在此頁面上,會收集關於使用者從哪部電腦嘗試對選取之伺服器進行驗證的資訊。

這些安全性設定會判斷哪些挑戰/回應驗證通訊協定是用於網路登入。這個選項會影響用戶端所使用驗證通訊協定的層級、交涉的工作階段安全性的層級,以及伺服器接受的驗證等級。

這些安全性設定也會判斷下次密碼變更時,是否儲存新密碼的 LAN Manager (LM) 雜湊值。和加密編譯較強的 NTLM 雜湊相比,LM 雜湊相對較不安全,並且容易遭到攻擊。因為 LM 雜湊儲存於本機電腦的安全性資料庫中,若安全性資料庫遭到攻擊,可能就會洩露密碼。

重要

此設定會影響電腦與網路上執行 Windows NT Server 4.0 及較早版本之電腦間進行通訊的能力。例如,執行 Windows NT Server 4.0 Service Pack 4 (SP4) 和較早版本的電腦,不支援 NTLM 第 2 版 (NTLMv2)。執行 Windows 95 和 Windows 98 的電腦則不支援 NTLM。

登錄機碼

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

關聯的安全性設定

  • 網路安全性:LAN Manager 驗證等級

  • 網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值

若提供不正確的資訊,可能會中斷網路上電腦之間的通訊。

如需這些安全性設定的相關資訊,請參閱:

僅針對網域控制站

[選取伺服器角色] 頁面上選取 [網域控制站 (Active Directory)] 角色時,會顯示其他選項。下列選項是網域控制站的特定選項:

使用 RAS 或 VPN 連線到不是執行 Windows Server 2003 Service Pack 1 或更新版本的 RAS 伺服器的電腦

網際網路驗證服務 (IAS) 伺服器和執行「路由及遠端存取」的伺服器需要 Windows Server 2003 Service Pack 1 (SP1),並且需要支援僅限 PEAP-MSCHAPv2 驗證,才能驗證只接受 NTLMv2 的網域控制站的使用者。

IAS 伺服器和執行「路由及遠端存取」的伺服器則使用 NTLM 來驗證其用戶端的網域認證。這表示,需要驗證 IAS 或「路由及遠端存取」用戶端的網域控制站,無法設定為只接受 NTLMv2 驗證。但是,如果以 Windows Server 2003 SP1 啟動,網域控制站就有可能從 IAS 伺服器和執行「路由及遠端存取」的伺服器接受 NTLM,但從其他位置則只接受 NTLMv2。這對執行 Windows Server 2003 SP1 和 IAS 或「路由及遠端存取」並且使用 PEAP-MSCHAPv2 的伺服器是預設值,因為 PEAP-MSCHAPv2 提供與 NTLMv2 同等的安全性防護。如果執行 Windows Server 2003 SP1 和 IAS 或「路由及遠端存取」的伺服器使用 PPP-MSCHAPv2 驗證用戶端,則預設不會產生這項豁免。

若要對執行 Windows Server 2003 SP1 和 IAS 或「路由及遠端存取」的伺服器防止此預設豁免,可以在網域控制站設定下列登錄值:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

如果已在網域控制站設定登錄值,且網域控制站設定為只接受 NTLMv2,則網域控制站將無法驗證 IAS 或「路由及遠端存取」用戶端,即使這些伺服器都執行 Windows Server 2003 SP1 也一樣。因此,如果 DisallowMsvChapv2 登錄值已在網域控制站上設定,且網域控制站需要驗證 IAS 或「路由及遠端存取」用戶端,則必須選取 [輸入驗證方式] 頁面上的 [使用 RAS 或 VPN 連線到不是執行 Windows Server 2003 Service Pack 1 或更新版本的 RAS 伺服器的電腦] 核取方塊,即使所有執行 IAS 或「路由及遠端存取」的伺服器都執行 Windows Server 2003 SP1 也一樣。因為選取此核取方塊即可防止網域控制站設定為只接受 NTLMv2,因此建議不要設定 DisallowMsvChapv2 登錄值。

其他參考資料