Windows 2000 安全配置
LAN Manager 身份验证级别 安全目标:此安全选项用于强制 Windows 网络所使用的一种特定类型的身份验证协议,并启用一种新类型的身份验证协议 (NTLMv2)。NTLMv2 是一种新型的身份验证协议,可以显著提高 Windows 身份验证的安全性。它可以防止许多欺骗***,并允许服务器向客户端验证自己。NTLM 协议的特性决定了密码破解者能够使用获取的 NTLM 验证会话破解密码。为了应对这种***,开发了 NTLM 版本 2。NTLMv2 引入了一些附加的安全功能,包括:
为每个连接使用唯一的会话密钥。每次建立新的连接时,都会为该会话生成一个唯一的会话密钥。这意味着获取的会话密钥在连接完成后即失效。
会话密钥通过一种密钥交换进行保护。这种会话密钥无法被截获并使用,除非得到用于保护会话密钥的密钥对。
为会话数据的加密和完整性而生成的唯一密钥。用于对从客户端到服务器的数据进行加密的密钥不同于用于对从服务器到客户端的数据进行加密的密钥。
加密更强。NTLMv2 使用一种更为强大的加密协议对会话密钥进行加密,并为消息完整性和验证序列使用更为强大的哈希算法。
有关 NTLMv2 的详细信息,请参阅 Microsoft 知识库文章 147706“How to Disable LM Authentication on Windows NT”(英文)。自 Windows NT 4.0 Service Pack 4 发行后,NTLMv2 已面世;用于 Windows 9x 的 NTLMv2 包含在目录服务客户端中,该客户端位于 Windows 2000 CD-ROM 上的 Clients\Win9x 目录中。在文献中,此设置常被称为 LMCompatibilityLevel,这是启用它的实际注册表开关的名称。
此设置影响身份验证协议以及在身份验证后所使用的会话安全协议。所有自 Windows NT 4.0 SP4 后的基于 Windows NT 的系统(包括 Windows 2000、Windows XP 和 Microsoft Windows Server 2003™)都接受使用 NTLMv2 身份验证的 SMB 客户端连接,而没有进行进一步修改。LMCompatibilityLevel 设置用于修改身份验证的若干方面:
修改系统充当客户端时所发送的身份验证协议;修改系统充当服务器时所接受的身份验证协议。在存储帐户数据库的计算机上,此设置的值决定了以上行为。换句话说,如果使用了域帐户,则域控制器上的此设置的值生效。使用本地帐户时,服务器上的此设置的值有效。
启用 NTLMv2 会话安全性。
与此行为相关的设置有六种。括号中的数字是 LMCompatibilityLevel 注册表值的实际设置。客户端行为列显示了带有该设置的计算机如何充当 SMB 客户端。服务器行为列显示了如果执行身份验证的服务器上配置了此设置,该服务器如何工作。使用域帐户并且可到达域控制器时,身份验证服务器始终是域控制器。如果域控制器不可到达,或者使用的是本地帐户,身份验证服务器是客户端所连接到的服务器。
页:
[1]