In questa pagina vengono raccolte le informazioni relative ai computer da cui gli utenti potrebbero tentare di eseguire l'autenticazione nel server selezionato.

Queste impostazioni di sicurezza determineranno il tipo di protocollo di autenticazione con meccanismo di tipo richiesta di verifica/risposta utilizzato per gli accessi in rete. Ciò incide sul livello di protocollo di autenticazione utilizzato dai client, sul livello di sicurezza sessione negoziato e sul livello di autenticazione accettato dai server.

Tali impostazioni di sicurezza specificano inoltre se, al cambio di password successivo, deve essere archiviato il valore hash di LAN Manager (LM) relativo alla nuova password. Il valore hash di LAN Manager è relativamente vulnerabile e soggetto ad attacchi rispetto all'hash NTLM, che è basato su una crittografia più avanzata. Poiché l'hash di LAN Manager è archiviato nel database di sicurezza del computer locale, un eventuale attacco al database di sicurezza può compromettere le password.

Importante

Questa impostazione può influire sulla capacità dei computer di comunicare in rete con i computer che eseguono Windows NT Server 4.0 e versioni precedenti. Ad esempio, i computer che eseguono Windows NT Server 4.0 Service Pack 4 (SP4) e versioni precedenti non supportano il protocollo NTLM versione 2 (NTLMv2). I computer che eseguono Windows 95 e Windows 98 non supportano NTLM.

Chiavi del Registro di sistema

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Impostazioni di sicurezza associate

  • Sicurezza di rete: livello di autenticazione di LAN Manager

  • Sicurezza di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password

L'immissione di informazioni imprecise potrebbe interrompere la comunicazione tra i computer in rete.

Per ulteriori informazioni su queste impostazioni di sicurezza, vedere:

Solo per i controller di dominio

Quando viene selezionato il ruolo Controller di dominio (Active Directory) nella pagina Selezione ruoli server viene visualizzata la seguente opzione aggiuntiva, specifica per i controller di dominio:

Computer che utilizzano RAS o VPN per connettersi a server RAS in cui non è in esecuzione Windows Server 2003 Service Pack 1 o versione successiva

I server di Servizio di autenticazione Internet (IAS, Internet Authentication Service) e i server in cui è in esecuzione il servizio Routing e accesso remoto richiedono Windows Server 2003 Service Pack 1 (SP1) e il supporto dell'autenticazione PEAP-MSCHAPv2 solo per autenticare utenti con controller di dominio che accettano solo NTLMv2.

I server IAS e i server che eseguono Routing e accesso remoto utilizzano NTLM per autenticare le credenziali di dominio dei client. Non sarà pertanto possibile configurare i controller di dominio che devono eseguire l'autenticazione di client IAS o Routing e accesso remoto in modo tale che accettino solo l'autenticazione NTLMv2. Tuttavia, a partire da Windows Server 2003 SP1, è possibile per un controller di dominio accettare NTLM da server IAS e server che eseguono Routing e accesso remoto e accettare solo NTLMv2 da tutti gli altri. Ciò avviene per impostazione predefinita per i server che eseguono Windows Server 2003 SP1 e IAS o Routing e accesso remoto e che utilizzano PEAP-MSCHAPv2, poiché PEAP-MSCHAPv2 offre un livello di sicurezza equivalente a quello di NTLMv2. Questa esenzione non avviene per impostazione predefinita se il server che esegue Windows Server 2003 SP1 e IAS o Routing e accesso remoto utilizza PPP-MSCHAPv2 per l'autenticazione dei client.

Per impedire tale esenzione predefinita per i server che eseguono Windows Server 2003 SP1 e IAS o Routing e accesso remoto, è possibile impostare il seguente valore del Registro di sistema nel controller di dominio:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Se questo valore del Registro di sistema viene impostato in un controller di dominio configurato per accettare solo NTLMv2, il controller di dominio non sarà in grado di autenticare client IAS o Routing e accesso remoto, anche se in tutti i server è in esecuzione Windows Server 2003 SP1. Pertanto, se il valore del Registro di sistema DisallowMsvChapv2 viene impostato in un controller di dominio che deve autenticare client IAS o Routing e accesso remoto, sarà necessario selezionare la casella di controllo Computer che utilizzano RAS o VPN per connettersi a server RAS in cui non è in esecuzione Windows Server 2003 Service Pack 1 o versione successiva nella pagina Metodi di autenticazione in ingresso, anche se tutti i server che eseguono IAS o Routing e accesso remoto eseguono anche Windows Server 2003 SP1. Selezionando questa casella di controllo non sarà possibile configurare il controller di dominio in modo che accetti solo NTLMv2. È pertanto consigliabile non impostare il valore del Registro di sistema DisallowMsvChapv2.

Ulteriori riferimenti