Segurança de rede: Nível de autenticação do LAN Manager
Aplicável ao
- Windows 10
Descreve as melhores práticas, localização, valores, gerenciamento de políticas e considerações de segurança para a segurança de rede: configuração de política de segurança no nível de autenticação do LAN Manager .
Referência
Essa configuração de política determina qual protocolo de autenticação de desafio ou resposta é usado para logons de rede. O LAN Manager (LM) inclui software de computador cliente e servidor da Microsoft que permite aos usuários vincular dispositivos pessoais em uma única rede. Os recursos de rede incluem compartilhamento transparente de arquivos e impressão, recursos de segurança do usuário e ferramentas de administração de rede. Em domínios do Active Directory, o protocolo Kerberos é o protocolo de autenticação padrão. No entanto, se o protocolo Kerberos não for negociado por algum motivo, o Active Directory usará LM, NTLM ou NTLM versão 2 (NTLMv2).
A autenticação do LAN Manager inclui as variantes LM, NTLM e NTLMv2 e é o protocolo usado para autenticar todos os dispositivos cliente que executam o sistema operacional Windows quando executam as seguintes operações:
- Ingressar em um domínio
- Autenticar entre florestas do Active Directory
- Autenticar em domínios com base em versões anteriores do sistema operacional Windows
- Autenticar em computadores que não executam sistemas operacionais Windows, começando com o Windows 2000
- Autenticar em computadores que não estão no domínio
Valores possíveis
- Enviar respostas & NTLM do LM
- Send LM & NTLM – use a segurança de sessão NTLMv2, se negociada
- Enviar somente respostas NTLM
- Enviar somente respostas NTLMv2
- Envie apenas respostas NTLMv2. Recusar LM
- Envie apenas respostas NTLMv2. Recusar LM & NTLM
- Não Definido
A configuração de segurança de rede: nível de autenticação do LAN Manager determina qual protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa opção afeta o nível de protocolo de autenticação que os clientes usam, o nível de segurança de sessão que os computadores negociam e o nível de autenticação que os servidores aceitam. A tabela a seguir identifica as configurações de política, descreve a configuração e identifica o nível de segurança usado na configuração do Registro correspondente se você optar por usar o Registro para controlar essa configuração em vez da configuração de política.
| Configuração | Descrição | Nível de segurança do Registro |
|---|---|---|
| Enviar respostas & NTLM lm | Os dispositivos cliente usam autenticação LM e NTLM e nunca usam segurança de sessão NTLMv2. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. | 0 |
| Enviar NTLM LM & – use a segurança de sessão NTLMv2, se negociada | Os dispositivos cliente usam autenticação LM e NTLM e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. | 1 |
| Enviar somente resposta NTLM | Os dispositivos cliente usam a autenticação NTLMv1 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. | 2 |
| Enviar somente resposta NTLMv2 | Os dispositivos cliente usam a autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela. Os controladores de domínio aceitam autenticação LM, NTLM e NTLMv2. | 3 |
| Enviar somente resposta NTLMv2. Recusar LM | Os dispositivos cliente usam a autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela. Os controladores de domínio se recusam a aceitar a autenticação LM e aceitarão apenas a autenticação NTLM e NTLMv2. | 4 |
| Enviar somente resposta NTLMv2. Recusar NTLM & lm | Os dispositivos cliente usam a autenticação NTLMv2 e usam a segurança de sessão NTLMv2 se o servidor der suporte a ela. Os controladores de domínio se recusam a aceitar autenticação LM e NTLM e aceitarão apenas a autenticação NTLMv2. | 5 |
Práticas recomendadas
- As práticas recomendadas dependem de seus requisitos específicos de segurança e autenticação.
Local da Política
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança
Local do Registro
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Valores padrão
A tabela a seguir lista os valores padrão reais e efetivos para essa política. Os valores padrão também são listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
| Política de Domínio Padrão | Não definido |
| Política de controlador de domínio padrão | Não definido |
| Stand-Alone configurações padrão do servidor | Enviar somente resposta NTLMv2 |
| Configurações padrão efetivas do DC | Enviar somente resposta NTLMv2 |
| Configurações padrão efetivas do servidor membro | Enviar somente resposta NTLMv2 |
| Configurações padrão efetivas do computador cliente | Não definido |
Gerenciamento de políticas
Esta seção descreve os recursos e ferramentas disponíveis para ajudá-lo a gerenciar essa política.
Requisito de reinicialização
Nenhuma. As alterações nessa política se tornam efetivas sem uma reinicialização do dispositivo quando são salvas localmente ou distribuídas por meio de Política de Grupo.
Política de Grupo
Modificar essa configuração pode afetar a compatibilidade com dispositivos, serviços e aplicativos cliente.
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
No Windows 7 e no Windows Vista, essa configuração é indefinida. No Windows Server 2008 R2 e posterior, essa configuração é definida apenas para enviar respostas NTLMv2.
Contramedida
Defina a segurança de rede: configuração de Nível de Autenticação do LAN Manager para enviar somente respostas NTLMv2. A Microsoft e muitas organizações independentes recomendam fortemente esse nível de autenticação quando todos os computadores cliente dão suporte a NTLMv2.
Impacto potencial
Os dispositivos cliente que não dão suporte à autenticação NTLMv2 não podem se autenticar no domínio e acessar recursos de domínio usando LM e NTLM.
Tópicos relacionados
Comentários
Submeter e ver comentários