Comment activer l’authentification NTLM 2

Cet article explique comment activer l’authentification NTLM 2.

S’applique à :   Windows 10 - toutes les éditions
Numéro de la ko d’origine :   239869

Résumé

Historiquement, Windows NT prend en charge deux variantes d’authentification de demande/réponse pour les connexions réseau :

  • Défi/réponse du Gestionnaire de la laN (LM)
  • Windows Défi/réponse NT (également appelé défi/réponse NTLM version 1) La variante LM permet l’interopérabilité avec la base installée de clients et serveurs Windows 95, Windows 98 et Windows 98 Second Edition. NTLM offre une sécurité améliorée pour les connexions entre Windows clients et serveurs NT. Windows NT prend également en charge le mécanisme de sécurité de session NTLM qui assure la confidentialité des messages (chiffrement) et l’intégrité (signature).

Les améliorations récentes apportées au matériel informatique et aux algorithmes logiciels rendaient ces protocoles vulnérables aux attaques largement publiées pour obtenir des mots de passe utilisateur. Dans ses efforts continus pour fournir des produits plus sécurisés à ses clients, Microsoft a développé une amélioration, appelée NTLM version 2, qui améliore considérablement les mécanismes d’authentification et de sécurité de session. NTLM 2 est disponible pour Windows NT 4.0 depuis la publication du Service Pack 4 (SP4) et est pris en charge en natif dans Windows 2000. Vous pouvez ajouter la prise en charge NTLM 2 Windows 98 en installant les extensions client Active Directory.

Après avoir mis à niveau tous les ordinateurs basés sur Windows 95, Windows 98, Windows 98 Deuxième édition et Windows NT 4.0, vous pouvez améliorer considérablement la sécurité de votre organisation en configurant les clients, les serveurs et les contrôleurs de domaine pour qu’ils utilisent uniquement NTLM 2 (et non LM ou NTLM).

Informations supplémentaires

Lorsque vous installez les extensions client Active Directory sur un ordinateur exécutant Windows 98, les fichiers système qui assurent la prise en charge de NTLM 2 sont également installés automatiquement. Ces fichiers sont Secur32.dll, Msnp32.dll, Vredir.vxd et Vnetsup.vxd. Si vous supprimez l’extension de client Active Directory, les fichiers système NTLM 2 ne sont pas supprimés, car ils fournissent à la fois des fonctionnalités de sécurité améliorées et des correctifs liés à la sécurité.

Par défaut, le chiffrement de sécurité de session NTLM 2 est limité à une longueur de clé maximale de 56 bits. La prise en charge facultative des clés 128 bits est automatiquement installée si le système satisfait aux réglementations américaines en matière d’exportation. Pour activer la prise en charge de la sécurité des sessions NTLM 2 128 bits, vous devez installer Microsoft Internet Explorer 4.x ou 5 et mettre à niveau la prise en charge des connexions sécurisées 128 bits avant d’installer l’extension client Active Directory.

Pour vérifier votre version d’installation :

  1. Utilisez Windows Explorer pour localiser le Secur32.dll dans le dossier %SystemRoot%\System.
  2. Cliquez avec le bouton droit sur le fichier, puis cliquez sur Propriétés.
  3. Cliquez sur l’onglet Version. La description de la version 56 bits est « Services de sécurité Microsoft Win32 (version d’exportation). » La description de la version 128 bits est « Services de sécurité Microsoft Win32 (États-Unis et Canada uniquement) ».

Avant d’activer l’authentification NTLM 2 pour les clients Windows 98, vérifiez que tous les contrôleurs de domaine pour les utilisateurs qui se connectent à votre réseau à partir de ces clients exécutent Windows NT 4.0 Service Pack 4 ou une ultérieure. (Les contrôleurs de domaine peuvent Windows NT 4.0 Service Pack 6 si le client et le serveur sont joints à différents domaines.) Aucune configuration de contrôleur de domaine n’est requise pour prendre en charge NTLM 2. Vous devez configurer les contrôleurs de domaine uniquement pour désactiver la prise en charge de l’authentification NTLM 1 ou LM.

Activation de NTLM 2 pour Windows 95, Windows 98 ou Windows 98 clients Second Edition

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la façon de la back up et de la restauration du Registre, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour activer un client Windows 95, Windows 98 ou Windows 98 Second Edition pour l’authentification NTLM 2, installez le client des services d’annuaire. Pour activer NTLM 2 sur le client, suivez les étapes suivantes :

  1. Démarrez l’Éditeur du Registre (Regedit.exe).

  2. Recherchez et cliquez sur la clé suivante dans le Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. Créez une clé de Registre LSA dans la clé de Registre répertoriée ci-dessus.

  4. Dans le menu Modifier, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : LMCompatibility
    Type de données : REG_DWORD
    Valeur : 3
    Plage valide : 0,3
    Description : ce paramètre spécifie le mode d’authentification et de sécurité de session à utiliser pour les connexions réseau. Elle n’affecte pas les connexions interactives.

    • Niveau 0 : envoyer une réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLM 2. Les clients utiliseront l’authentification LM et NTLM, et n’utiliseront jamais la sécurité de session NTLM 2 ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.

    • Niveau 3 : envoyer une réponse NTLM 2 uniquement. Les clients utilisent l’authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge . les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.

    Notes

    Pour activer NTLM 2 pour les clients Windows 95, installez le client DFS (Distributed File System), WinSock 2.0 Update et Microsoft DUN 1.3 pour Windows 2000.

  5. Quittez l’Éditeur du Registre.

Notes

Pour Windows NT 4.0 et Windows 2000, la clé de Registre est LMCompatibilityLevel et pour les ordinateurs basés sur Windows 95 et Windows 98, la clé d’inscription est LMCompatibility.

Pour référence, la plage complète de valeurs pour la valeur LMCompatibilityLevel prise en charge par Windows NT 4.0 et Windows 2000 sont les suivantes :

  • Niveau 0 : envoyer une réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLM 2. Les clients utilisent l’authentification LM et NTLM et n’utilisent jamais la sécurité de session NTLM 2 ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2;
  • Niveau 1 : utiliser la sécurité de session NTLM 2 si négocié. Les clients utilisent l’authentification LM et NTLM, et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge . les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 2 : envoyer une réponse NTLM uniquement. Les clients utilisent uniquement l’authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge . les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2.
  • Niveau 3 : envoyer une réponse NTLM 2 uniquement. Les clients utilisent l’authentification NTLM 2 et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge . les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLM 2;
  • Niveau 4 : les contrôleurs de domaine refusent les réponses LM. Les clients utilisent l’authentification NTLM et utilisent la sécurité de session NTLM 2 si le serveur la prend en charge . les contrôleurs de domaine refusent l’authentification LM (autrement dit, ils acceptent NTLM et NTLM 2).
  • Niveau 5 : les contrôleurs de domaine refusent les réponses LM et NTLM (acceptez uniquement NTLM 2). Les clients utilisent l’authentification NTLM 2, utilisent la sécurité de session NTLM 2 si le serveur la prend en charge ; les contrôleurs de domaine refusent l’authentification NTLM et LM (ils n’acceptent que NTLM 2). Un ordinateur client ne peut utiliser qu’un seul protocole pour parler à tous les serveurs. Vous ne pouvez pas le configurer, par exemple, pour utiliser NTLM v2 pour se connecter à des serveurs basés sur Windows 2000, puis utiliser NTLM pour se connecter à d’autres serveurs. Ce comportement est voulu par la conception même du produit.

Vous pouvez configurer la sécurité minimale utilisée pour les programmes qui utilisent le fournisseur de services de sécurité (SSP) NTLM en modifiant la clé de Registre suivante. Ces valeurs dépendent de la valeur LMCompatibilityLevel :

  1. Démarrez l’Éditeur du Registre (Regedit.exe).

  2. Recherchez la clé suivante dans le Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. Dans le menu Modifier, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : NtlmMinClientSec
    Type de données : REG_WORD
    Valeur : l’une des valeurs ci-dessous :

    • 0x00000010 - Intégrité des messages
    • 0x00000020 - Confidentialité des messages
    • 0x00080000- Sécurité de session NTLM 2
    • 0x20000000- Chiffrement 128 bits
    • 0x80000000 chiffrement 56 bits
  4. Quittez l’Éditeur du Registre.

Si un programme client/serveur utilise le SSP NTLM (ou utilise un appel de procédure distante [RPC], qui utilise le SSP NTLM) pour fournir la sécurité de session pour une connexion, le type de sécurité de session à utiliser est déterminé comme suit :

  • Le client demande tout ou tous les éléments suivants : intégrité des messages, confidentialité des messages, sécurité de session NTLM 2 et chiffrement 128 bits ou 56 bits.
  • Le serveur répond, indiquant quels éléments du jeu demandé il souhaite.
  • Le jeu résultant est dit avoir été « négocié ».

Vous pouvez utiliser la valeur NtlmMinClientSec pour que les connexions client/serveur négocient une qualité de sécurité de session donnée ou ne réussissent pas. Toutefois, vous devez noter les éléments suivants :

  • Si vous utilisez 0x00000010 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si l’intégrité des messages n’est pas négociée.
  • Si vous utilisez 0x00000020 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si la confidentialité des messages n’est pas négociée.
  • Si vous utilisez 0x00080000 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si la sécurité de session NTLM 2 n’est pas négociée.
  • Si vous utilisez 0x20000000 pour la valeur NtlmMinClientSec, la connexion ne réussit pas si la confidentialité des messages est en cours d’utilisation mais que le chiffrement 128 bits n’est pas négocié.