Nesta página, estão reunidas informações sobre os computadores a partir dos quais os utilizadores podem tentar autenticar o servidor seleccionado.
Estas definições de segurança determinarão o protocolo de autenticação de desafio/resposta que será utilizado para inícios de sessão de rede. Esta escolha afecta o nível do protocolo de autenticação utilizado pelos clientes e o nível de autenticação aceite pelos servidores.
Estas definições de segurança determinarão também se, na próxima alteração da palavra-passe, o valor hash do LAN Manager (LM) para a nova palavra-passe é ou não armazenado. O hash LM é relativamente fraco e susceptível de ser atacado, comparado com o hash NTLM que é criptograficamente mais forte. Uma vez que o hash LM é armazenado no computador local na base de dados de segurança, as palavras-passe podem ser comprometidas se a base de dados de segurança for atacada.
 | Importante |
|
Esta definição pode afectar a capacidade dos computadores comunicarem com computadores com o Windows NT Server 4.0 ou anterior através da rede. Por exemplo, os computadores com o Windows NT Server 4.0 Service Pack 4 (SP4) e anterior não suportam o NTLM versão 2 (NTLMv2). Os computadores com o Windows 95 e o Windows 98 não suportam o NTLM. |
Chaves do registo
-
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
-
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Definições de segurança associadas
-
Segurança de rede: Nível de autenticação do LAN Manager
-
Segurança de rede: não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe
Fornecer informações incorrectas pode interromper a comunicação entre os computadores na rede.
Para mais informações sobre estas definições de segurança, consulte:
-
"Segurança de rede: nível de autenticação LAN Manager" (
https://go.microsoft.com/fwlink/?LinkId=17765 (pode estar em inglês) ).
-
"Segurança de rede: não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe" (
https://go.microsoft.com/fwlink/?LinkId=17766 (pode estar em inglês) ).
Apenas para controladores de domínio
Uma opção adicional é apresentada quando a função Controlador de Domínio (Active Directory) está seleccionada na página Seleccionar Funções de Servidor. A seguinte opção é específica dos controladores de domínio:
Os computadores que utilizam RAS ou VPN para ligar a servidores RAS que não estão a executar o Windows Server 2003 Service Pack 1 ou posterior
Os servidores de Serviço de Autenticação da Internet (IAS) e os servidores que executam o Encaminhamento e Acesso Remoto requerem o Windows Server 2003 Service Pack 1 (SP1) e necessitam de suporte para a autenticação só de PEAP-MSCHAPv2 para autenticarem os utilizadores com controladores de domínio que só aceitam NTLMv2.
Os servidores de IAS e os servidores que executam o Encaminhamento e Acesso Remoto utilizam o NTLM para autenticar as credenciais de domínio dos seus clientes. Isto significa que os controladores de domínio que necessitam de autenticar clientes de IAS ou de Encaminhamento e Acesso Remoto não podem ser configurados para aceitar apenas a autenticação NTLMv2. No entanto, a partir do Windows Server 2003 SP1, é possível a um controlador de domínio aceitar o NTLM de servidores de IAS e de servidores que executam o Encaminhamento e Acesso Remoto mas só aceitam NTLMv2 de todos os outros. Isto acontece por predefinição nos servidores com o Windows Server 2003 SP1 e IAS ou Encaminhamento e Acesso Remoto e que utilizam o PEAP-MSCHAPv2 porque o PEAP-MSCHAPv2 oferece uma protecção equivalente àquela oferecida pelo NTLMv2. Esta excepção não acontece por predefinição se o servidor com o Windows Server 2003 SP1 e IAS ou Encaminhamento e Acesso Remoto utilizar o PPP-MSCHAPv2 para autenticar clientes.
Para evitar esta excepção predefinida para os servidores com o Windows Server 2003 SP1 e IAS ou Encaminhamento e Acesso Remoto, é possível definir o seguinte valor de registo no controlador de domínio:
HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2
Se este valor de registo estiver definido no controlador de domínio e o controlador de domínio estiver configurado para aceitar apenas NTLMv2, então o controlador de domínio não conseguirá autenticar clientes de IAS ou de Encaminhamento e Acesso Remoto mesmo se todos estes servidores estiverem a executar o Windows Server 2003 SP1. Assim, se o valor de registo DisallowMsvChapv2 estiver definido no controlador de domínio e o controlador de domínio necessitar de autenticar clientes de IAS ou de Encaminhamento e Acesso Remoto, então a caixa de verificação Os computadores que utilizam RAS ou VPN para ligar a servidores RAS que não estão a executar o Windows Server 2003 Service Pack 1 ou posterior tem de estar seleccionada na página Métodos de Autenticação de Entrada, mesmo que todos os servidores a executar o IAS ou o Encaminhamento e Acesso Remoto estejam também a executar o Windows Server 2003 SP1. Uma vez que seleccionar esta caixa de verificação evita que o controlador de domínio seja configurado para aceitar apenas NTLMv2, recomendamos que o valor de registo DisallowMsvChapv2 não seja definido.