Netzwerksicherheit: LAN Manager-Authentifizierungsebene

Betrifft

  • Windows 10

Beschreibt die bewährten Methoden, den Standort, die Werte, die Richtlinienverwaltung und die Sicherheitsüberlegungen für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsstufe .

Referenz

Diese Richtlinieneinstellung bestimmt, welches Abfrage-oder Antwort Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. LAN Manager (LM) umfasst Clientcomputer und Server Software von Microsoft, mit der Benutzer persönliche Geräte in einem einzigen Netzwerk verknüpfen können. Zu den Netzwerkfunktionen gehören eine transparente Datei-und Druckerfreigabe, Benutzersicherheitsfeatures und Netzwerkverwaltungstools. In Active Directory-Domänen ist das Kerberos-Protokoll das Standardauthentifizierungsprotokoll. Wenn das Kerberos-Protokoll aber aus irgendeinem Grund nicht ausgehandelt wird, verwendet Active Directory LM, NTLM oder NTLM, Version 2 (NTLMv2).

Die LAN Manager-Authentifizierung umfasst die Varianten LM, NTLM und NTLMv2, und es handelt sich dabei um das Protokoll, mit dem alle Clientgeräte authentifiziert werden, die das Windows-Betriebssystem ausführen, wenn Sie die folgenden Vorgänge ausführen:

  • Teilnehmen an einer Domäne
  • Authentifizieren zwischen Active Directory-Gesamtstrukturen
  • Authentifizieren bei Domänen auf der Grundlage früherer Versionen des Windows-Betriebssystems
  • Authentifizieren auf Computern, auf denen Windowsoperating-Systeme nicht ausgeführt werden, beginnend mit Windows 2000
  • Authentifizieren auf Computern, die sich nicht in der Domäne befinden

Mögliche Werte

  • Senden von LM #a0 NTLM-Antworten
  • Senden von LM #a0 NTLM – verwenden der NTLMv2-Sitzungssicherheit, wenn ausgehandelt
  • Nur NTLM-Antworten senden
  • Nur NTLMv2-Antworten senden
  • Nur NTLMv2-Antworten senden. LM ablehnen
  • Nur NTLMv2-Antworten senden. Ablehnen von LM #a0 NTLM
  • Nicht definiert

Die Einstellung Netzwerksicherheit: LAN Manager-Authentifizierungsstufe bestimmt, welches Abfrage/Antwort-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Wahl hat Auswirkungen auf die Authentifizierungsprotokoll Ebene, die Clients verwenden, die Sitzungs Sicherheitsstufe, die von den Computern ausgehandelt wird, und die Authentifizierungsstufe, die Server akzeptieren. Die folgende Tabelle enthält die Richtlinieneinstellungen, beschreibt die Einstellung und gibt die Sicherheitsstufe an, die in der entsprechenden Registrierungseinstellung verwendet wird, wenn Sie die Registrierung zum Steuern dieser Einstellung anstelle der Richtlinieneinstellung verwenden.

Einstellung Beschreibung Registrierungs Sicherheitsstufe
Senden von & LM-NTLM-Antworten Client Geräte verwenden LM-und NTLM-Authentifizierung und verwenden niemals NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren LM-, NTLM-und NTLMv2-Authentifizierung. 0
LM & -NTLM senden – verwenden Sie die NTLMv2-Sitzungssicherheit, wenn ausgehandelt Client Geräte verwenden die LM-und NTLM-Authentifizierung, und Sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server Sie unterstützt. Domänencontroller akzeptieren LM-, NTLM-und NTLMv2-Authentifizierung. 1
Nur NTLM-Antwort senden Client Geräte verwenden die NTLMv1-Authentifizierung, und Sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server Sie unterstützt. Domänencontroller akzeptieren LM-, NTLM-und NTLMv2-Authentifizierung. 2
Nur NTLMv2-Antwort senden Client Geräte verwenden die NTLMv2-Authentifizierung, und Sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server Sie unterstützt. Domänencontroller akzeptieren LM-, NTLM-und NTLMv2-Authentifizierung. 3
Nur NTLMv2-Antwort senden. LM ablehnen Client Geräte verwenden die NTLMv2-Authentifizierung, und Sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server Sie unterstützt. Domänencontroller lehnen die Annahme der LM-Authentifizierung ab und akzeptieren nur NTLM-und NTLMv2-Authentifizierung. 4
Nur NTLMv2-Antwort senden. Ablehnen von & LM-NTLM Client Geräte verwenden die NTLMv2-Authentifizierung, und Sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server Sie unterstützt. Domänencontroller lehnen die Annahme der LM-und NTLM-Authentifizierung ab und akzeptieren nur die NTLMv2-Authentifizierung. 5

Bewährte Verfahren

  • Bewährte Methoden sind von ihren spezifischen Sicherheits-und Authentifizierungsanforderungen abhängig.

Richtlinienspeicherort

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionen

Registrierungsspeicherort

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte sind auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder Gruppenrichtlinienobjekt Standardwert
Standarddomänenrichtlinie Nicht definiert
Standardrichtlinie für Domänen Controller Nicht definiert
Standardeinstellungen für eigenständige Server Nur NTLMv2-Antwort senden
DC-effektive Standardeinstellungen Nur NTLMv2-Antwort senden
Effektive Standardeinstellungen für Mitglieds Server Nur NTLMv2-Antwort senden
Effektive Standardeinstellungen für Client Computer Nicht definiert

Richtlinienverwaltung

In diesem Abschnitt werden die Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.

Neustartanforderung

Keine. Änderungen an dieser Richtlinie werden ohne Geräteneustart wirksam, wenn Sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.

Gruppenrichtlinie

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clientgeräten, Diensten und Anwendungen auswirken.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

In Windows7 und Windows Vista ist diese Einstellung nicht definiert. In WindowsServer2008R2 und höher ist diese Einstellung so konfiguriert, dass nur NTLMv2-Antworten gesendetwerden.

Gegenmaßnahme

Konfigurieren Sie die Einstellung Netzwerksicherheit: LAN Manager-Authentifizierungsstufe , um nur NTLMv2-Antworten zu senden. Microsoft und eine Reihe von unabhängigen Organisationen empfehlen diese Authentifizierungsstufe dringend, wenn alle Clientcomputer NTLMv2 unterstützen.

Mögliche Auswirkungen

Client Geräte, die die NTLMv2-Authentifizierung nicht unterstützen, können mithilfe von LM und NTLM nicht in der Domäne authentifiziert und auf Domänenressourcen zugreifen.

Verwandte Themen