Сетевая безопасность: уровень проверки подлинности LAN Manager
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевая безопасность: уровень проверки подлинности LAN Manager.
Справка
Этот параметр политики определяет, какой протокол проверки подлинности запроса или ответа будет использоваться для входа в сеть. LAN Manager (LM) состоит из клиентского компьютера и серверного программного обеспечения от Майкрософт и позволяет пользователям связывать устройства в одну сеть. Среди возможностей сетевого подключения — прозрачный общий доступ к файлам и печати, функции обеспечения безопасности пользователя и инструменты администрирования сети. В доменах Active Directory для проверки подлинности по умолчанию используется протокол Kerberos. Однако если протокол Kerberos не может быть согласован по какой-либо причине, Active Directory использует LM, NTLM, или NTLM версии 2 (NTLMv2.
Проверка подлинности LAN Manager включает варианты использования LM, NTLM и NTLMv2. Эти протоколы используются для проверки подлинности всех клиентских устройств под управлением операционной системы Windows, когда выполняются следующие операции:
присоединение к домену;
проверка подлинности между лесами Active Directory;
проверка подлинности в доменах на базе более ранних версий операционной системы Windows;
проверка подлинности на компьютерах, работающих не под управлением операционных систем Windows, начиная c Windows 2000;
проверка подлинности на компьютерах, которые не принадлежат домену.
Возможные значения
Отправлять LM- и NTML-ответы
Отправлять LM и NTLM — использовать сеансовую безопасность NTLMv2 при согласовании
Отправлять только NTML-ответы
Отправлять только NTLMv2-ответы
Отправлять только NTLMv2-ответы. Отказывать LM
Отправлять только NTLMv2-ответы. Отказывать LM и NTLM
Не определено
Параметр Сетевая безопасность: уровень проверки подлинности LAN Manager определяет, какой протокол проверки подлинности запроса или ответа будет использоваться для входа в сеть. Этот выбор влияет на уровень протокола проверки подлинности, который используют клиенты, уровень безопасности сеанса, который согласовывается компьютером, и уровень проверки подлинности, который принимают серверы. В таблице ниже определены и описаны параметры политики, а также определен уровень безопасности, используемый в соответствующем параметре реестра, если использование реестра для управления этим параметром вместо параметра политики разрешено.
| Параметр | Описание | Уровень безопасности реестра |
|---|---|---|
Отправлять LM- и NTML-ответы |
Клиентские устройства используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLMv2. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. |
0 |
Отправлять LM и NTLM — использовать сеансовую безопасность NTLMv2 при согласовании |
Клиентские устройства используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. |
1 |
Отправлять только NTML-ответ |
Клиентские устройства используют проверку подлинности NTLMv1, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. |
2 |
Отправлять только NTLMv2-ответ |
Клиентские устройства используют проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. |
3 |
Отправлять только NTLMv2-ответ. Отказывать LM |
Клиентские устройства используют проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена отклоняют проверку подлинности LM и принимают только проверку подлинности NTLM и NTLMv2. |
4 |
Отправлять только NTLMv2-ответ. Отказывать LM и NTLM |
Клиентские устройства используют проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллеры домена отклоняют проверку подлинности LM и NTLM и принимают только проверку подлинности NTLMv2. |
5 |
Рекомендации
- Рекомендации зависят от индивидуальных требований к безопасности и проверке подлинности.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отправлять только NTLMv2-ответ |
Действующие параметры контроллера домена по умолчанию |
Отправлять только NTLMv2-ответ |
Действующие параметры рядового сервера по умолчанию |
Отправлять только NTLMv2-ответ |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Изменение этого параметра может повлиять на совместимость с клиентскими устройствами, службами и приложениями.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
В Windows 7 и Windows Vista этот параметр не определен. В Windows Server 2008 R2 и более поздних версиях для этого параметра настроено значение Отправлять только NTLMv2-ответы.
Меры противодействия
Настройте для параметра Сетевая безопасность: уровень проверки подлинности LAN Manager значение Отправлять только NTLMv2-ответы. Майкрософт и ряд независимых организаций настоятельно рекомендуют использовать этот уровень проверки подлинности, если все клиентские компьютеры поддерживают NTLMv2.
Возможные последствия
Клиентские устройства, не поддерживающие проверку подлинности NTLMv2, не смогут пройти проверку подлинности на домене и получать доступ к ресурсам с помощью LM и NTLM.