, và sau đó nhấp vào Thuộc tính.
 3. Bấm vào các Phiên bản tab. Các mô tả cho 56-bit phiên bản là "Dịch vụ bảo mật Microsoft Win32 (Phiên bản xuất khẩu)." Các mô tả cho 128-bit phiên bản là "Microsoft Win32 Security Services (Mỹ và Canada Only)."
Trước khi bạn kích hoạt tính năng xác thực NTLM 2 cho Windows 98 khách hàng, kiểm chứng rằng tất cả các điều khiển vùng cho người dùng đã đăng nhập vào mạng của bạn từ các khách hàng đang chạy Windows NT 4.0 Service Pack 4 hoặc cao hơn. (Các bộ điều khiển vùng có thể chạy Windows NT 4.0 Service Pack 6 Nếu máy khách và máy chủ được gia nhập vào tên miền khác nhau.) Không có cấu hình bộ điều khiển tên miền là cần thiết để hỗ trợ NTLM 2. Bạn phải cấu hình bộ điều khiển vùng chỉ để vô hiệu hoá hỗ trợ NTLM 1 hoặc LM xác thực.Để có thêm thông tin về sự khác biệt giữa các phiên bản giao thức và tầm quan trọng của việc nâng cấp để sử dụng chỉ NTLM 2, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
147706Làm thế nào để vô hiệu hoá LM xác thực trên Windows NT

Cho phép NTLM 2 cho Windows 95, Windows 98, hoặc Windows 98 Second Edition khách hàng

Quan trọng Phần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để chỉnh sửa registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows

Để kích hoạt tính năng Windows 95, Windows 98 hay Windows 98 Second Edition client cho NTLM 2 xác thực, cài đặt thư mục Dịch vụ khách hàng. Để kích hoạt NTLM 2 trên máy khách, hãy làm theo các bước sau:
 1. Bắt đầu Registry Editor (Regedit.exe).
 2. Xác định vị trí và Click vào khóa sau trong registry:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
 3. Tạo một khóa registry LSA trong khóa sổ đăng ký được liệt kê ở trên.
 4. Trên các Chỉnh sửa trình đơn, nhấp vào Thêm giá trị, và sau đó thêm giá trị đăng ký sau đây:
  Giá trị tên: LMCompatibility
  Data Type: REG_DWORD
  Giá trị: 3
  Phạm vi hợp lệ: 0,3
  Mô tả: Tham số này xác định phương thức xác thực và an ninh phiên được sử dụng cho mạng logons. Nó không ảnh hưởng đến tương tác logons.
  • Cấp 0 - gửi cho LM và NTLM phản ứng; không bao giờ sử dụng NTLM 2 phiên giao dịch bảo mật. Khách hàng sẽ sử dụng LM và NTLM xác thực, và không bao giờ sử dụng NTLM 2 phiên an ninh; bộ kiểm soát miền chấp nhận LM, NTLM, và NTLM 2 xác thực.
  • Level 3 - gửi NTLM 2 phản ứng chỉ. Khách hàng sẽ sử dụng NTLM 2 xác thực và sử dụng NTLM 2 phiên bảo nếu máy chủ hỗ trợ nó; bộ kiểm soát miền chấp nhận LM, NTLM, và NTLM 2 xác thực.
  Chú ý Để kích hoạt tính năng NTLM 2 cho Windows 95 khách hàng, cài đặt phân phối Tập tin hệ thống (DFS) Client, WinSock 2.0 Update, và Microsoft DUN 1.3 cho Windows năm 2000.

 5. Thoát khỏi Registry Editor.

Chú ý Đối với Windows NT 4.0 và Windows 2000 khóa sổ đăng ký là LMCompatibilityLevel, và cho Windows 95 và Windows 98 máy vi tính, điều quan trọng registery là LMCompatibility.

Để tham khảo, đầy đủ các giá trị cho các LMCompatibilityLevel giá trị được hỗ trợ bởi Windows NT 4.0 và Windows 2000 bao gồm:
 • Cấp 0 - gửi cho LM và NTLM phản ứng; không bao giờ sử dụng NTLM 2 phiên giao dịch bảo mật. Khách hàng sử dụng LM và NTLM xác thực, và không bao giờ sử dụng NTLM 2 Phiên làm việc an ninh; bộ kiểm soát miền chấp nhận LM, NTLM, và NTLM 2 xác thực.
 • Cấp độ 1 - sử dụng NTLM 2 phiên bảo mật nếu thương lượng. Khách hàng sử dụng LM và NTLM xác thực, và sử dụng NTLM 2 phiên bảo mật nếu các máy chủ hỗ trợ nó; bộ kiểm soát miền chấp nhận LM, NTLM, và NTLM 2 xác thực.
 • Tầng 2 - gửi NTLM phản ứng chỉ. Khách hàng sử dụng chỉ NTLM xác thực, và sử dụng NTLM 2 phiên bảo mật nếu máy chủ hỗ trợ nó; bộ kiểm soát miền chấp nhận LM, NTLM, và NTLM 2 xác thực.
 • Level 3 - gửi NTLM 2 phản ứng chỉ. Khách hàng sử dụng NTLM 2 xác thực, và sử dụng NTLM 2 phiên bảo mật nếu máy chủ hỗ trợ nó; bộ kiểm soát miền chấp nhận LM, NTLM, và NTLM 2 xác thực.
 • Cấp độ 4 - bộ kiểm soát miền từ chối LM hồi đáp. Máy khách sử dụng NTLM xác thực, và sử dụng NTLM 2 phiên bảo mật nếu máy chủ hỗ trợ nó; bộ kiểm soát miền từ chối LM xác thực (có nghĩa là, họ chấp nhận NTLM và NTLM 2).
 • Cấp độ 5 - tên miền bộ điều khiển từ chối LM và phản ứng NTLM (chấp nhận chỉ NTLM 2). Khách hàng sử dụng NTLM 2 xác thực, sử dụng NTLM 2 Phiên bảo mật nếu máy chủ hỗ trợ nó; bộ kiểm soát miền từ chối NTLM và LM xác thực (họ chấp nhận chỉ NTLM 2).
Một máy tính khách hàng chỉ có thể sử dụng một giao thức trong nói chuyện với tất cả các máy chủ. Bạn không thể cấu hình nó, ví dụ, sử dụng NTLM v2 để kết nối với máy chủ dựa trên Windows 2000 và sau đó sử dụng NTLM để kết nối với máy chủ khác. Điều này là do thiết kế.

Bạn có thể cấu hình bảo mật tối thiểu được sử dụng cho các chương trình sử dụng nhà cung cấp hỗ trợ an ninh NTLM (SSP) bằng cách sửa đổi các khóa registry sau đây. Các giá trị này là phụ thuộc vào LMCompatibilityLevel giá trị:
 1. Bắt đầu Registry Editor (Regedit.exe).
 2. Xác định vị trí các khóa sau trong registry:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
 3. Trên các Chỉnh sửa trình đơn, nhấp vào Thêm giá trị, và sau đó thêm giá trị đăng ký sau đây:
  Giá trị tên: NtlmMinClientSec
  Kiểu dữ liệu: REG_WORD
  Giá trị: một trong những giá trị dưới đây:
  • 0x00000010-thư toàn vẹn
  • 0x00000020-thông báo bảo mật
  • 0x00080000 - NTLM 2 phiên an ninh
  • mã hóa 0x20000000-128-bit
  • mã hóa 0x80000000-56-bit

 4. Thoát khỏi Registry Editor.
Nếu một chương trình khách hàng/máy chủ sử dụng NTLM SSP (hoặc sử dụng an toàn Từ xa thủ tục gọi [RPC], sử dụng NTLM SSP) để cung cấp các phiên làm việc bảo mật cho kết nối, loại hình an ninh phiên làm việc sử dụng được xác định như sau:
 • Khách hàng yêu cầu bất kỳ hoặc tất cả các mục sau đây: thư toàn vẹn, thông báo bảo mật, NTLM 2 phiên an ninh và 128-bit hoặc mã hóa 56-bit.
 • Hệ phục vụ phản hồi, chỉ ra những mặt hàng của các yêu cầu thiết nó muốn.
 • Các thiết lập kết quả được cho là đã "thương lượng."
Bạn có thể sử dụng giá trị NtlmMinClientSec để làm cho khách hàng/máy chủ các kết nối đến một trong hai đàm phán một chất lượng nhất định của phiên họp bảo mật hoặc không thành công. Tuy nhiên, bạn nên lưu ý các mục sau đây:
 • Nếu bạn sử dụng 0x00000010 cho giá trị NtlmMinClientSec, các kết nối không thành công, nếu tính toàn vẹn của tin nhắn không thương lượng.
 • Nếu bạn sử dụng 0x00000020 cho giá trị NtlmMinClientSec, các kết nối không thành công, nếu thông báo bảo mật là không thương lượng.
 • Nếu bạn sử dụng 0x00080000 cho giá trị NtlmMinClientSec, các kết nối không thành công, nếu NTLM 2 phiên an ninh không phải là thương lượng.
 • Nếu bạn sử dụng 0x20000000 cho giá trị NtlmMinClientSec, các kết nối không thành công, nếu tính bảo mật thư là sử dụng nhưng 128-bit mật mã hóa không thương lượng.
NTLMv2

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 239869 - Xem lại Lần cuối: 12/05/2015 15:35:22 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Advanced Server, Microsoft Windows 95

 • kbnosurvey kbarchive kbenv kbhowto kbmt KB239869 KbMtvi
Phản hồi