Auf dieser Seite werden Informationen zu den Computern gesammelt, von denen aus Benutzer eine Authentifizierung beim ausgewählten Server versuchen können.

Diese Sicherheitseinstellungen bestimmen, welches Abfrage/Antwort-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl beeinflusst die von den Clients verwendete Authentifizierungsprotokollstufe, die ausgehandelte Sitzungssicherheitsstufe sowie die von den Servern akzeptierte Authentifizierungsebene.

Diese Sicherheitseinstellungen bestimmen zudem, ob der LAN-Manager-Hashwert (LM) für das neue Kennwort bei der nächsten Kennwortänderung gespeichert wird. Im Vergleich zum kryptografisch stärkeren NTLM-Hash ist der LM-Hash relativ schwach und anfällig für Angriffe. Da der LM-Hash in der Sicherheitsdatenbank auf dem lokalen Computer gespeichert wird, können die Kennwörter gefährdet sein, wenn die Sicherheitsdatenbank angegriffen wird.

Wichtig

Diese Einstellung kann die Fähigkeit von Computern, mit anderen Computern unter Windows NT Server 4.0 oder früheren Versionen über das Netzwerk zu kommunizieren, beeinflussen. NTLM, Version 2, (NTLMv2) wird beispielsweise von Computern unter Windows NT Server 4.0 Service Pack 4 (SP4) oder älter nicht unterstützt. NTLM wird von Computern unter Windows 95 und Windows 98 nicht unterstützt.

Registrierungsschlüssel

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Zugeordnete Sicherheitseinstellungen

  • Netzwerksicherheit: LAN Manager-Authentifizierungsebene

  • Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern

Durch Angabe falscher Informationen kann die Kommunikation zwischen den Computern im Netzwerk unterbrochen werden.

Weitere Informationen zu diesen Sicherheitseinstellungen finden Sie in folgenden Ressourcen:

Nur für Domänencontroller

Wenn die Rolle Domänencontroller (Active Directory) auf der Seite Serverrollen auswählen ausgewählt wird, wird eine zusätzliche Option angezeigt. Die folgende Option ist nur für Domänencontroller gültig:

Computer, die mit RAS oder VPN Verbindungen zu RAS-Servern herstellen, die nicht Windows Server 2003 Service Pack 1 oder höher ausführen

Internetauthentifizierungsdienst-Server (Internet Authentication Service, IAS) und Server mit Routing und RAS erfordern Windows Server 2003 Service Pack 1 (SP1) sowie Unterstützung für eine reine PEAP-MSCHAPv2-Authentifizierung, damit Benutzer mit Domänencontrollern, die nur NTLMv2 akzeptieren, authentifiziert werden können.

IAS-Server und Server mit Routing und RAS verwenden NTLM zur Authentifizierung der Domänenanmeldeinformationen der Clients. Dies bedeutet, dass Domänencontroller, die IAS- oder Routing und RAS-Clients authentifizieren müssen, nicht für das Akzeptieren einer reinen NTLMv2-Authentifizierung konfiguriert werden können. Ab Windows Server 2003 SP1 können Domänencontroller jedoch NTLM von IAS-Servern und von Servern mit Routing und RAS akzeptieren, NTLMv2 hingegen nur von anderen Computern. Dies geschieht standardmäßig bei Servern unter Windows Server 2003 SP1 mit IAS oder Routing und RAS, die PEAP-MSCHAPv2 verwenden, weil PEAP-MSCHAPv2 einen Sicherheitsschutz bietet, der jenem von NTLMv2 entspricht. Diese Ausnahme tritt nicht standardmäßig auf, wenn der Server unter Windows Server 2003 SP1 mit IAS oder Routing und RAS für die Clientauthentifizierung PPP-MSCHAPv2 verwendet.

Wenn Sie diese Standardausnahme auf Servern unter Windows Server 2003 SP1 mit IAS oder Routing und RAS verhindern möchten, kann auf dem Domänencontroller der folgende Registrierungswert festgelegt werden:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Wenn dieser Registrierungswert auf dem Domänencontroller festgelegt wurde und der Domänencontroller ausschließlich für das Akzeptieren von NTLMv2 konfiguriert wird, kann der Domänencontroller keine IAS- oder Routing und RAS-Clients authentifizieren, selbst wenn all diese Server unter Windows Server 2003 SP1 ausgeführt werden. Wenn der Registrierungswert DisallowMsvChapv2 auf dem Domänencontroller festgelegt wurde und der Domänencontroller IAS- oder Routing und RAS-Clients authentifizieren muss, muss daher das Kontrollkästchen Computer, die mit RAS oder VPN Verbindungen zu RAS-Servern herstellen, die nicht Windows Server 2003 Service Pack 1 oder höher ausführen auf der Seite Eingehende Authentifizierungsmethoden aktiviert werden, selbst wenn alle Server mit IAS oder Routing und RAS ebenfalls unter Windows Server 2003 SP1 ausgeführt werden. Da die Aktivierung dieses Kontrollkästchens verhindert, dass Domänencontroller ausschließlich für das Akzeptieren von NTLMv2 konfiguriert werden, empfiehlt es sich, den Registrierungswert DisallowMsvChapv2 nicht festzulegen.

Weitere Verweise