简介
我们发现,详细信息和工具可以用来对 NT LAN Manager 1 版 (NTLMv1) 和 LAN Manager (LM) 网络身份验证进行攻击。计算机硬件和软件算法的改进使这些协议容易受到广泛发布的旨在获取用户凭据的攻击。此信息和可用工具集专门针对不执行 NTLMv2 身份验证的环境而设计。我们强烈鼓励客户对其环境进行评估并更新网络身份验证设置。所有受支持的 Microsoft 操作系统都提供 NTLMv2 身份验证功能。
主要会存在风险的是默认配置受到感染的系统,例如运行 Microsoft Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的系统。例如,在默认情况下,Windows XP 和 Windows Server 2003 都支持 NTLMv1 身份验证。
对于 Windows NT,其网络登录的质询响应身份验证支持两种选项:LAN Manager (LM) 质询响应和 Windows NT 质询响应(也称为 NTLM 1 版质询响应)。这两种选项均支持与已安装 Windows NT 4.0、Windows 95、Windows 98 和 Windows 98 Second Edition 的计算机的互操作性。
若要让我们为您修复此问题,请转到“帮我修复此问题”部分。
解决方案
为了降低此问题的风险,我们建议您对运行 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的环境进行配置,以允许仅使用 NTLMv2。为此,请手动将 LAN Manager 身份验证级别设置为 3 或更高,如此处所述。
对于 Windows XP 和 Windows Server 2003,Microsoft Fix it 解决方案可用于自动配置系统,以允许仅使用 NTLMv2。此方法还可以启用 NTLM 设置,以便用户充分利用身份验证扩展保护。
帮我修复此问题
本部分描述的 Fix it 解决方案不能取代任何安全更新。我们建议您总是安装最新的安全更新。但是,我们提供此修复解决方案作为某些情况下的替代方法。
适用于 Windows XP 的 Microsoft Fix it
若要启用或禁用此 Fix it 解决方案,请单击“启用”标题下的“Fix it”按钮或链接。单击“文件下载”对话框中的“运行”,然后按照 Fix it 向导中的步骤执行操作。
启用 |
---|
注意
-
该向导可能只有英文版本。但是自动修复功能同样适用于其他语言版本的 Windows。
-
如果操作的计算机中未出现此问题,则可以将自动修复功能保存至闪存驱动器或 CD,然后在出现此问题的计算机中运行该功能。
适用于 Windows Server 2003 的 Microsoft Fix it
若要启用或禁用此 Fix it 解决方案,请单击“启用”标题下的“Fix it”按钮或链接。单击“文件下载”对话框中的“运行”,然后按照 Fix it 向导中的步骤执行操作。
启用 |
---|
注意
-
该向导可能只有英文版本。但是自动修复功能同样适用于其他语言版本的 Windows。
-
如果操作的计算机中未出现此问题,则可以将自动修复功能保存至闪存驱动器或 CD,然后在出现此问题的计算机中运行该功能。
状态
Microsoft 已经确认“适用于”部分中列出的 Microsoft 产品存在此问题。
更多信息
常见问题
是否有关于 Windows 网络安全和 LAN Manager 身份验证级别的威胁和对策的更多信息?
有关威胁和对策的详细信息可在 Microsoft TechNet 的威胁和对策指南中找到。 有关 NTLM 版本配置的更多信息,请参阅 LmCompatibilityLevel。
导致问题的原因是什么?
在 2000 年 1 月之前,出口限制限制了加密协议的最大密钥长度。LM 和 NTLM 身份验证协议的开发时间均在 2000 年 1 月之前,因此,它们均受到了这些限制的影响。在 Windows XP 发布时,它被配置为确保可以与为 Windows 2000 和早期版本设计的身份验证环境保持后向兼容性。
我如何审查我的配置是否容易受到攻击?
如果 LMCompatibilityLevel 注册表设置被设置为小于三 (<3),则容易受此问题影响。
哪些 Windows 操作系统的默认配置会受到影响?
Windows NT4、Windows 2000、Windows XP 和 Windows Server 2003 对 LMCompatibilityLevel 的默认配置值均小于三 (<3)。
执行 NTLMv2 有哪些潜在风险?
所有受支持的 Windows 操作系统版本都支持 NTLMv2。Windows NT 4.0 SP6a 也支持 NTLMv2。因此,存在兼容性风险的可能性非常小。第三方传统实现或配置可能需要进行评估,以查看是否存在任何互操作性问题。进行重新配置或升级可能可以解决此问题。我们强烈建议客户采取补救措施来配置和升级其网络,从而确定并逐步淘汰 NTLMv1。使用 NTLMv1 协议会对网络安全带来一定的不良反应,可能会造成泄密。
攻击者可能会使用该漏洞执行哪些操作?
攻击者可能会从捕获的 LM 和 NTLM 网络身份验证响应中提取身份验证哈希。
在哪里可以找到有关如何在不受支持的 Microsoft Windows 版本上启用 NTLMv2 信息?
有关适用于 Windows NT、Windows 95、Windows 98 和 Windows 98 Second Edition 的 NTLMv2 的详细信息可在 Microsoft 知识库文章 239869 中找到。
鸣谢
Microsoft 对以下人士在客户保护方面提供的合作与帮助表示由衷的感谢:
-
Mark Gamache,来自 T-Mobile USA,在保护客户免受 NTLMv1(NT LAN Manager 1 版)和 LAN Manager (LM) 网络身份验证攻击方面为我们提供了合作与帮助