在此页上,收集有关用户可能尝试从其向所选服务器进行身份验证的计算机的信息。

这些安全设置将确定用于网络登录的质询/响应身份验证协议。此选择将影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别。

在下一次更改密码时,这些安全设置还将确定是否存储新密码的 LAN Manager (LM) 哈希值。与加密更加强大的 NTLM 哈希值相比,LM 哈希值相对比较薄弱,容易受到攻击。因为 LM 哈希值存储在本地计算机的安全数据库中,所以,如果安全数据库受到攻击,可能会威胁到密码。

重要

此设置可能会影响计算机通过网络与运行 Windows NT Server 4.0 以及更低版本的计算机进行通信的能力。例如,运行 Windows NT Server 4.0 Service Pack 4 (SP4) 以及更低版本的计算机不支持 NTLM 版本 2 (NTLMv2)。运行 Windows 95 和 Windows 98 的计算机不支持 NTLM。

注册表项

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

关联的安全设置

  • 网络安全:LAN Manager 身份验证级别

  • 网络安全:下次更改密码时不存储 LAN Manager 哈希值

如果提供的信息不准确,可能会中断网络上的计算机之间的通信。

有关这些安全设置的详细信息,请参阅:

仅针对域控制器

“选择服务器角色”页上选择“域控制器(Active Directory)”角色时,将出现一个附加选项。以下选项是域控制器特有的选项:

计算机使用 RAS 或 VPN 连接到 RAS 服务器,这些服务器没有运行 Windows Server 2003 Service Pack 1 或更高版本

Internet 身份验证服务 (IAS) 服务器以及运行路由和远程访问的服务器要求安装 Windows Server 2003 Service Pack 1 (SP1),并要求支持仅 PEAP-MSCHAPv2 身份验证,以便通过只接受 NTLMv2 的域控制器对用户进行身份验证。

IAS 服务器以及运行路由和远程访问的服务器使用 NTLM 对客户端的域凭据进行身份验证。这意味着需要对 IAS 客户端或路由和远程访问客户端进行身份验证的域控制器不能配置为只接受 NTLMv2 身份验证。但是,从 Windows Server 2003 SP1 开始,有可能域控制器可以接受来自 IAS 服务器以及运行路由和远程访问的服务器的 NTLM,但是只接受来自其他服务器的 NTLMv2。默认情况下,运行 Windows Server 2003 SP1 以及 IAS 或路由和远程访问并且使用 PEAP-MSCHAPv2 的服务器会出现这种情况,因为 PEAP-MSCHAPv2 提供的安全保护相当于 NTLMv2 的安全保护。默认情况下,如果运行 Windows Server 2003 SP1 以及 IAS 或路由和远程访问的服务器使用 PPP-MSCHAPv2 对客户端进行身份验证,则不会发生此例外。

若要避免运行 Windows Server 2003 SP1 以及 IAS 或路由和远程访问的服务器发生此默认的例外,可以在域控制器上设置以下注册表值:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

如果已在域控制器上设置此注册表值,并且已将域控制器配置为只接受 NTLMv2,即使所有服务器运行的都是 Windows Server 2003 SP1,域控制器也无法对 IAS 客户端或路由和远程访问客户端进行身份验证。因此,如果已在域控制器上设置 DisallowMsvChapv2 注册表值,并且域控制器需要对 IAS 客户端或路由和远程访问客户端进行身份验证,则必须在“入站身份验证方法”页上选中“计算机使用 RAS 或 VPN 连接到 RAS 服务器,这些服务器没有运行 Windows Server 2003 Service Pack 1 或更高版本”复选框,即使所有运行 IAS 或路由和远程访问的服务器同时也在运行 Windows Server 2003 SP1,也应如此。因为选中此复选框将使域控制器无法配置为只接受 NTLMv2,所以,建议不要设置 DisallowMsvChapv2 注册表值。

其他参考