(0) exportieren Drucken
Alle erweitern
0 von 6 fanden dies hilfreich - Dieses Thema bewerten.

Änderungen bei der NTLM-Authentifizierung

Letzte Aktualisierung: März 2009

Betrifft: Windows 7, Windows Server 2008 R2

In diesem Thema zur Produktbewertung für IT-Professionals werden zwei bedeutende Änderungen im NTLM-Authentifizierungsprotokoll in Windows 7 und Windows Server 2008 R2 beschrieben.

Minimum von 128-Bit-Sitzungssicherheit bei NTLM

In Windows 7 und Windows Server 2008 R2 ist die NTLM-basierte Richtlinie für das Minimum der Sitzungssicherheit so festgelegt, dass mindestens eine 128-Bit-Verschlüsselung für Clientcomputer und Server für neue Windows-Installationen erforderlich ist. Dazu müssen alle Netzwerkgeräte und Betriebssysteme, die NTLM verwenden, die 128-Bit-Verschlüsselung unterstützen. Die vorhandene Sitzungssicherheit wird beim Upgrade von Windows von einer vorherigen Windows-Version beibehalten.

Wenn es erforderlich ist, für Client- oder Serveranwendungen mit einer 40-Bit- oder 56-Bit-Verschlüsselung mit NTLM eine schwächere Verschlüsselung zu verwenden, dann müssen Sie die entsprechenden Richtlinien festlegen, indem Sie das Kontrollkästchen 128-Bit-Verschlüsselung erfordern in den folgenden Richtlinieneinstellungen deaktivieren:

  • Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)

  • Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)

NTLM-Fallback von Systemdiensten mit Computeridentität

Wenn eine Verbindung mit Computern hergestellt wird, die unter Windows-Versionen vor Windows Vista oder Windows Server 2008 ausgeführt werden, verwenden die als Lokales System und mithilfe von SPNEGO (Negotiate) ausgeführten Dienste, die auf NTLM zurückgesetzt werden, die Computeridentität. Wenn Sie in Windows 7 eine Verbindung mit einem Computer unter Windows Server 2008 oder Windows Vista herstellen, dann wird von einem Systemdienst entweder die Computeridentität oder eine NULL-Sitzung verwendet. Wenn eine Verbindung mit einer NULL-Sitzung hergestellt wird, wird ein vom System generierter Sitzungsschlüssel erstellt, der keinen Schutz bereitstellt, der es jedoch ermöglicht, dass Anwendungen Daten fehlerfrei signieren und verschlüsseln können. Wenn eine Verbindung mit der Computeridentität hergestellt wird, werden sowohl das Signieren als auch die Verschlüsselung zum Bereitstellen von Datenschutz unterstützt.

Sie können die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben konfigurieren, damit Dienste vom Typ Lokales System, die Negotiate verwenden, die Computeridentität beim Zurücksetzen zur NTLM-Authentifizierung verwenden können.

Falls Sie diese Richtlinieneinstellung nicht konfigurieren, werden Dienste, die unter Lokales System ausgeführt werden und die Standardanmeldeinformationen und eine NULL-Sitzung verwenden, auf die NTLM-Authentifizierung für Windows-Betriebssysteme vor Windows Vista oder Windows Server 2008 zurückgesetzt. Dadurch können bei einigen Authentifizierungsanforderungen zwischen Windows-Betriebssystemen Fehler auftreten und angezeigt werden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.