Freigeben über

So aktivieren Sie die NTLM 2-Authentifizierung

In diesem Artikel wird beschrieben, wie Sie die NTLM 2-Authentifizierung aktivieren.

Gilt für: Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 239869

Zusammenfassung

In der Vergangenheit unterstützt Windows NT zwei Varianten der Abfrage-/Antwortauthentifizierung für Netzwerkanmeldungen:

  • LAN-Manager (LM)-Abfrage/Antwort
  • Windows NT Challenge/Response (auch als NTLM Version 1 Challenge/Response bezeichnet) Die LM-Variante ermöglicht die Interoperabilität mit der installierten Basis von Windows 95-, Windows 98- und Windows 98 Second Edition-Clients und -Servern. NTLM bietet verbesserte Sicherheit für Verbindungen zwischen Windows NT-Clients und Servern. Windows NT unterstützt auch den NTLM-Sitzungssicherheitsmechanismus, der nachrichtenvertraulichkeit (Verschlüsselung) und Integrität (Signierung) bereitstellt.

Die jüngsten Verbesserungen bei Computerhardware- und Softwarealgorithmen haben diese Protokolle anfällig für weit veröffentlichte Angriffe zum Abrufen von Benutzerpasswörtern gemacht. In seinen laufenden Bemühungen um die Bereitstellung sichererer Produkte für ihre Kunden hat Microsoft eine Erweiterung entwickelt, die NTLM Version 2 genannt wird, die sowohl die Authentifizierungs- als auch die Sitzungssicherheitsmechanismen erheblich verbessert. NTLM 2 ist seit der Veröffentlichung von Service Pack 4 (SP4) für Windows NT 4.0 verfügbar und wird nativ in Windows 2000 unterstützt. Sie können NTLM 2-Unterstützung zu Windows 98 hinzufügen, indem Sie die Active Directory-Clienterweiterungen installieren.

Nachdem Sie alle Computer aktualisiert haben, die auf Windows 95, Windows 98, Windows 98 Second Edition und Windows NT 4.0 basieren, können Sie die Sicherheit Ihrer Organisation erheblich verbessern, indem Sie Clients, Server und Domänencontroller konfigurieren, um nur NTLM 2 (nicht LM oder NTLM) zu verwenden.

Weitere Informationen

Wenn Sie Active Directory-Clienterweiterungen auf einem Computer installieren, auf dem Windows 98 ausgeführt wird, werden die Systemdateien, die NTLM 2-Unterstützung bereitstellen, ebenfalls automatisch installiert. Diese Dateien sind Secur32.dll, Msnp32.dll, Vredir.vxd und Vnetsup.vxd. Wenn Sie die Active Directory-Clienterweiterung entfernen, werden die NTLM 2-Systemdateien nicht entfernt, da die Dateien sowohl erweiterte Sicherheitsfunktionen als auch sicherheitsbezogene Fixes bereitstellen.

Standardmäßig ist die NTLM 2-Sitzungssicherheitsverschlüsselung auf eine maximale Schlüssellänge von 56 Bit beschränkt. Optionale Unterstützung für 128-Bit-Schlüssel wird automatisch installiert, wenn das System USA Exportbestimmungen erfüllt. Um die 128-Bit-NTLM 2-Sitzungssicherheit zu aktivieren, müssen Sie Microsoft Internet Explorer 4.x oder 5 installieren und auf die Unterstützung für sichere 128-Bit-Verbindungen aktualisieren, bevor Sie die Active Directory-Clienterweiterung installieren.

So überprüfen Sie Ihre Installationsversion:

  1. Verwenden Sie Den Windows-Explorer, um die Secur32.dll Datei im Ordner "%SystemRoot%\System" zu suchen.
  2. Klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie auf die Registerkarte "Version ". Die Beschreibung für die 56-Bit-Version lautet "Microsoft Win32 Security Services (Export Version)." Die Beschreibung für die 128-Bit-Version lautet "Microsoft Win32 Security Services (nur USA und Kanada)."

Bevor Sie die NTLM 2-Authentifizierung für Windows 98-Clients aktivieren, stellen Sie sicher, dass alle Domänencontroller für Benutzer, die sich von diesen Clients aus bei Ihrem Netzwerk anmelden, Windows NT 4.0 Service Pack 4 oder höher ausführen. (Die Domänencontroller können Windows NT 4.0 Service Pack 6 ausführen, wenn der Client und der Server mit verschiedenen Domänen verbunden sind.) Zur Unterstützung von NTLM 2 ist keine Domänencontrollerkonfiguration erforderlich. Sie müssen Domänencontroller nur so konfigurieren, dass die Unterstützung für die NTLM 1- oder LM-Authentifizierung deaktiviert wird.

Aktivieren von NTLM 2 für Windows 95-, Windows 98- oder Windows 98 Second Edition-Clients

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Um einen Windows 95-, Windows 98- oder Windows 98 Second Edition-Client für die NTLM 2-Authentifizierung zu aktivieren, installieren Sie den Verzeichnisdienstclient. Führen Sie die folgenden Schritte aus, um NTLM 2 auf dem Client zu aktivieren:

  1. Starten Sie den Registrierungs-Editor (Regedit.exe).

  2. Suchen Sie den folgenden Schlüssel in der Registrierung, und klicken Sie darauf: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control.

  3. Erstellen Sie einen LSA-Registrierungsschlüssel im oben aufgeführten Registrierungsschlüssel.

  4. Klicken Sie im Menü „Bearbeiten“ auf „Wert hinzufügen“, und fügen Sie den folgenden Wert zur Registrierung hinzu:
    Wertname: LMCompatibility
    Datentyp: REG_DWORD
    Wert: 3
    Gültiger Bereich: 0,3
    Beschreibung: Dieser Parameter gibt den Modus der Authentifizierung und Sitzungssicherheit an, die für Netzwerkanmeldungen verwendet werden soll. Es wirkt sich nicht auf interaktive Anmeldungen aus.

    • Ebene 0 – LM- und NTLM-Antwort senden; Verwenden Sie niemals NTLM 2 Sitzungssicherheit. Clients verwenden LM- und NTLM-Authentifizierung und verwenden niemals NTLM 2 Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.

    • Ebene 3 – Nur NTLM 2-Antwort senden. Clients verwenden die NTLM 2-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.

    Notiz

    Um NTLM 2 für Windows 95-Clients zu aktivieren, installieren Sie den DFS-Client (Distributed File System), WinSock 2.0 Update und Microsoft DUN 1.3 für Windows 2000.

  5. Schließen Sie den Registrierungs-Editor.

Notiz

Für Windows NT 4.0 und Windows 2000 ist der Registrierungsschlüssel LMCompatibilityLevel, und für Windows 95- und Windows 98-basierte Computer ist der Registrierungsschlüssel LMCompatibility.

Zur Referenz umfassen die vollständigen Wertebereiche für den LMCompatibilityLevel-Wert, der von Windows NT 4.0 und Windows 2000 unterstützt wird:

  • Ebene 0 – LM- und NTLM-Antwort senden; Verwenden Sie niemals NTLM 2 Sitzungssicherheit. Clients verwenden LM- und NTLM-Authentifizierung und verwenden nie NTLM 2 Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 1 – Verwenden Sie bei ausgehandelter NTLM 2-Sitzungssicherheit. Clients verwenden lm- und NTLM-Authentifizierung und verwenden NTLM 2 Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 2 – Nur NTLM-Antwort senden. Clients verwenden nur die NTLM-Authentifizierung und verwenden ntLM 2 Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Ebene 3 – Nur NTLM 2-Antwort senden. Clients verwenden die NTLM 2-Authentifizierung und verwenden ntLM 2 Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLM 2-Authentifizierung.
  • Stufe 4 : Domänencontroller lehnen LM-Antworten ab. Clients verwenden die NTLM-Authentifizierung und die NTLM 2-Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller verweigern die LM-Authentifizierung (d. h., sie akzeptieren NTLM und NTLM 2).
  • Stufe 5 : Domänencontroller lehnen LM- und NTLM-Antworten ab (akzeptieren nur NTLM 2). Clients verwenden die NTLM 2-Authentifizierung, verwenden NTLM 2 Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller verweigern die NTLM- und LM-Authentifizierung (sie akzeptieren nur NTLM 2). Ein Clientcomputer kann nur ein Protokoll für die Kommunikation mit allen Servern verwenden. Sie können es z. B. nicht so konfigurieren, dass NTLM v2 zum Herstellen einer Verbindung mit Windows 2000-basierten Servern verwendet wird und dann NTLM zum Herstellen einer Verbindung mit anderen Servern verwendet wird. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Sie können die minimale Sicherheit konfigurieren, die für Programme verwendet wird, die den NTLM Security Support Provider (SSP) verwenden, indem Sie den folgenden Registrierungsschlüssel ändern. Diese Werte sind vom LMCompatibilityLevel-Wert abhängig:

  1. Starten Sie den Registrierungs-Editor (Regedit.exe).

  2. Suchen Sie den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Klicken Sie im Menü „Bearbeiten“ auf „Wert hinzufügen“, und fügen Sie den folgenden Wert zur Registrierung hinzu:
    Wertname: NtlmMinClientSec
    Datentyp: REG_WORD
    Wert: einer der folgenden Werte:

    • 0x00000010- Nachrichtenintegrität
    • 0x00000020– Vertraulichkeit von Nachrichten
    • 0x00080000- NTLM 2 Sitzungssicherheit
    • 0x20000000- 128-Bit-Verschlüsselung
    • 0x80000000- 56-Bit-Verschlüsselung

  4. Beenden Sie den Registrierungs-Editor.

Wenn ein Client/Server-Programm den NTLM-SSP verwendet (oder den sicheren Remoteprozeduraufruf [RPC], der den NTLM-SSP verwendet), um Sitzungssicherheit für eine Verbindung bereitzustellen, wird die Art der zu verwendenden Sitzungssicherheit wie folgt bestimmt:

  • Der Client fordert alle oder alle folgenden Elemente an: Nachrichtenintegrität, Nachrichtenvertraulichkeit, NTLM 2 Sitzungssicherheit und 128-Bit- oder 56-Bit-Verschlüsselung.
  • Der Server antwortet und gibt an, welche Elemente des angeforderten Satzes er möchte.
  • Der resultierende Satz soll "ausgehandelt" worden sein.

Sie können den NtlmMinClientSec-Wert verwenden, um Client-/Serververbindungen entweder mit einer bestimmten Qualität der Sitzungssicherheit auszuhandeln oder nicht erfolgreich zu sein. Beachten Sie jedoch die folgenden Elemente:

  • Wenn Sie 0x00000010 für den NtlmMinClientSec-Wert verwenden, wird die Verbindung nicht erfolgreich ausgeführt, wenn die Nachrichtenintegrität nicht ausgehandelt wird.
  • Wenn Sie 0x00000020 für den NtlmMinClientSec-Wert verwenden, wird die Verbindung nicht erfolgreich ausgeführt, wenn die Vertraulichkeit von Nachrichten nicht ausgehandelt wird.
  • Wenn Sie 0x00080000 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die NTLM 2-Sitzungssicherheit nicht ausgehandelt wird.
  • Wenn Sie 0x20000000 für den NtlmMinClientSec-Wert verwenden, ist die Verbindung nicht erfolgreich, wenn die Vertraulichkeit von Nachrichten verwendet wird, die 128-Bit-Verschlüsselung jedoch nicht ausgehandelt wird.