Partager via

Comment activer l’authentification NTLM 2

Cet article explique comment activer l’authentification NTLM 2.

Applicabilité : Windows 10 - Toutes les éditions
Numéro de la base de connaissances d’origine : 239869

Résumé

Historiquement, Windows NT prend en charge deux variantes d’authentification de défi/réponse pour les connexions réseau :

  • Défi/réponse du Gestionnaire LAN (LM)
  • Défi/réponse Windows NT (également appelé challenge/réponse NTLM version 1) La variante LM permet l’interopérabilité avec la base installée de Windows 95, Windows 98 et les clients et serveurs Windows 98 Second Edition. NTLM offre une sécurité améliorée pour les connexions entre les clients windows NT et les serveurs. Windows NT prend également en charge le mécanisme de sécurité de session NTLM qui fournit la confidentialité des messages (chiffrement) et l’intégrité (signature).

Des améliorations récentes apportées aux algorithmes matériels et logiciels informatiques ont rendu ces protocoles vulnérables aux attaques largement publiées pour obtenir des mots de passe utilisateur. Dans ses efforts continus pour fournir des produits plus sécurisés à ses clients, Microsoft a développé une amélioration, appelée NTLM version 2, qui améliore considérablement les mécanismes d’authentification et de sécurité de session. NTLM 2 est disponible pour Windows NT 4.0 depuis la publication de Service Pack 4 (SP4) et il est pris en charge en mode natif dans Windows 2000. Vous pouvez ajouter la prise en charge de NTLM 2 à Windows 98 en installant les extensions clientEs Active Directory.

Après avoir mis à niveau tous les ordinateurs basés sur Windows 95, Windows 98, Windows 98 Second Edition et Windows NT 4.0, vous pouvez améliorer considérablement la sécurité de votre organisation en configurant des clients, des serveurs et des contrôleurs de domaine pour utiliser uniquement NTLM 2 (pas LM ou NTLM).

Plus d’informations

Lorsque vous installez les extensions clientEs Active Directory sur un ordinateur exécutant Windows 98, les fichiers système qui fournissent la prise en charge de NTLM 2 sont également installés automatiquement. Ces fichiers sont Secur32.dll, Msnp32.dll, Vredir.vxd et Vnetsup.vxd. Si vous supprimez l’extension client Active Directory, les fichiers système NTLM 2 ne sont pas supprimés, car les fichiers fournissent à la fois des fonctionnalités de sécurité améliorées et des correctifs liés à la sécurité.

Par défaut, le chiffrement de sécurité de session NTLM 2 est limité à une longueur de clé maximale de 56 bits. La prise en charge facultative des clés 128 bits est automatiquement installée si le système satisfait aux réglementations d’exportation États-Unis. Pour activer la prise en charge de la sécurité de session NTLM 2 128 bits, vous devez installer Microsoft Internet Explorer 4.x ou 5 et effectuer une mise à niveau vers la prise en charge de la connexion sécurisée 128 bits avant d’installer l’extension client Active Directory.

Pour vérifier votre version d’installation :

  1. Utilisez l’Explorateur Windows pour localiser le fichier Secur32.dll dans le dossier %SystemRoot%\System.
  2. Cliquez avec le bouton droit sur le fichier, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Version . La description de la version 56 bits est « Microsoft Win32 Security Services (version d’exportation). » La description de la version 128 bits est « Microsoft Win32 Security Services (États-Unis et Canada uniquement). »

Avant d’activer l’authentification NTLM 2 pour les clients Windows 98, vérifiez que tous les contrôleurs de domaine pour les utilisateurs qui se connectent à votre réseau à partir de ces clients exécutent Windows NT 4.0 Service Pack 4 ou version ultérieure. (Les contrôleurs de domaine peuvent exécuter Windows NT 4.0 Service Pack 6 si le client et le serveur sont joints à différents domaines.) Aucune configuration de contrôleur de domaine n’est requise pour prendre en charge NTLM 2. Vous devez configurer des contrôleurs de domaine uniquement pour désactiver la prise en charge de l’authentification NTLM 1 ou LM.

Activation de NTLM 2 pour les clients Windows 95, Windows 98 ou Windows 98 Second Edition

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour activer un client Windows 95, Windows 98 ou Windows 98 Second Edition pour l’authentification NTLM 2, installez le client services d’annuaire. Pour activer NTLM 2 sur le client, procédez comme suit :

  1. Démarrez l’Éditeur du Registre (Regedit.exe).

  2. Recherchez et cliquez sur la clé suivante dans le Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Créez une clé de Registre LSA dans la clé de Registre répertoriée ci-dessus.

  4. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : LMCompatibility
    Type de données : REG_DWORD
    Valeur : 3
    Plage valide : 0,3
    Description : ce paramètre spécifie le mode d’authentification et de sécurité de session à utiliser pour les connexions réseau. Elle n’affecte pas les journaux interactifs.

    • Niveau 0 - Envoyer la réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLM 2. Les clients utilisent l’authentification LM et NTLM et n’utilisent jamais la sécurité de session NTLM 2 ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.

    • Niveau 3 - Envoyer la réponse NTLM 2 uniquement. Les clients utilisent l’authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur le prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.

    Note

    Pour activer NTLM 2 pour les clients Windows 95, installez le client DFS (Distributed File System), WinSock 2.0 Update et Microsoft DUN 1.3 pour Windows 2000.

  5. Quittez l'Éditeur du Registre.

Note

Pour Windows NT 4.0 et Windows 2000, la clé de Registre est LMCompatibilityLevel, et pour les ordinateurs Windows 95 et Windows 98, la clé d’inscription est LMCompatibility.

Pour référence, la plage complète de valeurs pour la valeur LMCompatibilityLevel prise en charge par Windows NT 4.0 et Windows 2000 sont les suivantes :

  • Niveau 0 - Envoyer la réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLM 2. Les clients utilisent l’authentification LM et NTLM et n’utilisent jamais la sécurité de session NTLM 2 ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 1 : utilisez la sécurité de session NTLM 2 en cas de négociation. Les clients utilisent l’authentification LM et NTLM et utilisent la sécurité de session NTLM 2 si le serveur le prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • - Niveau 2 Envoyer la réponse NTLM uniquement. Les clients utilisent uniquement l’authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur le prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 3 - Envoyer la réponse NTLM 2 uniquement. Les clients utilisent l’authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur le prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • - Niveau 4 Les contrôleurs de domaine refusent les réponses LM. Les clients utilisent l’authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur le prend en charge ; Les contrôleurs de domaine refusent l’authentification LM (autrement dit, ils acceptent NTLM et NTLM 2).
  • Niveau 5 : les contrôleurs de domaine refusent les réponses LM et NTLM (acceptez uniquement NTLM 2). Les clients utilisent l’authentification NTLM 2, utilisent la sécurité de session NTLM 2 si le serveur le prend en charge ; les contrôleurs de domaine refusent l’authentification NTLM et LM (ils acceptent uniquement NTLM 2). Un ordinateur client ne peut utiliser qu’un seul protocole pour communiquer avec tous les serveurs. Vous ne pouvez pas le configurer, par exemple, pour utiliser NTLM v2 pour vous connecter à des serveurs Windows 2000, puis utiliser NTLM pour se connecter à d’autres serveurs. C'est la procédure normale.

Vous pouvez configurer la sécurité minimale utilisée pour les programmes qui utilisent le fournisseur de support de sécurité NTLM (SSP) en modifiant la clé de Registre suivante. Ces valeurs dépendent de la valeur LMCompatibilityLevel :

  1. Démarrez l’Éditeur du Registre (Regedit.exe).

  2. Recherchez la clé suivante dans le Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : NtlmMinClientSec
    Type de données : REG_WORD
    Valeur : une des valeurs ci-dessous :

    • 0x00000010- Intégrité des messages
    • 0x00000020- Confidentialité des messages
    • 0x00080000- Sécurité de session NTLM 2
    • chiffrement 0x20000000- 128 bits
    • chiffrement 0x80000000- 56 bits

  4. Quittez l'Éditeur du Registre.

Si un programme client/serveur utilise le fournisseur de services partagés NTLM (ou utilise l’appel de procédure distante sécurisée [RPC], qui utilise le SSP NTLM) pour fournir la sécurité de session pour une connexion, le type de sécurité de session à utiliser est déterminé comme suit :

  • Le client demande tout ou partie des éléments suivants : intégrité des messages, confidentialité des messages, sécurité de session NTLM 2 et chiffrement 128 bits ou 56 bits.
  • Le serveur répond, indiquant les éléments de l’ensemble demandé souhaités.
  • L’ensemble résultant est dit avoir été « négocié ».

Vous pouvez utiliser la valeur NtlmMinClientSec pour faire en sorte que les connexions client/serveur négocient une qualité donnée de sécurité de session ou ne réussissent pas. Toutefois, vous devez noter les éléments suivants :

  • Si vous utilisez 0x00000010 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si l’intégrité du message n’est pas négociée.
  • Si vous utilisez 0x00000020 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si la confidentialité des messages n’est pas négociée.
  • Si vous utilisez 0x00080000 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si la sécurité de session NTLM 2 n’est pas négociée.
  • Si vous utilisez 0x20000000 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si la confidentialité des messages est utilisée, mais le chiffrement 128 bits n’est pas négocié.