Ez a lap azokról a számítógépekről gyűjt információkat, amelyekről a felhasználók hitelesítést kísérelhetnek meg a kijelölt kiszolgáló felé.

Ezek a biztonsági beállítások határozzák meg, hogy mely kérdés/válasz hitelesítési protokoll segítségével történjenek a hálózati bejelentkezések. A beállítások a hitelesítési protokoll ügyfelek által használt szintjére, az egyeztetett munkamenet-biztonsági szintre és a kiszolgálók által elfogadott hitelesítési szintre vannak hatással.

Ugyancsak ezek a biztonsági beállítások határozzák meg, hogy a következő jelszócsere alkalmával a LAN Manager tárolja-e az új jelszó kivonatértékét. A LAN Manager-kivonat viszonylag gyenge és támadható, szemben a kriptográfiailag erősebb NTLM-kivonattal. Mivel a LAN Manager kivonat a helyi számítógép biztonsági adatbázisában van tárolva, a jelszavak a biztonsági adatbázis megtámadása esetén veszélybe kerülhetnek.

Fontos!

Ez a beállítás hatással van a számítógépek Windows NT Server 4.0 vagy korábbi rendszereket futtató számítógépekkel való hálózati kommunikációs képességeire. A Service Pack 4 (SP4) szervizcsomaggal frissített Windows NT Server 4.0 és korábbi operációs rendszereket futtató számítógépek például nem támogatják az NTLM protokoll 2-es verzióját. A Windows 95 és Windows 98 operációs rendszert futtató számítógépek nem támogatják az NTLM protokollt.

Beállításkulcsok

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Vonatkozó biztonsági beállítások

  • Hálózati biztonság: LAN Manager hitelesítési szint

  • Hálózati biztonság: a LAN Manager-kivonatok tárolásának mellőzése a következő jelszómódosításkor

A pontatlanul megadott adatok zavart okozhatnak a hálózat számítógépei közötti kommunikációban.

További tudnivalók ezekkel a biztonsági beállításokkal kapcsolatban:

Csak tartományvezérlők esetén

Ha a Kiszolgálói szerepkörök kiválasztása lapon kiválasztja a Tartományvezérlő (Active Directory) szerepkört, még egy beállítási lehetőség megjelenik. Az alábbi beállítás csak a tartományvezérlőkre jellemző:

A távelérési (RAS) kiszolgálókhoz RAS- vagy virtuális magánhálózati kapcsolaton keresztül csatlakozó olyan számítógépek, amelyeken nem Windows Server 2003 Service Pack 1 vagy újabb fut

Az Útválasztás és távelérés eszközt futtató IAS-kiszolgálókon Service Pack 1 (SP1) szervizcsomaggal frissített Windows Server 2003 operációs rendszerre és a kizárólag a PEAP-MSCHAPv2 protokoll segítségével történő hitelesítés támogatására van szükség, hogy a felhasználók olyan tartományvezérlőkkel is hitelesíthetők legyenek, amelyek csak az NTLM protokoll 2-es verzióját fogadják el.

Az IAS-kiszolgálók és az Útválasztás és távelérés eszközt futtató kiszolgálók NTLM segítségével hitelesítik ügyfeleik tartományi hitelesítő adatait. Ezért azok a tartományvezérlők, amelyeknek IAS- vagy az Útválasztás és távelérés eszközt futtató ügyfeleket kell hitelesíteniük, nem konfigurálhatók kizárólag a 2-es verziójú NTLM-hitelesítés elfogadására. A Windows Server 2003 SP1 operációs rendszertől kezdődően azonban lehetőség van arra, hogy a tartományvezérlők az IAS- vagy az Útválasztás és távelérés eszközt futtató kiszolgálóktól elfogadják az NTLM-hitelesítést, minden más számítógéptől azonban csak az NTLMv2-hitelesítést fogadják el. Ez alapértelmezés szerint a Windows Server 2003 SP1 rendszert és az internetes hitelesítési szolgáltatást (IAS) vagy az Útválasztás és távelérés eszközt futtató, valamint a PEAP-MSCHAPv2 protokollt használó kiszolgálókkal fordul elő, mert a PEAP-MSCHAPv2 az NTLMv2 protokollal egyenértékű biztonsági védelmet nyújt. Ez a mentesség alapértelmezés szerint nem merül fel abban az esetben, ha a Windows Server 2003 SP1 rendszert és az IAS szolgáltatást vagy az Útválasztás és távelérés eszközt futtató kiszolgáló a PPP-MSCHAPv2 protokoll segítségével hitelesíti az ügyfeleket.

Amennyiben meg szeretné akadályozni ezt a mentességet a Windows Server 2003 SP1 rendszert és az IAS szolgáltatást vagy az Útválasztás és távelérés eszközt futtató kiszolgálókra vonatkozóan, állítsa be az alábbi beállításazonosítót a tartományvezérlőn:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Ha ez a beállításazonosító beállításra került a tartományvezérlőn, és a tartományvezérlő kizárólag az NTLMv2 elfogadására van konfigurálva, a tartományvezérlő nem tudja hitelesíteni az IAS- és az Útválasztás és távelérés eszközt futtató ügyfeleket, még abban az esetben sem, ha valamennyi kiszolgáló a Windows Server 2003 SP1 rendszert futtatja. Ezért ha a DisallowMsvChapv2 beállításazonosító beállításra került a tartományvezérlőn, és a tartományvezérlőnek IAS- és az Útválasztás és távelérés eszközt futtató ügyfeleket is hitelesítenie kell, be kell jelölni az A távelérési (RAS) kiszolgálókhoz RAS- vagy virtuális magánhálózati kapcsolaton keresztül csatlakozó olyan számítógépek, amelyeken nem Windows Server 2003 Service Pack 1 vagy újabb fut jelölőnégyzetet az Bejövő hitelesítési módszerek lapon, még abban az esetben is, ha az IAS- vagy az Útválasztás és távelérés eszközt futtató kiszolgálók mindegyike Windows Server 2003 SP1 rendszerű. Mivel ennek a jelölőnégyzetnek a beállítása esetén a tartományvezérlő nem konfigurálható kizárólag az NTLMv2 elfogadására, ajánlott kerülni a DisallowMsvChapv2 beállításazonosító beállítását.

További hivatkozások