NTLMv1 和 LM 網路驗證的安全性指導

簡介

我們發現有關可能遭他人用來攻擊 NT LAN Manager 版本 1 (NTLMv1) 和 LAN Manager (LM) 網路驗證的詳細資訊與工具。電腦硬體與軟體演算法的改良功能會讓這些通訊協定容易遭受公開攻擊，進而竊取使用者憑證。這些資訊與可用工具組係特別針對未強制執行 NTLMv2 驗證的環境所提供。我們強烈建議客戶評估使用環境，並且更新網路驗證設定。所有支援的 Microsoft 作業系統皆提供 NTLMv2 驗證功能。

在預設設定中受到影響的系統風險最高，例如執行 Microsoft Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的系統。例如根據預設，Windows XP 與 Windows Server 2003 皆支援 NTLMv1 驗證。

針對 Windows NT 提供兩種支援挑戰網路登入驗證的選項：LAN Manager (LM) 挑戰回應和 Windows NT 挑戰回應 (也就是 NTLM 版本 1 挑戰回應)。這些選項皆支援與 Windows NT 4.0、Windows 95、Windows 98 和 Windows 98 Second Edition 安裝基底之間的互通性。

如果要我們為您修正此問題，請移至＜為我修正此問題＞一節。

解決方案

為了降低這個問題的風險，我們建議您將執行 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 的環境設為僅允許使用 NTLMv2。如果要執行這項操作，請依照這裡所述的內容手動將 LAN Manager 驗證層級設為 3 以上。

針對 Windows XP 和 Windows Server 2003 提供 Microsoft Fix it 解決方案，可自動將系統設為僅允許使用 NTLMv2。這個方法亦支援 NTLM 設定，可讓使用者善加利用延伸驗證防護。

為我修正此問題

本節所描述的 Fix it 解決方案的目的不在於取代任何安全性更新。建議您永遠要安裝最新的安全性更新。不過我們仍提供此 Fix it 解決方案以作為某些情況的因應措施。

適用於 Windows XP 的 Microsoft Fix it

如果要啟用或停用此 Fix it 解決方案，請按一下 [Fix it] 按鈕或 [啟用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行]，然後依照 Fix it 精靈中的步驟執行。

啟用

注意事項

此精靈可能只提供英文版本。不過，自動修正程式也適用於 Windows 的其他語言版本。
如果您不在發生問題的電腦上，則可將自動修正程式儲存至快閃磁碟機或 CD，然後在發生問題的電腦上執行。

Windows Server 2003 的 Microsoft Fix it

如果要啟用或停用此 Fix it 解決方案，請按一下 [Fix it] 按鈕或 [啟用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行]，然後依照 Fix it 精靈中的步驟執行。

啟用

注意事項

此精靈可能只提供英文版本。不過，自動修正程式也適用於 Windows 的其他語言版本。
如果您不在發生問題的電腦上，則可將自動修正程式儲存至快閃磁碟機或 CD，然後在發生問題的電腦上執行。

狀況說明

Microsoft 已確認＜適用於＞一節中列出的 Microsoft 產品確實有上述問題。

其他相關資訊

常見問題集

是否有關於 Windows 網路安全性與 LAN Manager 驗證層級威脅及對策的詳細資訊？

您可透過《威脅與對策指南》中的 Microsoft TechNet，瞭解有關威脅與對策的詳細資訊。如需有關 NTLM 版本設定的詳細資訊，請參閱 LmCompatibilityLevel 。

造成問題的原因為何？

2000 年 1 月以前的匯出限制會針對密碼編譯通訊協定的最大金鑰長度加以限制。LM 及 NTLM 驗證通訊協定係在 2000 年 1 月以前所制訂，因此會受到這些限制。發行 Windows XP 後，即將其設為確保與 Windows 2000 及更早版本專屬驗證環境之間的回溯相容性。

如何檢查設定是否存有弱點？

若 LMCompatibilityLevel 登錄設定設為小於三 (<3)，則會受到此問題的影響。

哪些 Windows 作業系統會在預設設定中受到影響？

Windows NT4、Windows 2000、Windows XP 和 Windows Server 2003 的 LMCompatibilityLevel 預設設定值皆小於三 (<3)。

強制執行 NTLMv2 的潛在風險有哪些？

所有支援的 Windows 作業系統版本皆支援 NTLMv2。Windows NT 4.0 SP6a 亦支援 NTLMv2。因此相容性風險極低。協力廠商的舊版實作或設定可能必須針對互通性問題進行評估。重新設定或升級可能會解決這個問題。強烈建議客戶採取補救步驟，將網路設定並升級以找出並分階段撤銷 NTLMv1。使用 NTLMv1 通訊協定對於網路安全性會產生絕對負面的影響，且易受入侵。

攻擊者可能會利用此弱點採取什麼行動？

攻擊者可能會透過收集到的 LM 與 NTLM 網路驗證回應，擷取驗證雜湊。

何處可找到有關如何針對不再支援之 Microsoft Windows 版本啟用 NTLMv2 的資訊？

您可透過 Microsoft 知識庫文章 239869 ，取得有關適用於 Windows NT、Windows 95、Windows 98 和 Windows 98 Second Edition 的 NTLMv2 詳細資訊。

認可

Microsoft 向以下人員致謝，感謝他們與我們合作協助保護客戶：

感謝 T-Mobile USA 的 Mark Gamache ，與我們攜手合作，協助保護客戶免於遭受 NTLMv1 (NT LAN Manager 版本 1) 與 LAN Manager (LM) 網路驗證的攻擊