Na tej stronie są zbierane informacje o komputerach, które użytkownicy mogą próbować uwierzytelnić dla wybranego serwera.

Te ustawienia zabezpieczeń określają, który protokół uwierzytelniania typu wezwanie/odpowiedź jest używany podczas logowania do sieci. Wybór tych ustawień ma wpływ na poziom protokołu uwierzytelniania używanego przez klientów, negocjowany poziom zabezpieczeń sesji oraz poziom uwierzytelniania akceptowany przez serwery.

Te ustawienia zabezpieczeń określają też, czy w przypadku zmiany hasła dla nowego hasła będzie przechowywana wartość skrótu programu LAN Manager (LM). Skrót programu LAN Manager jest stosunkowo słabszy i podatniejszy na ataki niż silniejszy kryptograficznie skrót uwierzytelniania NTLM. Ponieważ skrót programu LAN Manager jest przechowywany na komputerze lokalnym w bazie danych zabezpieczeń, możliwe jest złamanie haseł w przypadku ataku na bazę danych zabezpieczeń.

Ważne

To ustawienie ma wpływ na zdolność komputerów do komunikowania się przez sieć z komputerami, na których jest uruchomiony system Windows NT Server 4.0 lub starszy. Na przykład komputery z systemem Windows NT Server 4.0 z dodatkiem Service Pack (SP4) lub starszym nie obsługują uwierzytelniania NTLM w wersji 2 (NTLMv2). Komputery z systemami Windows 95 i Windows 98 nie obsługują uwierzytelniania NTLM.

Klucze rejestru

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Skojarzone ustawienia zabezpieczeń

  • Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager

  • Zabezpieczenia sieci: nie przechowuj wartości skrótu programu LAN Manager dla następnej zmiany hasła

Podanie nieprawidłowych informacji może zakłócić komunikację między komputerami w sieci.

Aby uzyskać więcej informacji na temat tych ustawień zabezpieczeń, zobacz:

  • Artykuł dotyczący ustawienia zabezpieczeń „Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager” (https://go.microsoft.com/fwlink/?LinkId=17765) (strona może zostać wyświetlona w języku angielskim)

  • Artykuł dotyczący ustawienia zabezpieczeń „Zabezpieczenia sieci: nie przechowuj wartości skrótu programu LAN Manager dla następnej zmiany hasła” (https://go.microsoft.com/fwlink/?LinkId=17766) (strona może zostać wyświetlona w języku angielskim)

Dotyczy tylko kontrolerów domeny

Dodatkowa opcja zostanie wyświetlona, kiedy zostanie wybrana rola Kontroler domeny (Active Directory) na stronie Wybieranie ról serwera. Poniższa opcja dotyczy kontrolerów domeny:

Komputery używające usługi RAS lub VPN do łączenia się z serwerami RAS bez uruchomionego systemu Windows Server 2003 z dodatkiem Service Pack 1 lub nowszego

Serwery usługi uwierzytelniania internetowego (IAS) i serwery z uruchomioną usługą Routing i dostęp zdalny wymagają systemu Windows Server 2003 z dodatkiem Service Pack 1 (SP1) i wymagają obsługi uwierzytelniania PEAP-MSCHAPv2 wyłącznie w celu uwierzytelniania użytkowników przez kontrolery domeny akceptujące tylko uwierzytelnianie NTLMv2.

Serwery IAS oraz serwery z uruchomioną usługą Routing i dostęp zdalny używają uwierzytelniania NTLM do uwierzytelniania poświadczeń domeny klientów. Oznacza to, że kontrolery domeny, które muszą uwierzytelnić klientów serwera IAS lub usługi Routing i dostęp zdalny, nie mogą zostać skonfigurowane do akceptowania wyłącznie uwierzytelniania NTLMv2. Począwszy od systemu Windows Server 2003 z dodatkiem SP1 kontroler domeny może już jednak akceptować uwierzytelnianie NTLM z serwerów IAS i serwerów z uruchomioną usługą Routing i dostęp zdalny oraz akceptować wyłącznie uwierzytelnianie NTLMv2 od innych serwerów. Jest to działanie domyślne w przypadku serwerów z uruchomioną usługą IAS lub Routing i dostęp zdalny w systemie Windows Server 2003 z dodatkiem SP1, korzystających z uwierzytelniania PEAP-MSCHAPv2, jako że uwierzytelnianie tego typu oferuje zabezpieczenia odpowiadające uwierzytelnianiu NTLMv2. To wykluczenie nie jest stosowane domyślnie, jeśli serwer z uruchomioną usługą IAS lub usługą Routing i dostęp zdalny w systemie Windows Server 2003 z dodatkiem SP1 uwierzytelnia klientów przy użyciu uwierzytelniania PPP-MSCHAPv2.

Aby zapobiec temu domyślnemu wykluczeniu w przypadku serwerów z uruchomioną usługą IAS lub usługą Routing i dostęp zdalny w systemie Windows Server 2003 z dodatkiem SP1, można ustawić na kontrolerze domeny następującą wartość rejestru:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Jeśli tę wartość rejestru ustawiono na kontrolerze domeny, który został skonfigurowany do akceptowania wyłącznie uwierzytelniania NTLMv2, kontroler domeny nie będzie mógł uwierzytelniać klientów z uruchomioną usługą IAS lub usługą Routing i dostęp zdalny, nawet jeśli wszystkie serwery mają zainstalowany system Windows Server 2003 z dodatkiem SP1. Dlatego też, jeżeli wartość rejestru DisallowMsvChapv2 została ustawiona na kontrolerze domeny, dla którego jest wymagane uwierzytelnianie klientów z uruchomioną usługą IAS lub usługą Routing i dostęp zdalny, należy zaznaczyć pole wyboru Komputery używające usługi RAS lub VPN do łączenia się z serwerami RAS bez uruchomionego systemu Windows Server 2003 z dodatkiem Service Pack 1 lub nowszego na stronie Metody uwierzytelniania połączeń przychodzących, nawet jeśli wszystkie serwery z uruchomioną usługą IAS lub usługą Routing i dostęp zdalny mają zainstalowany system Windows Server 2003 z dodatkiem SP1. Ponieważ zaznaczenie tego pola wyboru uniemożliwia skonfigurowanie kontrolera domeny do akceptowania wyłącznie uwierzytelniania NTLMv2, lepiej nie ustawiać wartości rejestru DisallowMsvChapv2.

Dodatkowe informacje

Spis treści