Udostępnij za pośrednictwem

Jak włączyć uwierzytelnianie NTLM 2

W tym artykule opisano sposób włączania uwierzytelniania NTLM 2.

Dotyczy systemu: Windows 10 (wszystkie wersje)
Oryginalny numer KB: 239869

Podsumowanie

W przeszłości system Windows NT obsługuje dwa warianty uwierzytelniania wyzwania/odpowiedzi dla logowania sieciowego:

  • Wyzwanie/odpowiedź programu LAN Manager (LM)
  • Windows NT challenge/response (znany również jako NTLM w wersji 1 wyzwanie/odpowiedź) Wariant LM umożliwia współdziałanie z zainstalowaną bazą systemów Windows 95, Windows 98 i Windows 98 Second Edition oraz serwerami. Protokół NTLM zapewnia lepsze zabezpieczenia połączeń między klientami i serwerami systemu Windows NT. System Windows NT obsługuje również mechanizm zabezpieczeń sesji NTLM, który zapewnia poufność wiadomości (szyfrowanie) i integralność (podpisywanie).

Ostatnie ulepszenia algorytmów sprzętu i oprogramowania komputerowego sprawiły, że te protokoły były podatne na szeroko opublikowane ataki na uzyskiwanie haseł użytkowników. W trwających wysiłkach na rzecz zapewnienia klientom bezpieczniejszych produktów firma Microsoft opracowała rozszerzenie o nazwie NTLM w wersji 2, które znacznie poprawia zarówno mechanizmy zabezpieczeń uwierzytelniania, jak i sesji. Protokół NTLM 2 jest dostępny dla systemu Windows NT 4.0 od czasu wydania dodatku Service Pack 4 (SP4) i jest obsługiwany natywnie w systemie Windows 2000. Obsługę protokołu NTLM 2 można dodać do systemu Windows 98, instalując rozszerzenia klienta usługi Active Directory.

Po uaktualnieniu wszystkich komputerów opartych na systemie Windows 95, Windows 98, Windows 98 Second Edition i Windows NT 4.0 można znacznie poprawić bezpieczeństwo organizacji, konfigurując klientów, serwerów i kontrolerów domeny do używania tylko NTLM 2 (nie LM lub NTLM).

Więcej informacji

Podczas instalowania rozszerzeń klienta usługi Active Directory na komputerze z systemem Windows 98 pliki systemowe, które zapewniają obsługę NTLM 2, są również instalowane automatycznie. Te pliki są Secur32.dll, Msnp32.dll, Vredir.vxd i Vnetsup.vxd. Jeśli usuniesz rozszerzenie klienta usługi Active Directory, pliki systemowe NTLM 2 nie zostaną usunięte, ponieważ pliki zapewniają zarówno rozszerzone funkcje zabezpieczeń, jak i poprawki związane z zabezpieczeniami.

Domyślnie szyfrowanie zabezpieczeń sesji NTLM 2 jest ograniczone do maksymalnej długości klucza wynoszącego 56 bitów. Opcjonalna obsługa 128-bitowych kluczy jest instalowana automatycznie, jeśli system spełnia Stany Zjednoczone przepisów dotyczących eksportu. Aby włączyć obsługę zabezpieczeń 128-bitowej sesji NTLM 2, należy zainstalować program Microsoft Internet Explorer 4.x lub 5 i uaktualnić do 128-bitowej obsługi bezpiecznego połączenia przed zainstalowaniem rozszerzenia klienta usługi Active Directory.

Aby zweryfikować wersję instalacji:

  1. Użyj Eksploratora Windows, aby zlokalizować plik Secur32.dll w folderze %SystemRoot%\System.
  2. Kliknij prawym przyciskiem myszy plik, a następnie kliknij polecenie Właściwości.
  3. Kliknij kartę Wersja . Opis wersji 56-bitowej to "Microsoft Win32 Security Services (wersja eksportu)." Opis wersji 128-bitowej to "Microsoft Win32 Security Services (tylko STANY USA i Kanada)."

Przed włączeniem uwierzytelniania NTLM 2 dla klientów systemu Windows 98 sprawdź, czy wszystkie kontrolery domeny dla użytkowników logujących się do sieci z tych klientów korzystają z systemu Windows NT 4.0 z dodatkiem Service Pack 4 lub nowszym. (Kontrolery domeny mogą uruchamiać system Windows NT 4.0 z dodatkiem Service Pack 6, jeśli klient i serwer są przyłączone do różnych domen). Do obsługi protokołu NTLM 2 nie jest wymagana żadna konfiguracja kontrolera domeny. Kontrolery domeny należy skonfigurować tylko w celu wyłączenia obsługi uwierzytelniania NTLM 1 lub LM.

Włączanie protokołu NTLM 2 dla klientów z systemem Windows 95, Windows 98 lub Windows 98 Second Edition

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Aby włączyć klienta systemu Windows 95, Windows 98 lub Windows 98 Second Edition na potrzeby uwierzytelniania NTLM 2, zainstaluj klienta usług katalogowych. Aby aktywować protokół NTLM 2 na kliencie, wykonaj następujące kroki:

  1. Uruchom Edytor rejestru (Regedit.exe).

  2. Znajdź i kliknij następujący klucz w rejestrze: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Utwórz klucz rejestru LSA w kluczu rejestru wymienionym powyżej.

  4. W menu Edycja kliknij pozycję Dodaj wartość, a następnie dodaj następującą wartość rejestru:
    Nazwa wartości: LMCompatibility
    Typ danych: REG_DWORD
    Wartość: 3
    Prawidłowy zakres: 0,3
    Opis: Ten parametr określa tryb zabezpieczeń uwierzytelniania i sesji, które mają być używane do logowania sieciowego. Nie ma to wpływu na logowania interakcyjne.

    • Poziom 0 — wysyłanie odpowiedzi LM i NTLM; nigdy nie należy używać zabezpieczeń sesji NTLM 2. Klienci będą używać uwierzytelniania LM i NTLM i nigdy nie będą używać zabezpieczeń sesji NTLM 2; Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.

    • Poziom 3 — wysyłaj tylko odpowiedź NTLM 2. Klienci będą używać uwierzytelniania NTLM 2 i używać zabezpieczeń sesji NTLM 2, jeśli serwer go obsługuje; Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.

    Uwaga 16.

    Aby włączyć protokół NTLM 2 dla klientów z systemem Windows 95, zainstaluj klienta rozproszonego systemu plików (DFS), aktualizację WinSock 2.0 i microsoft DUN 1.3 dla systemu Windows 2000.

  5. Zamknij Edytor rejestru.

Uwaga 16.

W przypadku systemów Windows NT 4.0 i Windows 2000 klucz rejestru to LMCompatibilityLevel, a w przypadku komputerów z systemami Windows 95 i Windows 98 klucz rejestru to LMCompatibility.

Pełny zakres wartości dla wartości LMCompatibilityLevel obsługiwanych przez system Windows NT 4.0 i Windows 2000 obejmują:

  • Poziom 0 — wysyłanie odpowiedzi LM i NTLM; nigdy nie należy używać zabezpieczeń sesji NTLM 2. Klienci używają uwierzytelniania LM i NTLM i nigdy nie używają zabezpieczeń sesji NTLM 2; Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
  • Poziom 1 — w przypadku negocjowania należy użyć zabezpieczeń sesji NTLM 2. Klienci korzystają z uwierzytelniania LM i NTLM i używają zabezpieczeń sesji NTLM 2, jeśli serwer go obsługuje; Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
  • Poziom 2 — wysyłaj tylko odpowiedź NTLM. Klienci używają tylko uwierzytelniania NTLM i używają zabezpieczeń sesji NTLM 2, jeśli serwer go obsługuje; Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
  • Poziom 3 — wysyłaj tylko odpowiedź NTLM 2. Klienci korzystają z uwierzytelniania NTLM 2 i używają zabezpieczeń sesji NTLM 2, jeśli serwer go obsługuje; Kontrolery domeny akceptują uwierzytelnianie LM, NTLM i NTLM 2.
  • Poziom 4 — kontrolery domeny odrzucają odpowiedzi LM. Klienci korzystają z uwierzytelniania NTLM i używają zabezpieczeń sesji NTLM 2, jeśli serwer go obsługuje; kontrolery domeny odrzucają uwierzytelnianie LM (czyli akceptują ntLM i NTLM 2).
  • Poziom 5 — kontrolery domeny odrzucają odpowiedzi LM i NTLM (akceptują tylko NTLM 2). Klienci korzystają z uwierzytelniania NTLM 2, używają zabezpieczeń sesji NTLM 2, jeśli serwer go obsługuje; Kontrolery domeny odrzucają uwierzytelnianie NTLM i LM (akceptują tylko protokół NTLM 2). Komputer kliencki może używać tylko jednego protokołu w komunikacji ze wszystkimi serwerami. Nie można go skonfigurować, na przykład, aby używać protokołu NTLM w wersji 2 do nawiązywania połączenia z serwerami opartymi na systemie Windows 2000, a następnie używać protokołu NTLM do łączenia się z innymi serwerami. Jest to celowe.

Można skonfigurować minimalne zabezpieczenia, które są używane dla programów korzystających z dostawcy obsługi zabezpieczeń NTLM (SSP), modyfikując następujący klucz rejestru. Te wartości są zależne od wartości LMCompatibilityLevel:

  1. Uruchom Edytor rejestru (Regedit.exe).

  2. Znajdź następujący klucz w rejestrze: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. W menu Edycja kliknij pozycję Dodaj wartość, a następnie dodaj następującą wartość rejestru:
    Nazwa wartości: NtlmMinClientSec
    Typ danych: REG_WORD
    Wartość: jedna z poniższych wartości:

    • 0x00000010 — integralność komunikatów
    • 0x00000020 — poufność wiadomości
    • 0x00080000 — zabezpieczenia sesji NTLM 2
    • 0x20000000 — szyfrowanie 128-bitowe
    • 0x80000000 — szyfrowanie 56-bitowe

  4. Zamknij Edytor rejestru.

Jeśli program klienta/serwera używa dostawcy SSP NTLM (lub używa bezpiecznego zdalnego wywołania procedury [RPC], który używa protokołu SSP NTLM) do zapewnienia zabezpieczeń sesji dla połączenia, typ zabezpieczeń sesji do użycia jest określany w następujący sposób:

  • Klient żąda dowolnych lub wszystkich następujących elementów: integralność komunikatów, poufność wiadomości, zabezpieczenia sesji NTLM 2 i 128-bitowe lub 56-bitowe szyfrowanie.
  • Serwer odpowiada, wskazując, które elementy żądanego zestawu.
  • Mówi się, że wynikowy zestaw został "wynegocjowany".

Możesz użyć wartości NtlmMinClientSec, aby spowodować, że połączenia klienta/serwera będą negocjować daną jakość zabezpieczeń sesji lub nie zakończyć się powodzeniem. Należy jednak zwrócić uwagę na następujące elementy:

  • Jeśli używasz 0x00000010 dla wartości NtlmMinClientSec, połączenie nie powiedzie się, jeśli integralność komunikatu nie zostanie wynegocjowana.
  • Jeśli używasz 0x00000020 dla wartości NtlmMinClientSec, połączenie nie powiedzie się, jeśli poufność wiadomości nie zostanie wynegocjowana.
  • Jeśli używasz 0x00080000 dla wartości NtlmMinClientSec, połączenie nie powiedzie się, jeśli zabezpieczenia sesji NTLM 2 nie są negocjowane.
  • Jeśli używasz 0x20000000 dla wartości NtlmMinClientSec, połączenie nie powiedzie się, jeśli poufność wiadomości jest używana, ale szyfrowanie 128-bitowe nie jest negocjowane.