Поделиться через

Включение проверки подлинности NTLM 2

В этой статье описывается, как включить проверку подлинности NTLM 2.

Применяется к: Windows 10 — все выпуски
Исходный номер базы знаний: 239869

Итоги

Исторически Windows NT поддерживает два варианта проверки подлинности вызова и ответа для входа в сеть:

  • Вызов и ответ диспетчера локальной сети (LM)
  • Вариант LM позволяет взаимодействовать с установленной базой Windows 95, Windows 98 и Windows 98 Second Edition. NTLM обеспечивает улучшенную безопасность подключений между клиентами и серверами Windows NT. Windows NT также поддерживает механизм безопасности сеанса NTLM, обеспечивающий конфиденциальность сообщений (шифрование) и целостность (подпись).

Последние улучшения в алгоритмах оборудования компьютера и программного обеспечения сделали эти протоколы уязвимыми к широко опубликованным атакам для получения паролей пользователей. В своих текущих усилиях по обеспечению более безопасных продуктов клиентам корпорация Майкрософт разработала усовершенствование, называемое NTLM версии 2, что значительно улучшает механизмы проверки подлинности и сеансов. NTLM 2 доступен для Windows NT 4.0 с момента выпуска пакета обновления 4 (SP4) и поддерживается изначально в Windows 2000. Вы можете добавить поддержку NTLM 2 в Windows 98, установив расширения клиента Active Directory.

После обновления всех компьютеров, основанных на Windows 95, Windows 98, Windows 98 Second Edition и Windows NT 4.0, вы можете значительно улучшить безопасность организации, настроив клиенты, серверы и контроллеры домена для использования только NTLM 2 (не LM или NTLM).

Дополнительная информация

При установке расширений клиента Active Directory на компьютере под управлением Windows 98 системные файлы, обеспечивающие поддержку NTLM 2, также устанавливаются автоматически. Эти файлы представляют собой Secur32.dll, Msnp32.dll, Vredir.vxd и Vnetsup.vxd. Если удалить расширение клиента Active Directory, системные файлы NTLM 2 не удаляются, так как файлы предоставляют как расширенные функции безопасности, так и исправления, связанные с безопасностью.

По умолчанию шифрование безопасности сеанса NTLM 2 ограничено максимальной длиной ключа 56 бит. Необязательная поддержка 128-разрядных ключей устанавливается автоматически, если система удовлетворяет правилам экспорта США. Чтобы включить 128-разрядную поддержку безопасности сеанса NTLM 2, необходимо установить Microsoft Internet Explorer 4.x или 5 и обновить до 128-разрядной поддержки безопасного подключения перед установкой расширения клиента Active Directory.

Чтобы проверить версию установки, выполните следующее:

  1. Используйте проводник Windows, чтобы найти файл Secur32.dll в папке %SystemRoot%\System.
  2. Щелкните файл правой кнопкой мыши и выберите пункт "Свойства".
  3. Перейдите на вкладку "Версия ". Описание 56-разрядной версии — "Службы безопасности Microsoft Win32 (экспорт версии)." Описание 128-разрядной версии — "Службы безопасности Microsoft Win32 (только США и Канада").

Прежде чем включить проверку подлинности NTLM 2 для клиентов Windows 98, убедитесь, что все контроллеры домена для пользователей, которые входят в сеть из этих клиентов, работают под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. (Контроллеры домена могут запускать Windows NT 4.0 с пакетом обновления 6 (SP6), если клиент и сервер присоединены к разным доменам.) Для поддержки NTLM 2 конфигурация контроллера домена не требуется. Необходимо настроить контроллеры домена только для отключения поддержки проверки подлинности NTLM 1 или LM.

Включение NTLM 2 для клиентов Windows 95, Windows 98 или Windows 98 Second Edition

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Чтобы включить клиент Windows 95, Windows 98 или Windows 98 Second Edition для проверки подлинности NTLM 2, установите клиент служб каталогов. Чтобы активировать NTLM 2 на клиенте, выполните следующие действия.

  1. Запустите редактор реестра (Regedit.exe).

  2. Найдите и щелкните следующий раздел в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Создайте раздел реестра LSA в разделе реестра, указанном выше.

  4. В меню "Правка" выберите команду "Добавить значение", а затем добавьте следующее значение реестра:
    Имя значения: LMCompatibility
    Тип данных: REG_DWORD
    Значение: 3
    Допустимый диапазон: 0,3
    Описание. Этот параметр указывает режим проверки подлинности и безопасности сеанса, используемый для входа в сеть. Это не влияет на интерактивный вход.

    • Уровень 0. Отправка ответа LM и NTLM; никогда не используйте безопасность сеанса NTLM 2. Клиенты будут использовать проверку подлинности LM и NTLM и никогда не использовать безопасность сеанса NTLM 2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.

    • Уровень 3. Отправка только ответа NTLM 2. Клиенты будут использовать проверку подлинности NTLM 2 и использовать безопасность сеанса NTLM 2, если сервер поддерживает его; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.

    Примечание.

    Чтобы включить NTLM 2 для клиентов Windows 95, установите клиент распределенной файловой системы (DFS), Обновление WinSock 2.0 и Microsoft DUN 1.3 для Windows 2000.

  5. Закройте редактор реестра.

Примечание.

Для Windows NT 4.0 и Windows 2000 раздел реестра — LMCompatibilityLevel, а для компьютеров под управлением Windows 95 и Windows 98 ключ регистрации — LMCompatibility.

Для справки полный диапазон значений для значения LMCompatibilityLevel, поддерживаемого Windows NT 4.0 и Windows 2000, включают:

  • Уровень 0. Отправка ответа LM и NTLM; никогда не используйте безопасность сеанса NTLM 2. Клиенты используют проверку подлинности LM и NTLM и никогда не используют безопасность сеанса NTLM 2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 1. При согласовании используйте безопасность сеанса NTLM 2. Клиенты используют проверку подлинности LM и NTLM и используют безопасность сеанса NTLM 2, если сервер поддерживает его; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 2. Отправка только ответа NTLM. Клиенты используют только проверку подлинности NTLM и используют безопасность сеанса NTLM 2, если сервер поддерживает его; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 3. Отправка только ответа NTLM 2. Клиенты используют проверку подлинности NTLM 2 и используют безопасность сеанса NTLM 2, если сервер поддерживает его; контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 4. Контроллеры домена отказываются от ответов LM. Клиенты используют проверку подлинности NTLM и используют безопасность сеанса NTLM 2, если сервер поддерживает его; Контроллеры домена отказываются от проверки подлинности LM (то есть принимают NTLM и NTLM 2).
  • Уровень 5. Контроллеры домена отклоняют ответы LM и NTLM (принимают только NTLM 2). Клиенты используют проверку подлинности NTLM 2, используйте безопасность сеанса NTLM 2, если сервер поддерживает его; контроллеры домена отказываются от проверки подлинности NTLM и LM (они принимают только NTLM 2). Клиентский компьютер может использовать только один протокол для общения со всеми серверами. Вы не можете настроить его, например, использовать NTLM версии 2 для подключения к серверам на основе Windows 2000, а затем использовать NTLM для подключения к другим серверам. Это сделано намеренно.

Вы можете настроить минимальную безопасность, используемую для программ, использующих поставщик поддержки безопасности NTLM (SSP), изменив следующий раздел реестра. Эти значения зависят от значения LMCompatibilityLevel:

  1. Запустите редактор реестра (Regedit.exe).

  2. Найдите следующий раздел в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. В меню "Правка" выберите команду "Добавить значение", а затем добавьте следующее значение реестра:
    Имя значения: NtlmMinClientSec
    Тип данных: REG_WORD
    Значение: одно из следующих значений:

    • 0x00000010— целостность сообщений
    • 0x00000020— конфиденциальность сообщений
    • 0x00080000— безопасность сеанса NTLM 2
    • 0x20000000- 128-разрядное шифрование
    • 0x80000000- 56-разрядное шифрование

  4. Закройте редактор реестра.

Если программа клиента или сервера использует протокол NTLM SSP (или использует безопасный вызов удаленной процедуры [RPC], который использует ntLM SSP) для обеспечения безопасности сеанса для подключения, тип безопасности сеанса, используемый, определяется следующим образом:

  • Клиент запрашивает любые или все следующие элементы: целостность сообщений, конфиденциальность сообщений, безопасность сеанса NTLM 2 и 128-разрядное или 56-разрядное шифрование.
  • Сервер отвечает, указывая, какие элементы запрошенного набора он хочет.
  • Результирующий набор, как говорят, был "согласован".

Значение NtlmMinClientSec можно использовать для того, чтобы клиентские и серверные подключения могли согласовывать заданное качество безопасности сеанса или не выполнять успешно. Однако следует отметить следующие элементы:

  • Если вы используете 0x00000010 для значения NtlmMinClientSec, подключение не завершается успешно, если целостность сообщений не согласована.
  • Если для значения NtlmMinClientSec используется 0x00000020, подключение не выполняется, если конфиденциальность сообщений не согласована.
  • Если для значения NtlmMinClientSec используется 0x00080000, подключение не выполняется, если безопасность сеанса NTLM 2 не согласована.
  • Если для значения NtlmMinClientSec используется 0x20000000, подключение не выполняется, если конфиденциальность сообщений используется, но 128-разрядное шифрование не согласовано.