Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Betrifft:
- Windows 11
- Windows 10
Beschreibt bewährte Methoden, Standort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene .
Verweis
Diese Richtlinieneinstellung bestimmt, welches Anforderungs- oder Antwortauthentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. LAN Manager (LM) enthält Clientcomputer- und Serversoftware von Microsoft, mit der Benutzer persönliche Geräte in einem einzigen Netzwerk verknüpfen können. Zu den Netzwerkfunktionen gehören transparente Datei- und Druckfreigabe, Benutzersicherheitsfeatures und Netzwerkverwaltungstools. In Active Directory-Domänen ist das Kerberos-Protokoll das Standardauthentifizierungsprotokoll. Wenn das Kerberos-Protokoll jedoch aus irgendeinem Grund nicht ausgehandelt wird, verwendet Active Directory LM, NTLM oder NTLM Version 2 (NTLMv2).
Die LAN Manager-Authentifizierung umfasst die Lm-, NTLM- und NTLMv2-Varianten, und es ist das Protokoll, das verwendet wird, um alle Clientgeräte zu authentifizieren, auf denen das Windows-Betriebssystem ausgeführt wird, wenn sie die folgenden Vorgänge ausführen:
- Beitreten zu einer Domäne
- Authentifizieren zwischen Active Directory-Gesamtstrukturen
- Authentifizieren bei Domänen basierend auf früheren Versionen des Windows-Betriebssystems
- Authentifizieren bei Computern ohne Windows-Betriebssysteme ab Windows 2000
- Authentifizieren bei Computern, die sich nicht in der Domäne befinden
Mögliche Werte
- Senden von LM & NTLM-Antworten
- LM & NTLM senden: NtLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt
- Nur NTLM-Antworten senden
- Nur NTLMv2-Antworten senden
- Nur NTLMv2-Antworten senden. Lm ablehnen
- Nur NTLMv2-Antworten senden. & Lm NTLM ablehnen
- Nicht definiert
Die Einstellung Netzwerksicherheit: LAN-Manager-Authentifizierungsebene bestimmt, welches Challenge/Response-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl wirkt sich auf die von Clients verwendete Authentifizierungsprotokollebene, die von den Computern ausgehandelte Sitzungssicherheitsstufe und die von den Servern akzeptierte Authentifizierungsebene aus. In der folgenden Tabelle sind die Richtlinieneinstellungen aufgeführt, die Einstellung beschrieben und die Sicherheitsstufe angegeben, die in der entsprechenden Registrierungseinstellung verwendet wird, wenn Sie diese Einstellung anstelle der Richtlinieneinstellung mithilfe der Registrierung steuern möchten.
| Einstellung | Beschreibung | Registrierungssicherheitsstufe |
|---|---|---|
| Senden von LM & NTLM-Antworten | Clientgeräte verwenden die LM- und NTLM-Authentifizierung, und sie verwenden niemals die NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. | 0 |
| LM & NTLM senden – NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt | Clientgeräte verwenden die LM- und NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. | 1 |
| Nur NTLM-Antwort senden | Clientgeräte verwenden die NTLMv1-Authentifizierung, und sie verwenden DIE NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. | 2 |
| Nur NTLMv2-Antwort senden | Clientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. | 3 |
| Nur NTLMv2-Antwort senden. Lm ablehnen | Clientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller weigern sich, die LM-Authentifizierung zu akzeptieren, und sie akzeptieren nur die NTLM- und NTLMv2-Authentifizierung. | 4 |
| Nur NTLMv2-Antwort senden. & Lm NTLM ablehnen | Clientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt. Domänencontroller akzeptieren die LM- und NTLM-Authentifizierung und akzeptieren nur die NTLMv2-Authentifizierung. | 5 |
Bewährte Methoden
- Bewährte Methoden hängen von Ihren spezifischen Sicherheits- und Authentifizierungsanforderungen ab.
Richtlinienspeicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Registrierungsspeicherort
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.
| Servertyp oder GPO | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht definiert |
| Standarddomänencontroller-Richtlinie | Nicht definiert |
| Standardeinstellungen für eigenständige Server | Nur NTLMv2-Antwort senden |
| Dc Effektive Standardeinstellungen | Nur NTLMv2-Antwort senden |
| Effektive Standardeinstellungen für Mitgliedsserver | Nur NTLMv2-Antwort senden |
| Effektive Standardeinstellungen für Clientcomputer | Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.
Neustartanforderungen
Keine. Änderungen an dieser Richtlinie werden ohne Einen Geräteneustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinie verteilt werden.
Gruppenrichtlinie
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clientgeräten, Diensten und Anwendungen auswirken.
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.
Sicherheitsrisiko
In Windows 7 und Windows Vista ist diese Einstellung nicht definiert. In Windows Server 2008 R2 und höher ist diese Einstellung so konfiguriert, dass nur NTLMv2-Antworten gesendet werden.
Gegenmaßnahme
Konfigurieren Sie die Einstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene auf Nur NTLMv2-Antworten senden. Microsoft und viele unabhängige Organisationen empfehlen diese Authentifizierungsebene dringend, wenn alle Clientcomputer NTLMv2 unterstützen.
Mögliche Auswirkung
Clientgeräte, die die NTLMv2-Authentifizierung nicht unterstützen, können sich nicht in der Domäne authentifizieren und nicht mithilfe von LM und NTLM auf Domänenressourcen zugreifen.