Infoportal Aktivieren der NTLM 2-Authentifizierung für Windows 95/98/2000 und NT

Diesen Beitrag auf der neuen Seite lesen

Zusammenfassung

Historisch unterstützt Windows NT zwei Arten der Challenge/Response-Authentifizierung für Netzwerkumgebung:

• LAN Manager (LM) Challenge/Response
  
• Windows NT Challenge/Response (auch bekannt unter dem Namen NTLM Version 1 Challenge/Response)
  

Die LM-Variante ermöglicht die Interoperabilität mit der installierten Basis von Windows 95-Clients und -Servern. NTLM bietet höhere Sicherheit für Verbindungen zwischen Windows NT-Clients und -Servern. Windows NT unterstützt zudem den NTLM-Sitzungssicherheitsmechanismus, der die Vertraulichkeit (Verschlüsselung) und Integrität (Signatur) von Nachrichten gewährleistet.

Jüngste Verbesserungen bei der Computerhardware und bei Softwarealgorithmen haben diese Protokolle anfällig gemacht für eine breite Palette an Angriffen, deren Ziel es ist, Benutzerkennwörter auszuspionieren. Microsoft ist stets bemüht, seinen Kunden sicherere Produkte zur Verfügung zu stellen und hat daher die ausgereiftere Version NTLM 2 entwickelt, welche sowohl Authentifizierungs- als auch Sitzungssicherheitsmechanismen wesentlich verbessert. NTLM 2 ist seit der Freigabe von Service Pack 4 (SP4) für Windows NT 4.0 verfügbar und wird in Windows 2000 von Haus aus unterstützt. Sie können die NTLM 2-Unterstützung auch für Windows 95 und 98 hinzufügen, indem Sie den Directory Services-Client von der Windows 2000-CD installieren.

Nachdem Sie alle Ihre Windows 95/98- und Windows NT 4.0-Computer aktualisiert haben, können Sie wesentlich zur höheren Sicherheit Ihrer Organisation beitragen, indem Sie die Clients, Server und Domänencontroller so konfigurieren, dass sie ausschließlich NTLM 2 (und nicht LM oder NTLM) verwenden.

Weitere Informationen

For additional information about installing the appropriate Active Directory Client Extension, click the following article number to view the article in the Microsoft Knowledge Base:

• 288358  How to install the Active Directory client extension
  

Der Directory Services Client befindet sich auf der Windows 2000-CD im Verzeichnis Clients\Win9x\Dsclient.exe . Wenn Sie die Datei Dsclient.exe auf einem Windows 95/98-Computer ausführen, werden die Systemdateien, die die Unterstützung für NTLM 2 beinhalten, automatisch mit installiert. Bei diesen Dateien handelt es sich um Secur32.dll, Msnp32.dll, Vredir.vxd, and Vnetsup.vxd. Wenn Sie den Dsclient deinstallieren, werden die NTLM 2-Systemdateien nicht entfernt, da sie sowohl eine verbesserte Sicherheitsfunktionalität als auch sicherheitsrelevante Updates bieten.

Standardmäßig ist die Sicherheitsverschlüsselung für eine NTLM 2-Sitzung auf eine maximale Verschlüsselungslänge von 56 Bits beschränkt. Optionale Unterstützung für 128-Bit-Verschlüsselung wird automatisch installiert, wenn das System die Exportbestimmungen der Vereinigten Staaten erfüllt. Damit die Sicherheitsunterstützung für eine NTLM 2-Sitzung mit 128-Bit-Verschlüsselung aktiviert wird, müssen Sie erst Microsoft Internet Explorer 4.x oder 5 installieren und auf die Unterstützung für 128-Bit-Verschlüsselung aktualisieren, bevor Sie den Directory Services Client installieren.

So überprüfen Sie, welche Version auf Ihrem System installiert ist:

• Suchen Sie mit Hilfe des Windows Explorer die Datei Secur32.dll im Ordner %SystemRoot%\System.
  
• Klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie danach auf Eigenschaften.
  
• Klicken Sie auf die Registerkarte Version.
  
• Unter Beschreibung finden Sie für die 56-Bit-Version "Microsoft Win32 Security Services (Export Version)", für die 128-Bit-Version "Microsoft Win32 Security Services (US and Canada Only)."
  

Wenn Sie die Dateien für die NTLM 2-Unterstützung zum ersten Mal installieren, sind sie so konfiguriert, dass sie zur Gewährleistung der Rückwärtskompatibilität zu bestehenden Servern und Domänencontrollern nur LM-Authentifizierung verwenden. Bevor Sie die NTLM 2-Authentifizierung für Windows 95/95-Clients aktivieren, müssen Sie sicherstellen, dass auf allen Domänencontrollern, über die sich Benutzer dieser Clients in Ihrem Netzwerk anmelden, Windows NT 4.0 Service Pack 4 (SP4) oder höher installiert ist. (Oder Service Pack 6, wenn sich Client und Server in unterschiedlichen Domänen befinden.) Für die Unterstützung von NTLM 2 ist kein Domänencontroller erforderlich; Domänencontroller müssen lediglich dann konfiguriert werden, wenn die Unterstützung der NTLM 1- oder LM-Authentifizierung deaktiviert werden soll.

Weitere Informationen zu Unterschieden zwischen diesen Protokollvarianten und der Wichigkeit einer Aktualisierung auf ausschließlich NTLM 2 finden Sie in folgendem Artikel der Microsoft Knowledge Base:

• 147706  How to Disable LM Authentication on Windows NT
  

NTLM 2 auf Windows 95/98-Clients aktivieren

ACHTUNG: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende, das gesamte System betreffende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Microsoft kann keine Gewährleistungen oder Support für Probleme übernehmen, welche durch eine Manipulation der Windows- oder Windows NT-Registrierung verursacht wurden. Es ist Ihr eigenes Risiko, den Windows- oder Windows NT-Registrierungseditor oder ähnliche Werkzeuge zur Manipulation der Windows- oder Windows NT-Registrierung zu verwenden. Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie die Registrierung bearbeiten. Wenn Sie mit Windows NT oder Windows 2000 arbeiten, sollten Sie zudem Ihre Notfalldiskette aktualisieren.

Installieren Sie den Directory Services Client, wenn Sie die NTLM2-Unterstützung auf einem Windows 95/98-Client aktivieren möchten. Gehen Sie folgendermaßen vor, um NTLM 2 auf dem Client zu aktivieren:

• Starten Sie den Registrierungseditor (Regedit.exe).
  
• Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie ihn an:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  
• Erstellen Sie in dem oben genannten Registrierschlüssel einen LSA-Registrierschlüssel.
  
• Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Wert der Registrierung hinzu:
  Name des Werts: LMCompatibility
  Datentyp: REG_DWORD
  Wert: 3
  Beschreibung: Zulässiger Bereich: 0,3 - Dieser Parameter gibt die Art der Authentifizierung und Sitzungssicherheit an, die für Anmeldungen im Netzwerk zu verwenden sind. Interaktive Anmeldungen werden dadurch nicht beeinflusst.
  
  
  
  • Level 0 - LM und NTLM-Response senden; nie NTLM 2-Sitzungssicherheit verwenden. Clients verwenden die LM- und NTLM-Authentifizierung und nie die NTLM 2-Sitzungssicherheit; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
    
  • Level 3 - Nur NTLM 2-Response senden. Clients verwenden die NTLM 2-Authentifizierung und NTLM 2-Sitzungssicherheit, falls diese vom Server unterstützt wird; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
    
  
  Anmerkung: Damit Sie NTLM 2 für Windows 95-Clients aktivieren können, müssen Sie den DFS-Client (Distributed File System), WinSock 2.0 Update und Microsoft DUN 1.3 (Netzwerk- und DFÜ-Verbindungen) für Windows 2000 installiert haben.
  
• Beenden Sie den Registrierungseditor.
  

Der Vollständigkeit halber sind nachfolgend alle möglichen Werte für LMCompatibilityLevel aufgeführt, die von Windows NT 4.0 und Windows 2000 unterstützt werden:

• Level 0 - LM und NTLM-Response senden; nie NTLM 2-Sitzungssicherheit verwenden. Clients verwenden die LM- und NTLM-Authentifizierung und nie die NTLM 2-Sitzungssicherheit; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  
• Level 1 - NTLM 2-Sitzungssicherheit verwenden, falls so ausgehandelt. Clients verwenden LM- und NTLM-Authentifizierung und NTLM 2-Sitzungssicherheit, falls dies vom Server unterstützt wird; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  
• Level 2 - Nur NTLM-Response senden. Clients verwenden ausschließlich NTLM-Authentifizierung und NTLM 2-Sitzungssicherheit, falls diese vom Server unterstützt wird; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  
• Level 3 - Nur NTLM 2-Response senden. Clients verwenden NTLM 2-Authentifizierung und NTLM 2-Sitzungssicherheit, falls diese vom Server unterstützt wird; Domänencontroller akzeptieren LM-, NTLM- und NTLM 2-Authentifizierung.
  
• Level 4 - Domänencontroller lehnen LM-Responses ab. Clients verwenden NTLM-Authentifizierung und NTLM 2-Sitzungssicherheit, falls diese vom Server unterstützt wird; Domänencontroller lassen LM-Authentifizierung nicht zu (d.h. NTLM und NTLM 2 werden akzeptiert).
  
• Level 5 - Domänencontroller lehnen LM- und NTLM-Responses ab (akzeptieren ausschließlich NTLM 2). Clients verwenden NTLM 2-Authentifizierung und NTLM 2-Sitzungssicherheit, falls diese vom Server unterstützt wird; Domänencontroller lehnen NTLM- und LM-Authentifizierung ab (akzeptieren ausschließlich NTLM 2).
  

Mithilfe des folgenden Registrierschlüssels können Sie die Mindestsicherheit konfigurieren, die für Programme benutzt wird, die NTLM Security Support Provider (SSP) verwenden. Diese Werte hängen von dem Wert LMCompatibilityLevel ab:

• Starten Sie den Registrierungseditor (Regedit.exe).
  
• Suchen Sie folgenden Schlüssel in der Registrierung:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  
• Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Wert der Registrierung hinzu:
  Name des Werts: NtlmMinClientSec
  Datentyp: REG_WORD
  Wert: eine der nachfolgenden Werte:
  
  
  
  • 0x00000010- Nachrichtenintegrität
    
  • 0x00000020- Nachrichtenvertraulichkeit
    
  • 0x00080000- NTLM 2-Sitzungsicherheit
    
  • 0x20000000- 128-Bit-Verschlüsselung
    
  • 0x80000000- 56-Bit-Verschlüsselung
    
  
  
• Beenden Sie den Registrierungseditor.
  

Benutzt ein Client-/Serverprogramm zur Gewährleistung der Sitzungssicherheit einer Verbindung NTLM SSP (bzw. sicheres RPC [Remote Procedure Call], das NTLM SSP verwendet), so wird der zu verwendende Sitzungssicherheitstyp wie folgt festlegt:

• Der Client fragt eines oder alle der folgenden Elemente an: Nachrichtenintegrität, Nachrichtenvertraulichkeit, NTLM 2-Sitzungssicherheit und 128-Bit- bzw. 56-Bit-Verschlüsselung.
  
• Der Server antwortet und gibt an, welche der angefragten Elemente er haben möchte.
  Von der resultierenden Kombination an Elementen sagt man, dass sie "ausgehandelt" wurde.
  

Mit dem Wert "NtlmMinClientSec" können Sie bestimmen, wie die Client-/Serververbindungen die Sicherheitskriterien aushandeln und wann sie scheitern. Sie sollten dabei jedoch Folgendes beachten:

• Wenn Sie für den Wert NtlmMinClientSec 0x00000010 benutzen, wird die Verbindung nicht erfolgreich hergestellt, wenn die Nachrichtenintegrität nicht ausgehandelt wird.
  
• Wenn Sie für den Wert NtlmMinClientSec 0x00000020 benutzen, wird die Verbindung nicht erfolgreich hergestellt, wenn die Nachrichtenvertraulichkeit nicht ausgehandelt wird.
  
• Wenn Sie für den Wert NtlmMinClientSec 0x000800000 benutzen, wird die Verbindung nicht erfolgreich hergestellt, wenn die NTLM-Sitzungssicherheit nicht ausgehandelt wird.
  
• Wenn Sie für den Wert NtlmMinClientSec 0x200000000 benutzen, wird die Verbindung nicht erfolgreich hergestellt, wenn zwar die Nachrichtenvertraulichkeit gewährleistet ist, die 128-Bit-Verschlüsselung jedoch nicht ausgehandelt wird.
  

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Ursprüngliche Quelle: https://support.microsoft.com/de-at/kb/239869