Сетевая безопасность: уровень проверки подлинности LAN ManagerNetwork security: LAN Manager authentication level

Область примененияApplies to

  • Windows 10Windows10

В этой статье описаны рекомендации, расположение, значения, политики управления политиками и безопасности для сетевой безопасности: параметр политики безопасности уровня проверки подлинности LAN Manager .Describes the best practices, location, values, policy management and security considerations for the Network security: LAN Manager authentication level security policy setting.

Справочные материалыReference

Этот параметр политики определяет, какой протокол проверки подлинности запроса или ответа используется для входа в сеть.This policy setting determines which challenge or response authentication protocol is used for network logons. LAN Manager (LM) включает клиентский компьютер и программное обеспечение сервера от корпорации Майкрософт, позволяющее пользователям связывать личные устройства в одной сети.LAN Manager (LM) includes client computer and server software from Microsoft that allows users to link personal devices together on a single network. Сетевые возможности включают прозрачный общий доступ к файлам и принтерам, функции безопасности пользователей и средства администрирования сети.Network capabilities include transparent file and print sharing, user security features, and network administration tools. В доменах Active Directory протокол Kerberos является протоколом проверки подлинности по умолчанию.In Active Directory domains, the Kerberos protocol is the default authentication protocol. Тем не менее, если по какой-либо причине протокол Kerberos не согласован, Служба каталогов Active Directory использует LM, NTLM или NTLM версии 2 (NTLMv2).However, if the Kerberos protocol is not negotiated for some reason, Active Directory uses LM, NTLM, or NTLM version 2 (NTLMv2).

Проверка подлинности LAN Manager включает варианты LM, NTLM и NTLMv2, и это протокол, который используется для проверки подлинности всех клиентских устройств, работающих под управлением операционной системы Windows, при выполнении указанных ниже действий.LAN Manager authentication includes the LM, NTLM, and NTLMv2 variants, and it is the protocol that is used to authenticate all client devices running the Windows operating system when they perform the following operations:

  • Присоединение к доменуJoin a domain
  • Проверка подлинности между лесами службы каталогов Active DirectoryAuthenticate between Active Directory forests
  • Проверка подлинности доменов на основе более ранних версий операционной системы WindowsAuthenticate to domains based on earlier versions of the Windows operating system
  • Проверка подлинности на компьютерах, на которых не выполняются Windowsoperating системы, начиная с Windows 2000Authenticate to computers that do not run Windowsoperating systems, beginning with Windows2000
  • Проверка подлинности на компьютерах, которых нет в доменеAuthenticate to computers that are not in the domain

Возможные значенияPossible values

  • Отправлять ответы LM & NTLMSend LM & NTLM responses
  • Отправлять LM & NTLM — использовать сеансовую безопасность NTLMv2 при согласованииSend LM & NTLM - use NTLMv2 session security if negotiated
  • Отправлять только ответы NTLMSend NTLM responses only
  • Отправлять только ответы NTLMv2Send NTLMv2 responses only
  • Отправлять только ответы NTLMv2.Send NTLMv2 responses only. Отклонять LMRefuse LM
  • Отправлять только ответы NTLMv2.Send NTLMv2 responses only. Отказ от LM & NTLMRefuse LM & NTLM
  • Не определеноNot Defined

Параметр безопасность сети: уровень проверки подлинности LAN Manager определяет, какой протокол проверки подлинности запросов и ответов используется для входа в сеть.The Network security: LAN Manager authentication level setting determines which challenge/response authentication protocol is used for network logons. Этот выбор влияет на уровень протоколов проверки подлинности, используемых клиентами, уровень безопасности сеанса, на котором согласуются компьютеры, и уровень проверки подлинности, принимаемый серверами.This choice affects the authentication protocol level that clients use, the session security level that the computers negotiate, and the authentication level that servers accept. В приведенной ниже таблице указаны параметры политики, описание параметра и определение уровня безопасности, используемого в соответствующем параметре реестра, если вы решили использовать реестр для управления этим параметром, а не параметром политики.The following table identifies the policy settings, describes the setting, and identifies the security level used in the corresponding registry setting if you choose to use the registry to control this setting instead of the policy setting.

ПараметрSetting ОписаниеDescription Уровень безопасности реестраRegistry security level
Отправка ответов & LM NTLMSend LM & NTLM responses Клиентские устройства используют протоколы LM и NTLM для проверки подлинности и никогда не используют сеансовую безопасность NTLMv2.Client devices use LM and NTLM authentication, and they never use NTLMv2 session security. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.Domain controllers accept LM, NTLM, and NTLMv2 authentication. до0
Отправка LM & NTLM — используйте сеансовую безопасность NTLMv2 при согласованииSend LM & NTLM – use NTLMv2 session security if negotiated Клиентские устройства используют протоколы LM и NTLM для проверки подлинности и используют сеансовую безопасность NTLMv2, если она поддерживается сервером.Client devices use LM and NTLM authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.Domain controllers accept LM, NTLM, and NTLMv2 authentication. 1,11
Отправлять только NTLM ответSend NTLM response only Клиентские устройства используют проверку подлинности NTLMv1 и используют сеансовую безопасность NTLMv2, если она поддерживается сервером.Client devices use NTLMv1 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.Domain controllers accept LM, NTLM, and NTLMv2 authentication. 22
Отправлять только NTLMv2 ответSend NTLMv2 response only Клиентские устройства используют протокол NTLMv2 для проверки подлинности и используют сеансовую безопасность NTLMv2, если она поддерживается сервером.Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена допускают проверку подлинности LM, NTLM и NTLMv2.Domain controllers accept LM, NTLM, and NTLMv2 authentication. Трехконтактный3
Отправлять только NTLMv2 ответ.Send NTLMv2 response only. Отклонять LMRefuse LM Клиентские устройства используют протокол NTLMv2 для проверки подлинности и используют сеансовую безопасность NTLMv2, если она поддерживается сервером.Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена отказывается отвечать на проверку подлинности LM, и они будут получать только проверку подлинности NTLM и NTLMv2.Domain controllers refuse to accept LM authentication, and they will accept only NTLM and NTLMv2 authentication. четырехпроцессорном4
Отправлять только NTLMv2 ответ.Send NTLMv2 response only. Отклонять & LM (NTLM)Refuse LM & NTLM Клиентские устройства используют протокол NTLMv2 для проверки подлинности и используют сеансовую безопасность NTLMv2, если она поддерживается сервером.Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена отказывается отвечать на проверку подлинности LM и NTLM, и они будут получать только проверку подлинности NTLMv2.Domain controllers refuse to accept LM and NTLM authentication, and they will accept only NTLMv2 authentication. 55

РекомендацииBest practices

  • Рекомендации зависят от конкретных требований к безопасности и проверки подлинности.Best practices are dependent on your specific security and authentication requirements.

Расположение политикиPolicy Location

Параметры компьютера Configuration\Windows Settings\Security Settings\Local Policies\SecurityComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Расположение в реестреRegistry Location

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevelHKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Значения по умолчаниюDefault values

В приведенной ниже таблице перечислены фактические и действующие значения по умолчанию для этой политики.The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политикиServer type or GPO Значение по умолчаниюDefault value
Default Domain PolicyDefault Domain Policy Не определеноNot defined
Политика контроллера домена по умолчаниюDefault Domain Controller Policy Не определеноNot defined
Параметры по умолчанию для автономного сервераStand-Alone Server Default Settings Отправлять только NTLMv2 ответSend NTLMv2 response only
Параметры по умолчанию, действующие на контроллере доменаDC Effective Default Settings Отправлять только NTLMv2 ответSend NTLMv2 response only
Действующие параметры по умолчанию для рядового сервераMember Server Effective Default Settings Отправлять только NTLMv2 ответSend NTLMv2 response only
Действующие параметры по умолчанию для клиентского компьютераClient Computer Effective Default Settings Не определеноNot defined

Управление политикойPolicy management

В этом разделе описаны возможности и инструменты, которые можно использовать для управления политикой.This section describes features and tools that are available to help you manage this policy.

Необходимость перезапускаRestart requirement

Нет.None. Изменения этой политики вступают в силу без перезапуска устройства, когда они хранятся на локальном компьютере или распределены с помощью групповой политики.Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Групповая политикаGroup Policy

Изменение этого параметра может повлиять на совместимость с клиентскими устройствами, службами и приложениями.Modifying this setting may affect compatibility with client devices, services, and applications.

Вопросы безопасностиSecurity considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

УязвимостьVulnerability

В Windows7 и WindowsVista этот параметр не определен.In Windows7 and WindowsVista, this setting is undefined. В WindowsServer2008R2 и более поздних версиях этот параметр настроен таким образом, чтобы отправлять только ответы NTLMv2.In WindowsServer2008R2 and later, this setting is configured to Send NTLMv2 responses only.

ПротиводействиеCountermeasure

Настройте сетевую безопасность: Настройка уровня проверки подлинности LAN Manager , чтобы отправлять только ответы NTLMv2.Configure the Network security: LAN Manager Authentication Level setting to Send NTLMv2 responses only. Корпорация Майкрософт и некоторые независимые организации настоятельно рекомендуют этот уровень проверки подлинности, если все клиентские компьютеры поддерживают протокол NTLMv2.Microsoft and a number of independent organizations strongly recommend this level of authentication when all client computers support NTLMv2.

Возможное влияниеPotential impact

Клиентские устройства, не поддерживающие проверку подлинности NTLMv2, не могут пройти проверку подлинности в домене и получить доступ к ресурсам домена с помощью LM и NTLM.Client devices that do not support NTLMv2 authentication cannot authenticate in the domain and access domain resources by using LM and NTLM.

Статьи по темеRelated topics