Compartir a través de

Habilitación de la autenticación NTLM 2

En este artículo se describe cómo habilitar la autenticación NTLM 2.

Se aplica a todas las ediciones de Windows 10
Número de KB original: 239869

Resumen

Históricamente, Windows NT admite dos variantes de autenticación de desafío/respuesta para inicios de sesión de red:

  • Desafío o respuesta de LAN Manager (LM)
  • Desafío/respuesta de Windows NT (también conocido como desafío/respuesta NTLM versión 1) La variante LM permite la interoperabilidad con la base instalada de los clientes y servidores de Windows 95, Windows 98 y Windows 98 Second Edition. NTLM proporciona una seguridad mejorada para las conexiones entre los clientes y servidores de Windows NT. Windows NT también admite el mecanismo de seguridad de sesión NTLM que proporciona confidencialidad del mensaje (cifrado) e integridad (firma).

Las mejoras recientes en los algoritmos de hardware y software de equipos han hecho que estos protocolos sean vulnerables a ataques ampliamente publicados para obtener contraseñas de usuario. En sus esfuerzos continuos para ofrecer productos más seguros a sus clientes, Microsoft ha desarrollado una mejora, denominada NTLM versión 2, que mejora significativamente los mecanismos de autenticación y seguridad de sesión. NTLM 2 ha estado disponible para Windows NT 4.0 desde que se lanzó Service Pack 4 (SP4) y se admite de forma nativa en Windows 2000. Puedes agregar compatibilidad con NTLM 2 a Windows 98 instalando las extensiones de cliente de Active Directory.

Después de actualizar todos los equipos basados en Windows 95, Windows 98, Windows 98 Second Edition y Windows NT 4.0, puede mejorar considerablemente la seguridad de su organización configurando clientes, servidores y controladores de dominio para usar solo NTLM 2 (no LM o NTLM).

Más información

Al instalar extensiones de cliente de Active Directory en un equipo que ejecuta Windows 98, los archivos del sistema que proporcionan compatibilidad con NTLM 2 también se instalan automáticamente. Estos archivos son Secur32.dll, Msnp32.dll, Vredir.vxd y Vnetsup.vxd. Si quita la extensión de cliente de Active Directory, los archivos del sistema NTLM 2 no se quitan porque los archivos proporcionan funcionalidades de seguridad mejoradas y correcciones relacionadas con la seguridad.

De forma predeterminada, el cifrado de seguridad de sesión NTLM 2 está restringido a una longitud máxima de clave de 56 bits. La compatibilidad opcional con claves de 128 bits se instala automáticamente si el sistema cumple Estados Unidos normativa de exportación. Para habilitar la compatibilidad con la seguridad de sesión NTLM 2 de 128 bits, debe instalar Microsoft Internet Explorer 4.x o 5 y actualizar a compatibilidad con conexiones seguras de 128 bits antes de instalar la extensión de cliente de Active Directory.

Para comprobar la versión de instalación:

  1. Use el Explorador de Windows para buscar el archivo Secur32.dll en la carpeta %SystemRoot%\System.
  2. Haga clic con el botón derecho en el archivo y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Versión . La descripción de la versión de 56 bits es "Servicios de seguridad de Microsoft Win32 (versión de exportación)." La descripción de la versión de 128 bits es "Microsoft Win32 Security Services (solo Estados Unidos y Canadá)."

Antes de habilitar la autenticación NTLM 2 para clientes de Windows 98, compruebe que todos los controladores de dominio para los usuarios que inician sesión en la red desde estos clientes ejecutan Windows NT 4.0 Service Pack 4 o posterior. (Los controladores de dominio pueden ejecutar Windows NT 4.0 Service Pack 6 si el cliente y el servidor están unidos a dominios diferentes). No se requiere ninguna configuración del controlador de dominio para admitir NTLM 2. Debe configurar controladores de dominio solo para deshabilitar la compatibilidad con la autenticación NTLM 1 o LM.

Habilitación de NTLM 2 para clientes de Windows 95, Windows 98 o Windows 98 Second Edition

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

Para habilitar un cliente de Windows 95, Windows 98 o Windows 98 Second Edition para la autenticación NTLM 2, instale el cliente de servicios de directorio. Para activar NTLM 2 en el cliente, siga estos pasos:

  1. Inicie el Editor del Registro (regedit.exe).

  2. Busque y haga clic en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Cree una clave del Registro LSA en la clave del Registro enumerada anteriormente.

  4. En el menú Editar, haga clic en Agregar valor y agregue el siguiente valor del Registro:
    Nombre del valor: LMCompatibility
    Tipo de datos: REG_DWORD
    Valor: 3
    Intervalo válido: 0,3
    Descripción: este parámetro especifica el modo de autenticación y seguridad de sesión que se usará para los inicios de sesión de red. No afecta a los inicios de sesión interactivos.

    • Nivel 0- Enviar respuesta LM y NTLM; nunca use la seguridad de sesión NTLM 2. Los clientes usarán la autenticación LM y NTLM, y nunca usarán la seguridad de sesión NTLM 2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.

    • Nivel 3: enviar solo respuesta NTLM 2. Los clientes usarán la autenticación NTLM 2 y usarán la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.

    Nota:

    Para habilitar NTLM 2 para clientes de Windows 95, instale el cliente del sistema de archivos distribuido (DFS), La actualización de WinSock 2.0 y Microsoft DUN 1.3 para Windows 2000.

  5. Salga del Editor del Registro.

Nota:

Para Windows NT 4.0 y Windows 2000, la clave del Registro es LMCompatibilityLevel y para equipos basados en Windows 95 y Windows 98, la clave de registro es LMCompatibility.

Como referencia, el intervalo completo de valores para el valor LMCompatibilityLevel compatible con Windows NT 4.0 y Windows 2000 incluyen:

  • Nivel 0- Enviar respuesta LM y NTLM; nunca use la seguridad de sesión NTLM 2. Los clientes usan la autenticación LM y NTLM, y nunca usan la seguridad de sesión NTLM 2; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 1: use la seguridad de sesión NTLM 2 si se negocia. Los clientes usan la autenticación LM y NTLM y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • - Nivel 2: enviar solo respuesta NTLM. Los clientes solo usan la autenticación NTLM y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • Nivel 3: enviar solo respuesta NTLM 2. Los clientes usan la autenticación NTLM 2 y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio aceptan la autenticación LM, NTLM y NTLM 2.
  • - Nivel 4: los controladores de dominio rechazan las respuestas LM. Los clientes usan la autenticación NTLM y usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio rechazan la autenticación LM (es decir, aceptan NTLM y NTLM 2).
  • Nivel 5: los controladores de dominio rechazan las respuestas LM y NTLM (solo aceptan NTLM 2). Los clientes usan la autenticación NTLM 2, usan la seguridad de sesión NTLM 2 si el servidor lo admite; los controladores de dominio rechazan la autenticación NTLM y LM (solo aceptan NTLM 2). Un equipo cliente solo puede usar un protocolo para comunicarse con todos los servidores. Por ejemplo, no se puede configurar para usar NTLM v2 para conectarse a servidores basados en Windows 2000 y, a continuación, usar NTLM para conectarse a otros servidores. es así por diseño.

Puede configurar la seguridad mínima que se usa para los programas que usan el proveedor de soporte técnico de seguridad (SSP) NTLM modificando la siguiente clave del Registro. Estos valores dependen del valor LMCompatibilityLevel:

  1. Inicie el Editor del Registro (regedit.exe).

  2. Busque la siguiente clave en el Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. En el menú Editar, haga clic en Agregar valor y agregue el siguiente valor del Registro:
    Nombre del valor: NtlmMinClientSec
    Tipo de datos: REG_WORD
    Valor: uno de los valores siguientes:

    • 0x00000010: integridad de mensajes
    • 0x00000020: confidencialidad de mensajes
    • 0x00080000: seguridad de sesión NTLM 2
    • cifrado de 0x20000000 de 128 bits
    • cifrado de 0x80000000 de 56 bits

  4. Salga del Editor del Registro.

Si un programa de cliente o servidor usa el SSP NTLM (o usa la llamada de procedimiento remoto seguro [RPC], que usa el SSP NTLM) para proporcionar seguridad de sesión para una conexión, el tipo de seguridad de sesión que se usará se determina de la siguiente manera:

  • El cliente solicita cualquiera o todos los siguientes elementos: integridad de mensajes, confidencialidad del mensaje, seguridad de sesión NTLM 2 y cifrado de 128 o 56 bits.
  • El servidor responde, que indica qué elementos del conjunto solicitado desea.
  • Se dice que el conjunto resultante se ha "negociado".

Puede usar el valor NtlmMinClientSec para hacer que las conexiones de cliente o servidor negocien una calidad determinada de seguridad de sesión o no se realicen correctamente. Sin embargo, debe tener en cuenta los siguientes elementos:

  • Si usa 0x00000010 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si no se negocia la integridad del mensaje.
  • Si usa 0x00000020 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si no se negocia la confidencialidad del mensaje.
  • Si usa 0x00080000 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si no se negocia la seguridad de sesión NTLM 2.
  • Si usa 0x20000000 para el valor NtlmMinClientSec, la conexión no se realiza correctamente si la confidencialidad del mensaje está en uso, pero no se negocia el cifrado de 128 bits.