NTLM 2 認証を有効にする方法

この記事では、NTLM 2 認証を有効にする方法について説明します。

適用対象: Windows 10 - すべてのエディション
元の KB 番号: 239869

概要

これまで、Windows NTでは、ネットワーク ログオンに対するチャレンジ/応答認証の 2 つのバリエーションがサポートされています。

  • LAN Manager (LM) のチャレンジ/応答
  • Windows NTチャレンジ/応答 (NTLM バージョン 1 チャレンジ/応答とも呼ばれます) LM バリアントを使用すると、Windows 95、Windows 98、および Windows 98 Second Edition クライアントとサーバーのインストールベースとの相互運用性が可能になります。 NTLM により、Windows NT クライアントとサーバー間の接続のセキュリティが強化されます。 Windows NTでは、メッセージの機密性 (暗号化) と整合性 (署名) を提供する NTLM セッション セキュリティ メカニズムもサポートされています。

最近のコンピューター ハードウェアおよびソフトウェア アルゴリズムの改善により、これらのプロトコルは、ユーザー パスワードを取得するための広く公開されている攻撃に対して脆弱になっています。 Microsoft は、お客様により安全な製品を提供するための継続的な取り組みにおいて、NTLM バージョン 2 と呼ばれる機能強化を開発しました。これは、認証とセッションのセキュリティ メカニズムの両方を大幅に向上させます。 NTLM 2 は、Service Pack 4 (SP4) がリリースされて以来、Windows NT 4.0 で使用でき、Windows 2000 ではネイティブでサポートされています。 Active Directory クライアント拡張機能をインストールすることで、Windows 98 に NTLM 2 のサポートを追加できます。

Windows 95、Windows 98、Windows 98 Second Edition、Windows NT 4.0 に基づくすべてのコンピューターをアップグレードした後、クライアント、サーバー、ドメイン コントローラーを NTLM 2 (LM または NTLM ではなく) のみを使用するように構成することで、組織のセキュリティを大幅に向上させることができます。

詳細情報

Windows 98 を実行しているコンピューターに Active Directory クライアント拡張機能をインストールすると、NTLM 2 のサポートを提供するシステム ファイルも自動的にインストールされます。 これらのファイルは、Secur32.dll、Msnp32.dll、Vredir.vxd、Vnetsup.vxd です。 Active Directory クライアント拡張機能を削除した場合、ファイルは強化されたセキュリティ機能とセキュリティ関連の修正プログラムの両方を提供するため、NTLM 2 システム ファイルは削除されません。

既定では、NTLM 2 セッション セキュリティ暗号化は、最大キー長が 56 ビットに制限されます。 128 ビット キーの省略可能なサポートは、システムが米国エクスポート規則を満たしている場合に自動的にインストールされます。 128 ビット NTLM 2 セッション セキュリティサポートを有効にするには、Active Directory クライアント拡張機能をインストールする前に、Microsoft Internet Explorer 4.x または 5 をインストールし、128 ビットのセキュリティで保護された接続サポートにアップグレードする必要があります。

インストールバージョンを確認するには:

  1. Windows エクスプローラーを使用して、%SystemRoot%\System フォルダー内のSecur32.dll ファイルを見つけます。
  2. ファイルを右クリックし、[プロパティ] をクリックします。
  3. [ バージョン ] タブをクリックします。56 ビット バージョンの説明は、"Microsoft Win32 Security Services (バージョンのエクスポート) です。128 ビット バージョンの説明は"Microsoft Win32 Security Services (米国およびカナダのみ) です。

Windows 98 クライアントで NTLM 2 認証を有効にする前に、これらのクライアントからネットワークにログオンするユーザーのすべてのドメイン コントローラーが 4.0 Service Pack 4 以降Windows NT実行されていることを確認します。 (クライアントとサーバーが異なるドメインに参加している場合、ドメイン コントローラーは Windows NT 4.0 Service Pack 6 を実行できます)。NTLM 2 をサポートするためにドメイン コントローラーの構成は必要ありません。 NTLM 1 または LM 認証のサポートを無効にするには、ドメイン コントローラーのみを構成する必要があります。

Windows 95、Windows 98、または Windows 98 Second Edition クライアントで NTLM 2 を有効にする

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法

NTLM 2 認証で Windows 95、Windows 98、または Windows 98 Second Edition クライアントを有効にするには、Directory Services クライアントをインストールします。 クライアントで NTLM 2 をアクティブ化するには、次の手順に従います。

  1. レジストリ エディターを起動します (Regedit.exe)。

  2. レジストリで次のキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. 上記のレジストリ キーで LSA レジストリ キーを作成します。

  4. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
    値の名前: LMCompatibility
    データ型: REG_DWORD
    値: 3
    有効な範囲: 0,3
    説明: このパラメーターは、ネットワーク ログオンに使用する認証とセッション セキュリティのモードを指定します。 対話型ログオンには影響しません。

    • レベル 0 - LM と NTLM 応答を送信します。NTLM 2 セッション セキュリティを使用しないでください。 クライアントは LM と NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。

    • レベル 3 - NTLM 2 応答のみを送信します。 サーバーでサポートされている場合、クライアントは NTLM 2 認証を使用し、NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。

    注:

    Windows 95 クライアントの NTLM 2 を有効にするには、Windows 2000 用の分散ファイル システム (DFS) クライアント、WinSock 2.0 Update、Microsoft DUN 1.3 をインストールします。

  5. レジストリ エディターを終了します。

注:

Windows NT 4.0 および Windows 2000 のレジストリ キーは LMCompatibilityLevel で、Windows 95 および Windows 98 ベースのコンピューターの場合、登録キーは LMCompatibility です。

参考までに、Windows NT 4.0 および Windows 2000 でサポートされている LMCompatibilityLevel 値の値の完全な範囲は次のとおりです。

  • レベル 0 - LM と NTLM 応答を送信します。NTLM 2 セッション セキュリティを使用しないでください。 クライアントは LM と NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
  • レベル 1 - ネゴシエートされた場合は NTLM 2 セッション セキュリティを使用します。 クライアントは LM と NTLM 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
  • レベル 2 - NTLM 応答のみを送信します。 クライアントは NTLM 認証のみを使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
  • レベル 3 - NTLM 2 応答のみを送信します。 クライアントは NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
  • レベル 4 - ドメイン コントローラーは LM 応答を拒否します。 クライアントは NTLM 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM 認証を拒否します (つまり、NTLM と NTLM 2 を受け入れます)。
  • レベル 5 - ドメイン コントローラーは LM 応答と NTLM 応答を拒否します (NTLM 2 のみを受け入れます)。 クライアントは NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは NTLM および LM 認証を拒否します (NTLM 2 のみを受け入れます)。クライアント コンピューターでは、すべてのサーバーと通信する際に使用できるプロトコルは 1 つだけです。 たとえば、NTLM v2 を使用して Windows 2000 ベースのサーバーに接続し、NTLM を使用して他のサーバーに接続するように構成することはできません。 この動作は仕様です。

NTLM セキュリティ サポート プロバイダー (SSP) を使用するプログラムで使用される最小限のセキュリティを構成するには、次のレジストリ キーを変更します。 これらの値は、LMCompatibilityLevel 値に依存します。

  1. レジストリ エディターを起動します (Regedit.exe)。

  2. レジストリで次のキーを見つけます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
    値の名前: NtlmMinClientSec
    データ型: REG_WORD
    値: 次のいずれかの値。

    • 0x00000010- メッセージの整合性
    • 0x00000020- メッセージの機密性
    • 0x00080000- NTLM 2 セッション セキュリティ
    • 0x20000000- 128 ビット暗号化
    • 0x80000000- 56 ビット暗号化
  4. レジストリ エディターを終了します。

クライアント/サーバー プログラムが NTLM SSP を使用する (または NTLM SSP を使用するセキュリティで保護されたリモート プロシージャ コール [RPC]) を使用して接続のセッション セキュリティを提供する場合、使用するセッション セキュリティの種類は次のように決定されます。

  • クライアントは、メッセージの整合性、メッセージの機密性、NTLM 2 セッション セキュリティ、128 ビットまたは 56 ビットの暗号化のいずれかまたはすべての項目を要求します。
  • サーバーが応答し、要求されたセットのどの項目が必要かを示します。
  • 結果のセットは"ネゴシエート" されたと言われています。

NtlmMinClientSec 値を使用して、クライアント/サーバー接続が特定の品質のセッション セキュリティをネゴシエートするか、成功しないようにすることができます。 ただし、次の項目に注意してください。

  • NtlmMinClientSec 値に0x00000010を使用する場合、メッセージの整合性がネゴシエートされていない場合、接続は成功しません。
  • NtlmMinClientSec 値に0x00000020を使用する場合、メッセージの機密性がネゴシエートされていない場合、接続は成功しません。
  • NtlmMinClientSec 値に0x00080000を使用する場合、NTLM 2 セッション セキュリティがネゴシエートされていない場合、接続は成功しません。
  • NtlmMinClientSec 値に0x20000000を使用する場合、メッセージの機密性が使用されているが 128 ビット暗号化がネゴシエートされていない場合、接続は成功しません。