Главная » Linux

Ntlmv2 windows 10 включить

Содержание
  1. Network security: LAN Manager authentication level
  2. Reference
  3. Possible values
  4. Best practices
  5. Policy Location
  6. Registry Location
  7. Default values
  8. Policy management
  9. Restart requirement
  10. Group Policy
  11. Security considerations
  12. Vulnerability
  13. Countermeasure
  14. Potential impact
  15. Как включить проверку подлинности NTLM 2
  16. Общая информация
  17. Дополнительные сведения
  18. Включение клиентов NTLM 2 для Windows 95, Windows 98 или Windows 98 Second Edition

Network security: LAN Manager authentication level

Applies to

Describes the best practices, location, values, policy management and security considerations for the Network security: LAN Manager authentication level security policy setting.

Reference

This policy setting determines which challenge or response authentication protocol is used for network logons. LAN Manager (LM) includes client computer and server software from Microsoft that allows users to link personal devices together on a single network. Network capabilities include transparent file and print sharing, user security features, and network administration tools. In Active Directory domains, the Kerberos protocol is the default authentication protocol. However, if the Kerberos protocol is not negotiated for some reason, Active Directory uses LM, NTLM, or NTLM version 2 (NTLMv2).

LAN Manager authentication includes the LM, NTLM, and NTLMv2 variants, and it is the protocol that is used to authenticate all client devices running the Windows operating system when they perform the following operations:

  • Join a domain
  • Authenticate between Active Directory forests
  • Authenticate to domains based on earlier versions of the Windows operating system
  • Authenticate to computers that do not run WindowsВ operating systems, beginning with WindowsВ 2000
  • Authenticate to computers that are not in the domain

Possible values

  • Send LM & NTLM responses
  • Send LM & NTLM — use NTLMv2 session security if negotiated
  • Send NTLM responses only
  • Send NTLMv2 responses only
  • Send NTLMv2 responses only. Refuse LM
  • Send NTLMv2 responses only. Refuse LM & NTLM
  • Not Defined

The Network security: LAN Manager authentication level setting determines which challenge/response authentication protocol is used for network logons. This choice affects the authentication protocol level that clients use, the session security level that the computers negotiate, and the authentication level that servers accept. The following table identifies the policy settings, describes the setting, and identifies the security level used in the corresponding registry setting if you choose to use the registry to control this setting instead of the policy setting.

Setting Description Registry security level
Send LM & NTLM responses Client devices use LM and NTLM authentication, and they never use NTLMv2 session security. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 0
Send LM & NTLM – use NTLMv2 session security if negotiated Client devices use LM and NTLM authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 1
Send NTLM response only Client devices use NTLMv1 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 2
Send NTLMv2 response only Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 3
Send NTLMv2 response only. Refuse LM Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers refuse to accept LM authentication, and they will accept only NTLM and NTLMv2 authentication. 4
Send NTLMv2 response only. Refuse LM & NTLM Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers refuse to accept LM and NTLM authentication, and they will accept only NTLMv2 authentication. 5

Best practices

  • Best practices are dependent on your specific security and authentication requirements.

Policy Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Registry Location

Default values

The following table lists the actual and effective default values for this policy. Default values are also listed on the policy’s property page.

Server type or GPO Default value
Default Domain Policy Not defined
Default Domain Controller Policy Not defined
Stand-Alone Server Default Settings Send NTLMv2 response only
DC Effective Default Settings Send NTLMv2 response only
Member Server Effective Default Settings Send NTLMv2 response only
Client Computer Effective Default Settings Not defined

Policy management

This section describes features and tools that are available to help you manage this policy.

Restart requirement

None. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Group Policy

Modifying this setting may affect compatibility with client devices, services, and applications.

Security considerations

This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Vulnerability

In WindowsВ 7 and WindowsВ Vista, this setting is undefined. In WindowsВ ServerВ 2008В R2 and later, this setting is configured to Send NTLMv2 responses only.

Countermeasure

Configure the Network security: LAN Manager Authentication Level setting to Send NTLMv2 responses only. Microsoft and a number of independent organizations strongly recommend this level of authentication when all client computers support NTLMv2.

Potential impact

Client devices that do not support NTLMv2 authentication cannot authenticate in the domain and access domain resources by using LM and NTLM.

Как включить проверку подлинности NTLM 2

В этой статье описывается, как включить проверку подлинности NTLM 2.

Оригинальная версия продукта: Windows 10 — все выпуски
Исходный номер КБ: 239869

Общая информация

Исторически, Windows NT поддерживает два варианта проверки подлинности вызовов и ответов для сетевых логотипов:

  • Вызов/ответ lan-менеджера (LM)
  • Windows NT/response (также известный как NTLM версия 1 challenge/response) вариант LM позволяет работать с установленной базой клиентов и серверов Windows 95, Windows 98 и Windows 98 Second Edition. NTLM обеспечивает улучшенную безопасность для подключений между Windows NT клиентами и серверами. Windows NT поддерживает механизм безопасности сеанса сеанса NTLM, который обеспечивает конфиденциальность сообщений (шифрование) и целостность (подписание).

Недавние улучшения компьютерного оборудования и алгоритмов программного обеспечения сделали эти протоколы уязвимыми для широко опубликованных атак для получения паролей пользователей. В своих постоянных усилиях по доставке более безопасных продуктов для своих клиентов Корпорация Майкрософт разработала усовершенствование под названием NTLM версии 2, которое значительно улучшает механизмы проверки подлинности и безопасности сеансов. NTLM 2 доступен для Windows NT 4.0 с момента выпуска Пакет обновления 4 (SP4) и поддерживается нативным образом в Windows 2000. Вы можете добавить поддержку NTLM 2 в Windows 98, установив клиентские расширения Active Directory.

После обновления всех компьютеров, основанных на Windows 95, Windows 98, Windows 98 Second Edition и Windows NT 4.0, можно значительно повысить безопасность организации, настроив клиенты, серверы и контроллеры домена, чтобы использовать только NTLM 2 (не LM или NTLM).

Дополнительные сведения

При установке клиентских расширений Active Directory на компьютере с Windows 98 автоматически устанавливаются системные файлы, которые обеспечивают поддержку NTLM 2. Эти файлы Secur32.dll, Msnp32.dll, Vredir.vxd и Vnetsup.vxd. При удалении клиентского расширения Active Directory системные файлы NTLM 2 не удаляются, так как файлы предоставляют расширенные функции безопасности и исправления, связанные с безопасностью.

По умолчанию шифрование безопасности сеанса NTLM 2 ограничено максимальной длиной ключа в 56 бит. Необязательная поддержка 128-битных ключей устанавливается автоматически, если система удовлетворяет правилам экспорта США. Чтобы включить 128-битную поддержку безопасности сеанса NTLM 2, необходимо установить Microsoft Internet Explorer 4.x или 5 и обновить до 128-битной поддержки безопасного подключения, прежде чем установить расширение клиента Active Directory.

Чтобы проверить версию установки:

  1. С помощью Обозревателя Windows Secur32.dll файл в папке %SystemRoot%\System.
  2. Щелкните правой кнопкой мыши файл и выберите команду Свойства.
  3. Щелкните вкладку Версия. Описание 56-битной версии : «Службы безопасности Microsoft Win32 (Экспортная версия)». Описание 128-битной версии : «Службы безопасности Microsoft Win32 (только США и Канада) «.

Прежде чем включить проверку подлинности NTLM 2 для клиентов Windows 98, убедитесь, что все контроллеры домена для пользователей, которые войдите в сеть из этих клиентов, работают Windows NT 4.0 Пакет обновления 4 или более поздней версии. (Контроллеры домена могут работать Windows NT 4.0 Пакет обновления 6, если клиент и сервер присоединяются к разным доменам.) Конфигурация контроллера домена не требуется для поддержки NTLM 2. Необходимо настроить контроллеры домена только для отключения поддержки проверки подлинности NTLM 1 или LM.

Включение клиентов NTLM 2 для Windows 95, Windows 98 или Windows 98 Second Edition

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Чтобы включить клиент Windows 95, Windows 98 или Windows 98 Second Edition для проверки подлинности NTLM 2, установите клиент служб Directory. Чтобы активировать NTLM 2 для клиента, выполните следующие действия:

Начните редактор реестра (Regedit.exe).

Найдите и щелкните следующий ключ в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

Создайте ключ реестра LSA в ключевых реестрах, перечисленных выше.

В меню Изменить нажмите кнопку Добавить значение, а затем добавьте следующее значение реестра:
Имя значения: LMCompatibility
Тип данных: REG_DWORD
Значение: 3
Допустимый диапазон: 0,3
Описание. Этот параметр указывает режим проверки подлинности и безопасности сеансов, которые будут использоваться для сетевых логотипов. Это не влияет на интерактивные логотипы.

Уровень 0 . Отправка ответа LM и NTLM; никогда не используйте безопасность сеанса NTLM 2. Клиенты будут использовать проверку подлинности LM и NTLM и никогда не будут использовать безопасность сеансов NTLM 2; Контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.

Уровень 3 . Отправить только ответ NTLM 2. Клиенты будут использовать проверку подлинности NTLM 2 и использовать безопасность сеансов NTLM 2, если сервер поддерживает ее; Контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.

Чтобы включить NTLM 2 для клиентов Windows 95, установите клиент распределенной файловой системы (DFS), Обновление WinSock 2.0 и Microsoft DUN 1.3 для Windows 2000.

Закройте редактор реестра.

Для Windows NT 4.0 и Windows 2000 ключом реестра является LMCompatibilityLevel, а для компьютеров с Windows 95 и Windows 98 ключом регистрации является LMCompatibility.

Для справки полный диапазон значений для значения LMCompatibilityLevel, поддерживаемого Windows NT 4.0 и Windows 2000, включает:

  • Уровень 0 . Отправка ответа LM и NTLM; никогда не используйте безопасность сеанса NTLM 2. Клиенты используют проверку подлинности LM и NTLM и никогда не используют безопасность сеансов NTLM 2; Контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 1 . При согласовании используйте безопасность сеанса NTLM 2. Клиенты используют проверку подлинности LM и NTLM и используют безопасность сеансов NTLM 2, если сервер поддерживает ее; Контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 2 . Отправить только ответ NTLM. Клиенты используют только проверку подлинности NTLM и используют безопасность сеансов NTLM 2, если сервер поддерживает ее; Контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 3 . Отправить только ответ NTLM 2. Клиенты используют проверку подлинности NTLM 2 и используют безопасность сеансов NTLM 2, если сервер поддерживает ее; Контроллеры домена принимают проверку подлинности LM, NTLM и NTLM 2.
  • Уровень 4 . Контроллеры домена отказываются от ответов LM. Клиенты используют проверку подлинности NTLM и используют безопасность сеансов NTLM 2, если сервер поддерживает ее; Контроллеры домена отказываются от проверки подлинности LM (то есть принимают NTLM и NTLM 2).
  • Уровень 5 . Контроллеры домена отказываются от ответов LM и NTLM (принимают только NTLM 2). Клиенты используют проверку подлинности NTLM 2, используют безопасность сеансов NTLM 2, если сервер поддерживает ее; Контроллеры домена отказываются от проверки подлинности NTLM и LM (они принимают только NTLM 2). Клиентский компьютер может использовать только один протокол при разговоре со всеми серверами. Вы не можете настроить его, например, чтобы использовать NTLM v2 для подключения к серверам на базе Windows 2000, а затем использовать NTLM для подключения к другим серверам. Данное поведение является особенностью продукта.

Можно настроить минимальную безопасность, используемую для программ, которые используют поставщика поддержки безопасности NTLM(SSP), изменяя следующий ключ реестра. Эти значения зависят от значения LMCompatibilityLevel:

Начните редактор реестра (Regedit.exe).

Найдите следующий ключ в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

В меню Изменить нажмите кнопку Добавить значение, а затем добавьте следующее значение реестра:
Имя значения: NtlmMinClientSec
Тип данных: REG_WORD
Значение: одно из значений ниже:

  • 0x00000010- целостность сообщений
  • 0x00000020- конфиденциальность сообщений
  • 0x00080000- безопасность сеанса NTLM 2
  • 0x20000000- 128-битное шифрование
  • 0x80000000- 56-битное шифрование

Закройте редактор реестра.

Если клиент/серверная программа использует SSP NTLM (или использует безопасный вызов удаленной процедуры [RPC], который использует SSP NTLM) для обеспечения безопасности сеанса для подключения, тип безопасности сеанса для использования определяется следующим образом:

  • Клиент запрашивает любые или все следующие элементы: целостность сообщений, конфиденциальность сообщений, безопасность сеансов NTLM 2 и 128-битное или 56-битное шифрование.
  • Сервер отвечает, указывая, какие элементы запрашиваемого набора он хочет.
  • Сообщается, что в результате набора были «согласованы».

Вы можете использовать значение NtlmMinClientSec, чтобы вызвать подключение к клиенту или серверу, чтобы договориться о заданном качестве безопасности сеанса или не добиться успеха. Однако следует отметить следующие элементы:

  • Если вы 0x00000010 для значения NtlmMinClientSec, подключение не удается, если целостность сообщения не согласована.
  • Если вы 0x00000020 для значения NtlmMinClientSec, подключение не удается, если конфиденциальность сообщений не согласована.
  • Если вы 0x00080000 для значения NtlmMinClientSec, подключение не удается, если не согласована безопасность сеанса NTLM 2.
  • Если вы 0x20000000 для значения NtlmMinClientSec, подключение не удается, если используется конфиденциальность сообщений, но 128-битное шифрование не согласовано.

—>

Читайте также:  Как сделать автоматическое выключение компьютера windows 10
Оцените статью
© 2024 Советы по настройке компьютера