Op deze pagina wordt informatie verzameld over de computers vanaf welke gebruikers kunnen proberen een verificatie uit te voeren voor de geselecteerde server.

Met deze beveiligingsinstellingen bepaalt u welk verificatieprotocol op basis van vraag en antwoord er wordt gebruikt voor netwerkaanmeldingen. Deze keuze is van invloed op het niveau van het verificatieprotocol dat wordt gebruikt door clients, het niveau van de onderhandelde sessiebeveiliging en het niveau van de verificatie die wordt geaccepteerd door servers.

Met deze beveiligingsinstellingen bepaalt u ook of de LM-hashwaarde (LAN Manager) voor het nieuwe wachtwoord wordt opgeslagen bij de volgende wachtwoordwijziging. De LM-hash is relatief zwak en gevoelig voor aanvallen, vergeleken met de cryptografisch sterkere NTLM-hash. Aangezien de LM-hash op de lokale computer in de beveiligingsdatabase wordt opgeslagen, kunnen de wachtwoorden gevaar lopen als de beveiligingsdatabase wordt aangevallen.

Belangrijk

Deze instelling kan invloed hebben op de communicatie van computers met computers waarop Windows NT Server 4.0 en lager wordt uitgevoerd via het netwerk. Computers waarop Windows NT Server 4.0 Service Pack 4 (SP4) en lager wordt uitgevoerd, ondersteunen bijvoorbeeld NTLM versie 2 (NTLMv2) niet. Computers waarop Windows 95 of Windows 98 wordt uitgevoerd, ondersteunen NTLM niet.

Registersleutels

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Bijbehorende beveiligingsinstellingen

  • Netwerkbeveiliging: LAN Manager-verificatieniveau

  • Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging

Als er onjuiste gegevens worden ingevoerd, kan dit de communicatie verstoren tussen computers op het netwerk.

Zie voor meer informatie over deze beveiligingsinstellingen het volgende:

Alleen voor domeincontrollers

Er wordt een extra optie weergegeven wanneer de rol Domeincontroller (Active Directory) is geselecteerd op de pagina Serverrollen selecteren. De volgende optie is specifiek voor domeincontrollers:

Computers die RAS of VPN gebruiken om verbinding te maken met RAS-servers waarop Windows Server 2003 Service Pack 1 of hoger niet wordt uitgevoerd

Voor IAS-servers (Internet Authentication Service) en servers waarop Routering en RAS wordt uitgevoerd, is Windows Server 2003 Service Pack 1 (SP1) vereist, alsook ondersteuning voor 'alleen PEAP-MSCHAPv2-verificatie' om gebruikers te verifiëren met domeincontrollers die alleen NTLMv2 accepteren.

IAS-servers en servers waarop Routering en RAS wordt uitgevoerd, gebruiken NTLM om de domeinreferenties van hun clients te verifiëren. Dit betekent dat domeincontrollers die IAS- of Routering en RAS-clients moeten verifiëren, niet zo kunnen worden geconfigureerd dat ze alleen NTLMv2-verificatie accepteren. Vanaf Windows Server 2003 SP1 kan een domeincontroller echter NTLM accepteren van IAS-servers en servers waarop Routering en RAS wordt uitgevoerd, maar alleen NTLMv2 van alle andere. Dit gebeurt standaard op servers waarop Windows Server 2003 SP1 en IAS of Routering en RAS wordt uitgevoerd en die PEAP-MSCHAPv2 gebruiken omdat PEAP-MSCHAPv2 een beveiliging biedt die vergelijkbaar is met die van NTLMv2. Deze uitzondering treedt niet standaard op als de server waarop Windows Server 2003 SP1 en IAS of Routering en RAS wordt uitgevoerd, PPP-MSCHAPv2 gebruikt om clients te verifiëren.

Als u deze standaarduitzondering wilt voorkomen op servers waarop Windows Server 2003 SP1 en IAS of Routering en RAS wordt uitgevoerd, kunt u de volgende registerwaarde instellen op de domeincontroller:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Als deze registerwaarde is ingesteld op de domeincontroller en de domeincontroller zo is geconfigureerd dat alleen NTLMv2 wordt geaccepteerd, kan de domeincontroller IAS- of Routering en RAS-clients niet verifiëren, zelfs niet als op al deze servers Windows Server 2003 SP1 wordt uitgevoerd. Als de registerwaarde DisallowMsvChapv2 is ingesteld op de domeincontroller en de domeincontroller IAS- of Routering en RAS-clients moet verifiëren, moet u daarom het selectievakje Computers die RAS of VPN gebruiken om een verbinding te maken met RAS-servers die Windows Server 2003 Service Pack 1 of nieuwer niet gebruiken inschakelen op de pagina Binnenkomende verificatiemethoden, zelfs als op alle servers waarop IAS of Routering en RAS wordt uitgevoerd ook Windows Server 2003 SP1 wordt uitgevoerd. Aangezien de domeincontroller niet zo kan worden geconfigureerd dat alleen NTLMv2 wordt geaccepteerd als u dit selectievakje inschakelt, is het aan te raden om de registerwaarde DisallowMsvChapv2 niet in te stellen.

Aanvullende naslaginformatie