På denna sida inhämtas information om de datorer från vilka användare kan försöka att autentisera mot den valda servern.

Dessa säkerhetsinställningar anger vilket autentiseringsprotokoll för anrop/svar som används för nätverksinloggningar. Den här inställningen påverkar nivån på autentiseringsprotokollet som klienter använder, nivån på den förhandlade sessionssäkerheten samt nivån på autentiseringen som accepteras av servrar.

Den här säkerhetsinställningen anger även om LM-hashvärdet (LAN Manager) för det nya lösenordet lagras när lösenordet ändras nästa gång. LM-hashvärdet är relativt svagt och känsligt för attacker, jämfört med den kryptografiskt starkare NTLM-hashen. Eftersom LM-hashvärdet lagras på den lokala datorn i säkerhetsdatabasen kan säkerheten för lösenorden äventyras om säkehetsdatabasen angrips.

Viktigt!

Den här inställningen kan göra det svårare för datorer som kör Windows NT Server 4.0 och tidigare versioner att kommunicera över nätverket. Datorer som kör Windows NT Server 4.0 Service Pack 4 (SP4) och tidigare stöder till exempel inte NTLM version 2 (NTLMv2). Datorer som kör Windows 95 och Windows 98 stöder inte NTLM.

Registernycklar

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Associerad säkerhetsinställning

  • Nätverkssäkerhet: Autentiseringsnivå för Lan Manager

  • Nätverkssäkerhet: Lagra inte LAN Manager-hashvärden vid nästa lösenordsändring

Om du anger felaktig information kan det avbryta kommunikationen mellan datorer i nätverket.

Mer information om dessa säkerhetsinställningarna finns i:

Endast för domänkontrollanter

Ett ytterligare alternativ visas när rollen Domänkontrollant (Active Directory) väljs på sidan Välj serverroller. Följande alternativ är specifikt för domänkontrollanter:

Datorer som använder RAS eller VPN för att ansluta till RAS-servrar som inte använder Windows Server 2003 Service Pack 1 eller senare

IAS-servrar och servrar som kör Routning och fjärråtkomst kräver Windows Server 2003 SP1 och kräver stöd för enbart PEAP-MSCHAPv2-autentisering för att kunna autentisera användare med domänkontrollanter som bara stöder NTLMv2.

IAS-servrar och servrar som kör Routning och fjärråtkomst använder NTLM för att autentisera deras klienters domänautentiseringsuppgifter. Det betyder att domänkontrollanter som behöver autentisera klienter med IAS eller Routning och fjärråtkomst inte kan konfigureras att enbart acceptera NTLMv2-autentisering. Från och med Windows Server 2003 SP1 är det däremot möjligt för en domänkontrollant att acceptera NTLM från IAS-servrar och servrar som kör Routning och fjärråtkomst men endast acceptera NTLMv2 från alla andra. Detta sker som standard för servrar som kör Windows Server 2003 SP1 och IAS eller Routning och fjärråtkomst och som använder PEAP-MSCHAPv2 eftersom PEAP-MSCHAPv2 erbjuder ett säkerhetsskydd som är likvärdigt med NTLMv2. Detta undantag sker inte som standard om den server som kör Windows Server 2003 SP1 och IAS eller Routning och fjärråtkomst använder PPP-MSCHAPv2 för att autentisera klienter.

Om du vill förhindra detta standardundantag för servrar som kör Windows Server 2003 SP1 och IAS eller Routning och fjärråtkomst kan följande registervärde anges på domänkontrollanten:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Om detta registervärde har angivits på domänkontrollanten och domänkontrollanten har konfigurerats att acceptera enbart NTLMv2, då kommer domänkontrollanten inte att kunna autentisera klienter med IAS eller Routning och fjärråtkomst, även om alla dessa servrar kör Windows Server 2003 SP1. Om registervärdet DisallowMsvChapv2 har angivits på domänkontrollanten och domänkontrollanten behöver autentisera klienter med IAS eller Routning och fjärråtkomst, då måste kryssrutan Datorer som använder RAS eller VPN för att ansluta till RAS-servrar som inte använder Windows Server 2003 Service Pack 1 eller senare markeras på sidan Metod för inkommande autentisering, även om alla servrar som kör IAS eller Routning och fjärråtkomst även kör Windows Server 2003 SP1. Eftersom markering av denna kryssruta förhindrar att domänkontrollanten kan konfigureras att enbart acceptera NTLMv2 rekommenderas att registervärdet DisallowMsvChapv2 inte anges.

Ytterligare referenser