この記事では、NTLM 2 認証を有効にする方法について説明します。
適用対象: Windows 10 - すべてのエディション
元の KB 番号: 239869
まとめ
これまで、Windows NT では、ネットワーク ログオンに対して次の 2 種類のチャレンジ/応答認証がサポートされています。
- LAN Manager (LM) チャレンジ/応答
- Windows NT チャレンジ/応答 (NTLM バージョン 1 チャレンジ/応答とも呼ばれます) LM バリアントを使用すると、インストールされている Windows 95、Windows 98、および Windows 98 Second Edition のクライアントとサーバーとの相互運用性を実現できます。 NTLM を使用すると、Windows NT クライアントとサーバー間の接続のセキュリティが強化されます。 Windows NT では、メッセージの機密性 (暗号化) と整合性 (署名) を提供する NTLM セッション セキュリティ メカニズムもサポートされています。
コンピューターのハードウェアとソフトウェアのアルゴリズムの最近の改善により、これらのプロトコルは、ユーザー パスワードを取得するために広く公開されている攻撃に対して脆弱になっています。 Microsoft は、より安全な製品をお客様に提供するための継続的な取り組みにおいて、NTLM バージョン 2 と呼ばれる拡張機能を開発し、認証とセッションの両方のセキュリティ メカニズムを大幅に改善しています。 NTLM 2 は、Service Pack 4 (SP4) がリリースされてから Windows NT 4.0 で使用でき、Windows 2000 でネイティブにサポートされています。 Active Directory クライアント拡張機能をインストールすることで、Windows 98 に NTLM 2 のサポートを追加できます。
Windows 95、Windows 98、Windows 98 Second Edition、および Windows NT 4.0 に基づくすべてのコンピューターをアップグレードした後は、NTLM 2 (LM または NTLM ではなく) のみを使用するようにクライアント、サーバー、ドメイン コントローラーを構成することで、組織のセキュリティを大幅に向上させることができます。
詳細
Windows 98 を実行しているコンピューターに Active Directory クライアント拡張機能をインストールすると、NTLM 2 のサポートを提供するシステム ファイルも自動的にインストールされます。 これらのファイルは、Secur32.dll、Msnp32.dll、Vredir.vxd、Vnetsup.vxd です。 Active Directory クライアント拡張機能を削除した場合、NTLM 2 システム ファイルは削除されません。このファイルには、強化されたセキュリティ機能とセキュリティ関連の修正プログラムの両方が用意されているためです。
既定では、NTLM 2 セッション セキュリティ暗号化は最大キー長 56 ビットに制限されます。 システムが輸出規制を満たしている場合、128 ビット キーのオプションサポート米国自動的にインストールされます。 128 ビット NTLM 2 セッション セキュリティ サポートを有効にするには、Active Directory クライアント拡張機能をインストールする前に、Microsoft Internet Explorer 4.x または 5 をインストールし、128 ビットのセキュリティで保護された接続サポートにアップグレードする必要があります。
インストールバージョンを確認するには:
- エクスプローラーを使用して、%SystemRoot%\System フォルダー内のSecur32.dll ファイルを見つけます。
- ファイルを右クリックし、 Properties をクリックします。
- Version タブをクリックします。56 ビット バージョンの説明は"Microsoft Win32 Security Services (エクスポート バージョン)" です。128 ビット バージョンの説明は"Microsoft Win32 Security Services (米国およびカナダのみ)" です。
Windows 98 クライアントで NTLM 2 認証を有効にする前に、これらのクライアントからネットワークにログオンするユーザーのすべてのドメイン コントローラーが Windows NT 4.0 Service Pack 4 以降を実行していることを確認します。 (クライアントとサーバーが異なるドメインに参加している場合、ドメイン コントローラーは Windows NT 4.0 Service Pack 6 を実行できます)。NTLM 2 をサポートするためにドメイン コントローラーの構成は必要ありません。 NTLM 1 または LM 認証のサポートを無効にするためにのみ、ドメイン コントローラーを構成する必要があります。
Windows 95、Windows 98、または Windows 98 Second Edition クライアントで NTLM 2 を有効にする
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、次の記事の番号をクリックして表示される Microsoft サポート技術情報の記事を参照してください。
322756 Windows でレジストリをバックアップおよび復元する方法
NTLM 2 認証で Windows 95、Windows 98、または Windows 98 Second Edition クライアントを有効にするには、ディレクトリ サービス クライアントをインストールします。 クライアントで NTLM 2 をアクティブにするには、次の手順に従います。
レジストリ エディター (regedit.exe) を起動します。
レジストリで次のキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control上記のレジストリ キーに LSA レジストリ キーを作成します。
[編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前: LMCompatibility
データ型: REG_DWORD
値: 3
有効な範囲: 0,3
説明: このパラメーターは、ネットワーク ログオンに使用する認証モードとセッション セキュリティを指定します。 対話型ログオンには影響しません。レベル 0 - LM と NTLM 応答を送信します。NTLM 2 セッション セキュリティを使用しないでください。 クライアントは LM および NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
レベル 3 - NTLM 2 応答のみを送信します。 クライアントは NTLM 2 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
Note
Windows 95 クライアントで NTLM 2 を有効にするには、分散ファイル システム (DFS) クライアント、WinSock 2.0 Update、および Microsoft DUN 1.3 for Windows 2000 をインストールします。
レジストリ エディターを終了します。
Note
Windows NT 4.0 および Windows 2000 の場合、レジストリ キーは LMCompatibilityLevel であり、Windows 95 および Windows 98 ベースのコンピューターの場合、登録キーは LMCompatibility です。
参考までに、Windows NT 4.0 および Windows 2000 でサポートされている LMCompatibilityLevel 値の値の全範囲は次のとおりです。
- レベル 0 - LM と NTLM 応答を送信します。NTLM 2 セッション セキュリティを使用しないでください。 クライアントは LM と NTLM 認証を使用し、NTLM 2 セッション セキュリティは使用しません。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
- レベル 1 - ネゴシエートされた場合は、NTLM 2 セッション セキュリティを使用します。 クライアントは LM と NTLM 認証を使用し、サーバーでサポートされている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
- - レベル 2 NTLM 応答のみ送信する。 クライアントは NTLM 認証のみを使用し、サーバーが NTLM 2 セッション セキュリティをサポートしている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
- レベル 3 - NTLM 2 応答のみを送信します。 クライアントは NTLM 2 認証を使用し、サーバーが NTLM 2 セッション セキュリティをサポートしている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは、LM、NTLM、NTLM 2 認証を受け入れます。
- - レベル 4 ドメイン コントローラーは LM 応答を拒否する。 クライアントは NTLM 認証を使用し、サーバーが NTLM 2 セッション セキュリティをサポートしている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは LM 認証を拒否します (つまり、NTLM と NTLM 2 を受け入れます)。
- レベル 5 - ドメイン コントローラーは LM および NTLM 応答を拒否します (NTLM 2 のみを受け入れます)。 クライアントは NTLM 2 認証を使用し、サーバーが NTLM 2 セッション セキュリティをサポートしている場合は NTLM 2 セッション セキュリティを使用します。ドメイン コントローラーは NTLM および LM 認証を拒否します (NTLM 2 のみを受け入れます)。クライアント コンピューターは、すべてのサーバーと通信する場合に使用できるプロトコルは 1 つだけです。 たとえば、NTLM v2 を使用して Windows 2000 ベースのサーバーに接続し、NTLM を使用して他のサーバーに接続するように構成することはできません。 これは仕様です。
次のレジストリ キーを変更することで、NTLM セキュリティ サポート プロバイダー (SSP) を使用するプログラムに使用される最小セキュリティを構成できます。 これらの値は、LMCompatibilityLevel 値に依存します。
レジストリ エディター (regedit.exe) を起動します。
レジストリで次のキーを見つけます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0[編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前: NtlmMinClientSec
データ型: REG_WORD
値: 次のいずれかの値。- 0x00000010- メッセージの整合性
- 0x00000020- メッセージの機密性
- 0x00080000- NTLM 2 セッション セキュリティ
- 0x20000000- 128 ビット暗号化
- 0x80000000- 56 ビット暗号化
レジストリ エディターを終了します。
クライアント/サーバー プログラムが NTLM SSP (または NTLM SSP を使用するセキュリティで保護されたリモート プロシージャ コール [RPC] を使用) を使用して接続のセッション セキュリティを提供する場合、使用するセッション セキュリティの種類は次のように決定されます。
- クライアントは、メッセージの整合性、メッセージの機密性、NTLM 2 セッション セキュリティ、128 ビットまたは 56 ビット暗号化のいずれかまたはすべての項目を要求します。
- サーバーが応答し、要求されたセットのどの項目が必要かを示します。
- 結果のセットは"ネゴシエート" されたと言われています。
NtlmMinClientSec 値を使用すると、クライアント/サーバー接続で特定の品質のセッション セキュリティをネゴシエートするか、成功しないようにすることができます。 ただし、次の点に注意してください。
- NtlmMinClientSec 値に0x00000010を使用する場合、メッセージの整合性がネゴシエートされていない場合、接続は成功しません。
- NtlmMinClientSec 値に0x00000020を使用する場合、メッセージの機密性がネゴシエートされていない場合、接続は成功しません。
- NtlmMinClientSec 値に0x00080000を使用する場合、NTLM 2 セッション セキュリティがネゴシエートされていない場合、接続は成功しません。
- NtlmMinClientSec 値に0x20000000を使用する場合、メッセージの機密性が使用中であっても、128 ビット暗号化がネゴシエートされていない場合、接続は成功しません。