Aktivieren der NTLM 2-Authentifizierung

In diesem Artikel wird beschrieben, wie Die NTLM 2-Authentifizierung aktiviert wird.

Gilt für: Windows 10 - alle Editionen
Ursprüngliche KB-Nummer: 239869

Zusammenfassung

In der Vergangenheit unterstützt Windows NT zwei Varianten der Abfrage-/Antwortauthentifizierung für Netzwerkanmeldungen:

  • LAN-Manager (LM)-Abfrage/-Antwort
  • Windows NT Challenge/Response (auch bekannt als NTLM Version 1 Challenge/Response) Die LM-Variante ermöglicht die Interoperabilität mit der installierten Basis von Windows 95-, Windows 98- und Windows 98 Second Edition-Clients und -Servern. NTLM bietet verbesserte Sicherheit für Verbindungen zwischen Windows NT-Clients und -Servern. Windows NT unterstützt auch den NTLM-Sitzungssicherheitsmechanismus, der nachrichtenvertraulichkeit (Verschlüsselung) und Integrität (Signieren) bereitstellt.

Die jüngsten Verbesserungen bei Computerhardware- und Softwarealgorithmen haben diese Protokolle anfällig für weit veröffentlichte Angriffe zum Abrufen von Benutzerkennwörtern gemacht. In seinen kontinuierlichen Bemühungen, seinen Kunden sicherere Produkte bereitzustellen, hat Microsoft eine Verbesserung namens NTLM Version 2 entwickelt, die sowohl die Authentifizierungs- als auch die Sitzungssicherheitsmechanismen erheblich verbessert. NTLM 2 ist seit der Veröffentlichung von Service Pack 4 (SP4) für Windows NT 4.0 verfügbar und wird nativ in Windows 2000 unterstützt. Sie können Windows 98 NTLM 2-Unterstützung hinzufügen, indem Sie die Active Directory-Clienterweiterungen installieren.

Nachdem Sie alle Computer aktualisiert haben, die auf Windows 95, Windows 98, Windows 98 Second Edition und Windows NT 4.0 basieren, können Sie die Sicherheit Ihrer Organisation erheblich verbessern, indem Sie Clients, Server und Domänencontroller so konfigurieren, dass nur NTLM 2 (nicht LM oder NTLM) verwendet wird.

Weitere Informationen

Wenn Sie Active Directory-Clienterweiterungen auf einem Computer installieren, auf dem Windows 98 ausgeführt wird, werden auch die Systemdateien, die NTLM 2-Unterstützung bereitstellen, automatisch installiert. Diese Dateien sind Secur32.dll, Msnp32.dll, Vredir.vxd und Vnetsup.vxd. Wenn Sie die Active Directory-Clienterweiterung entfernen, werden die NTLM 2-Systemdateien nicht entfernt, da die Dateien sowohl erweiterte Sicherheitsfunktionen als auch sicherheitsrelevante Korrekturen bieten.

Standardmäßig ist die NTLM 2-Sitzungssicherheitsverschlüsselung auf eine maximale Schlüssellänge von 56 Bit beschränkt. Optionale Unterstützung für 128-Bit-Schlüssel wird automatisch installiert, wenn das System USA Exportbestimmungen erfüllt. Um die Sicherheit der 128-Bit-NTLM 2-Sitzung zu aktivieren, müssen Sie Microsoft Internet Explorer 4.x oder 5 installieren und ein Upgrade auf die 128-Bit-Unterstützung für sichere Verbindungen durchführen, bevor Sie die Active Directory-Clienterweiterung installieren.

So überprüfen Sie Ihre Installationsversion:

  1. Verwenden Sie Windows Explorer, um die Secur32.dll Datei im Ordner "%SystemRoot%\System" zu suchen.
  2. Klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte " Version ". Die Beschreibung für die 56-Bit-Version lautet "Microsoft Win32 Security Services (Export Version)." Die Beschreibung für die 128-Bit-Version lautet "Microsoft Win32 Security Services (nur USA und Kanada)."

Bevor Sie die NTLM 2-Authentifizierung für Windows 98-Clients aktivieren, stellen Sie sicher, dass alle Domänencontroller für Benutzer, die sich von diesen Clients aus bei Ihrem Netzwerk anmelden, Windows NT 4.0 Service Pack 4 oder höher ausführen. (Die Domänencontroller können Windows NT 4.0 Service Pack 6 ausführen, wenn Client und Server mit verschiedenen Domänen verbunden sind.) Für die Unterstützung von NTLM 2 ist keine Domänencontrollerkonfiguration erforderlich. Sie müssen Domänencontroller nur konfigurieren, um die Unterstützung für NTLM 1- oder LM-Authentifizierung zu deaktivieren.

Aktivieren von NTLM 2 für Windows 95-, Windows 98- oder Windows 98 Second Edition-Clients

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Installieren Sie den Verzeichnisdienstclient, um einen Windows 95-, Windows 98- oder Windows 98 Second Edition-Client für die NTLM 2-Authentifizierung zu aktivieren. Führen Sie die folgenden Schritte aus, um NTLM 2 auf dem Client zu aktivieren:

  1. Starten Sie den Registrierungs-Editor (Regedit.exe).

  2. Suchen Sie den folgenden Schlüssel in der Registrierung, und klicken Sie darauf: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Erstellen Sie einen LSA-Registrierungsschlüssel im oben aufgeführten Registrierungsschlüssel.

  4. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: LMCompatibility
    Datentyp: REG_DWORD
    Wert: 3
    Gültiger Bereich: 0,3
    Beschreibung: Dieser Parameter gibt den Modus der Authentifizierung und Sitzungssicherheit an, der für Netzwerkanmeldungen verwendet werden soll. Dies wirkt sich nicht auf interaktive Anmeldungen aus.

    • Ebene 0 – Lm- und NTLM-Antwort senden; verwenden Sie nie ntlm 2 Sitzungssicherheit. Clients verwenden die LM- und NTLM-Authentifizierung und nie ntlm 2 Sitzungssicherheit; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.

    • Ebene 3 : Nur NTLM 2-Antwort senden. Clients verwenden NTLM 2-Authentifizierung und NTLM 2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.

    Hinweis

    Um NTLM 2 für Windows 95-Clients zu aktivieren, installieren Sie den DFS-Client (Distributed File System), WinSock 2.0 Update und Microsoft DUN 1.3 für Windows 2000.

  5. Schließen Sie den Registrierungs-Editor.

Hinweis

Für Windows NT 4.0 und Windows 2000 ist der Registrierungsschlüssel LMCompatibilityLevel, und für Windows 95- und Windows 98-basierte Computer ist der Registrierungsschlüssel LMCompatibility.

Zu referenzieren ist der vollständige Wertebereich für den LMCompatibilityLevel-Wert, der von Windows NT 4.0 und Windows 2000 unterstützt wird:

  • Ebene 0 – Lm- und NTLM-Antwort senden; verwenden Sie nie ntlm 2 Sitzungssicherheit. Clients verwenden LM- und NTLM-Authentifizierung und niemals NTLM 2-Sitzungssicherheit; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 1 : Verwenden Sie die NTLM 2-Sitzungssicherheit, wenn sie ausgehandelt wird. Clients verwenden LM- und NTLM-Authentifizierung und NTLM 2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 2 : Nur NTLM-Antwort senden. Clients verwenden nur NTLM-Authentifizierung und NTLM 2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 3 : Nur NTLM 2-Antwort senden. Clients verwenden NTLM 2-Authentifizierung und NTLM 2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 4 : Domänencontroller lehnen LM-Antworten ab. Clients verwenden NTLM-Authentifizierung und NTLM 2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller lehnen die LM-Authentifizierung ab (d. h. sie akzeptieren NTLM und NTLM 2).
  • Ebene 5 : Domänencontroller lehnen LM- und NTLM-Antworten ab (nur NTLM 2 akzeptieren). Clients verwenden die NTLM 2-Authentifizierung, die NTLM 2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller verweigern NTLM- und LM-Authentifizierung (sie akzeptieren nur NTLM 2). Ein Clientcomputer kann nur ein Protokoll für die Kommunikation mit allen Servern verwenden. Sie können es z. B. nicht so konfigurieren, dass NTLM v2 verwendet wird, um eine Verbindung mit Windows 2000-basierten Servern herzustellen und dann NTLM zum Herstellen einer Verbindung mit anderen Servern zu verwenden. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Sie können die Mindestsicherheit konfigurieren, die für Programme verwendet wird, die den NTLM Security Support Provider (SSP) verwenden, indem Sie den folgenden Registrierungsschlüssel ändern. Diese Werte sind vom LMCompatibilityLevel-Wert abhängig:

  1. Starten Sie den Registrierungs-Editor (Regedit.exe).

  2. Suchen Sie den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
    Wertname: NtlmMinClientSec
    Datentyp: REG_WORD
    Wert: einer der folgenden Werte:

    • 0x00000010- Nachrichtenintegrität
    • 0x00000020– Vertraulichkeit von Nachrichten
    • 0x00080000– NTLM 2-Sitzungssicherheit
    • 0x20000000- 128-Bit-Verschlüsselung
    • 0x80000000- 56-Bit-Verschlüsselung
  4. Schließen Sie den Registrierungs-Editor.

Wenn ein Client-/Serverprogramm den NTLM-SSP verwendet (oder einen sicheren Remoteprozeduraufruf [RPC] verwendet, der den NTLM-SSP verwendet), um Sitzungssicherheit für eine Verbindung bereitzustellen, wird der Typ der zu verwendenden Sitzungssicherheit wie folgt bestimmt:

  • Der Client fordert eine oder alle der folgenden Elemente an: Nachrichtenintegrität, Nachrichtenvertraulichkeit, NTLM 2-Sitzungssicherheit und 128-Bit- oder 56-Bit-Verschlüsselung.
  • Der Server antwortet und gibt an, welche Elemente des angeforderten Satzes er wünscht.
  • Der resultierende Satz soll "ausgehandelt" worden sein.

Sie können den NtlmMinClientSec-Wert verwenden, um zu bewirken, dass Client-/Serververbindungen entweder eine bestimmte Qualität der Sitzungssicherheit aushandeln oder nicht erfolgreich sind. Beachten Sie jedoch die folgenden Elemente:

  • Wenn Sie 0x00000010 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Nachrichtenintegrität nicht ausgehandelt wird.
  • Wenn Sie 0x00000020 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Vertraulichkeit der Nachricht nicht ausgehandelt wird.
  • Wenn Sie 0x00080000 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die NTLM 2-Sitzungssicherheit nicht ausgehandelt wird.
  • Wenn Sie 0x20000000 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Nachrichtenvertraulichkeit verwendet wird, aber die 128-Bit-Verschlüsselung nicht ausgehandelt wird.