Cette page rassemble des informations sur les ordinateurs à partir desquels les utilisateurs peuvent tenter de s’authentifier auprès du serveur sélectionné.
Ces paramètres de sécurité déterminent le protocole d’authentification par stimulation/réponse à utiliser pour les ouvertures de session réseau. Ce choix a une incidence sur le niveau du protocole d’authentification utilisé par les clients, le niveau de sécurité de session négocié et le niveau d’authentification accepté par les serveurs.
Ces paramètres de sécurité déterminent également si, lors du prochain changement de mot de passe, la valeur de hachage de niveau LAN Manager doit ou non être stockée pour le nouveau mot de passe. Le hachage LAN Manager est relativement faible et vulnérable aux attaques, en comparaison du hachage NTLM dont le niveau de chiffrement est plus puissant. Dans la mesure où le hachage LAN Manager est stocké sur l’ordinateur local dans la base de données de sécurité, la sécurité des mots de passe peut être compromise en cas d’attaque de la base de données de sécurité.
 | Important |
|
Ce paramètre peut affecter la capacité des ordinateurs à communiquer avec d’autres ordinateurs exécutant Windows NT Server 4.0 et version antérieure sur le réseau. Par exemple, des ordinateurs exécutant Windows NT Server 4.0 Service Pack 4 (SP4) et version antérieure ne prennent pas en charge NTLM version 2 (NTLMv2). Les ordinateurs exécutant Windows 95 et Windows 98 ne prennent pas en charge NTLM. |
Clés de Registre
-
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
-
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Paramètres de sécurité associés
-
Sécurité réseau : niveau d’authentification LAN Manager
-
Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe
La fourniture d’informations inexactes peut interrompre la communication entre les ordinateurs du réseau.
Pour plus d’informations sur ces paramètres de sécurité, voir :
-
« Sécurité réseau : niveau d’authentification LAN Manager » (
https://go.microsoft.com/fwlink/?LinkId=17765 )
-
« Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe » (
https://go.microsoft.com/fwlink/?LinkId=17766 )
Pour les contrôleurs de domaine seulement
Une option supplémentaire s’affiche lorsque le rôle Contrôleur de domaine (Active Directory) est sélectionné dans la page Sélectionner des rôles de serveurs. L’option suivante est spécifique aux contrôleurs de domaine :
Ordinateurs utilisant RAS ou VPN pour se connecter aux serveurs RAS qui n’exécutent pas Windows Server 2003 Service Pack 1 ou ultérieur
Les serveurs IAS (Internet Authentication Service) et les serveurs exécutant le service Routage et accès à distance requièrent Windows Server 2003 Service Pack 1 (SP1) et la prise en charge de PEAP-MSCHAPv2 comme méthode d’authentification unique pour authentifier les utilisateurs avec des contrôleurs de domaine qui n’acceptent que NTLMv2.
Les serveurs IAS et les serveurs exécutant le service Routage est accès à distance utilisent NTLM pour authentifier les informations d’identification de domaine de leurs clients. Cela signifie que les contrôleurs de domaine qui doivent authentifier des clients IAS or Routage et accès à distance ne peuvent pas être configurés pour accepter exclusivement l’authentification NTLMv2. Toutefois, à partir de Windows Server 2003 SP1, il est possible pour un contrôleur de domaine d’accepter NTLM à partir de serveurs IAS et de serveurs exécutant le service Routage et accès à distance mais de n’accepter que NTLMv2 à partir de tous les autres serveurs. Il s’agit d’un comportement par défaut pour les serveurs exécutant Windows Server 2003 SP1 et IAS ou Routage et accès à distance et qui utilisent PEAP-MSCHAPv2 car PEAP-MSCHAPv2 offre une protection de sécurité équivalente à celle de NTLMv2. Cette exemption ne se produit pas par défaut si le serveur exécutant Windows Server 2003 SP1 et IAS ou Routage et accès à distance utilise PPP-MSCHAPv2 pour authentifier les clients.
Pour empêcher cette exemption par défaut pour les serveurs exécutant Windows Server 2003 SP1 et IAS ou Routage et accès à distance, la valeur de Registre suivante peut être définie sur le contrôleur de domaine :
HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2
Si cette valeur de Registre a été définie sur le contrôleur de domaine et que ce dernier est configuré pour accepter uniquement NTLMv2, alors le contrôleur de domaine ne peut pas authentifier les clients IAS ou Routage et accès à distance même si tous ces serveurs exécutent Windows Server 2003 SP1. Par conséquent, si la valeur de Registre DisallowMsvChapv2 a été définie sur le contrôleur de domaine et que ce dernier doit authentifier des clients IAS ou Routage et accès à distance, alors la case à cocher Ordinateurs utilisant RAS ou VPN pour se connecter aux serveurs RAS qui n’exécutent pas Windows Server 2003 Service Pack 1 ou ultérieur doit être activée dans la page Méthodes d’authentification entrante, même si tous les serveurs exécutant IAS ou Routage et accès à distance exécutent également Windows Server 2003 SP1. Comme l’activation de cette case à cocher empêche le contrôleur de domaine d’être configuré pour accepter uniquement NTLMv2, il est recommandé de ne pas définir la valeur de Registre DisallowMsvChapv2.