背景
LAN Manager (LM) 身份验证是用于验证 Windows 客户端以进行网络操作(包括域加入、访问网络资源以及用户或计算机身份验证)的协议。 LM 身份验证级别可确定在客户端和服务器计算机之间协商哪个质询/响应身份验证协议。 确切地说,LM 身份验证级别可确定客户端会尝试协商或服务器会接受哪些身份验证协议。 设置的 LmCompatibilityLevel 值可确定将哪种质询/响应身份验证协议用于网络登录。 该值会影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别。
可能的设置包括以下内容。
值
设置
说明
0
发送 LM 和 NTLM 响应
客户端使用 LM 和 NTLM 身份验证且从不使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
1
发送 LM 和 NTLM - 如果已协商,则使用 NTLMv2 会话安全
客户端使用 LM 和 NTLM 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
2
仅发送 NTLM 响应
客户端只使用 NTLM 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
3
仅发送 NTLMv2 响应
客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
4
仅发送 NTLMv2 响应/拒绝 LM
客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器拒绝 LM,而只接受 NTLM 和 NTLMv2 身份验证。
5
仅发送 NTLMv2 响应/拒绝 LM 和 NTLM
客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器拒绝 LM 和 NTLM,而只接受 NTLMv2 身份验证。
注意 在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,目录服务客户端在通过 NTLM 身份验证向 Windows Server 2003 服务器验证身份时使用 SMB 签名。 但是,目录服务客户端在通过 NTLMv2 身份验证向这些服务器验证身份时并不使用 SMB 签名。 另外,Windows 2000 服务器不响应来自这些客户端的 SMB 签名请求。
检查 LM 身份验证级别: 必须更改服务器上的策略以允许使用 NTLM,或者必须配置客户端计算机以支持 NTLMv2。
如果要连接到的目标计算机上的策略设置为 (5) 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM,那么必须降低该计算机上的设置,或者对安全性进行设置使其与要从中进行连接的源计算机的设置相同。
找到可以更改 LAN Manager 身份验证级别的正确位置,以便将客户端和服务器设置为同一级别。 找到设置 LAN Manager 身份验证级别的策略后,如果希望与运行较早版本 Windows 的计算机建立连接,请将该值至少降低到 (1) 发送 LM 和 NTLM - 如果已协商,则使用 NTLMv2 会话安全。 不兼容设置的一个结果便是:如果服务器需要 NTLMv2(值 5),但客户端配置为仅使用 LM 和 NTLMv1(值 0),则尝试身份验证的用户会因使用了无效密码而无法登录,同时会因此增加无效密码计数。 如果配置了帐户锁定,则可能最终会锁定该用户。
例如,您可能必须查看域控制器,或者检查域控制器的策略。
查看域控制器
注意 你可能必须在所有域控制器上重复以下过程。
单击“开始”,指向“程序”,然后单击“管理工具”。
在“本地安全设置”下,展开“本地策略”。
单击“安全选项”。
双击“网络安全: LAN 管理器身份验证级别”,然后单击列表中的值。
如果“有效设置”与“本地设置”相同,则表明已在此级别上更改了策略。 如果设置不同,则必须检查域控制器的策略,确定是否在此处定义了“网络安全: LAN 管理器身份验证级别”设置已在此处定义。 如果未在此处定义,请检查域控制器的策略。
检查域控制器的策略
单击“开始”,指向“程序”,然后单击“管理工具”。
在“域控制器安全”策略中,展开“安全设置”,然后展开“本地策略”。
单击“安全选项”。
双击“网络安全: LAN 管理器身份验证级别”,然后单击列表中的值。
注意
您可能还必须检查在网站级别、域级别或组织单位 (OU) 级别链接的策略,以确定必须配置 LAN Manager 身份验证级别的位置。
如果将组策略设置作为默认域策略实施,则该策略将应用于域中的所有计算机。
如果将某一组策略设置作为默认域控制器的策略来执行,则该策略仅适用于域控制器的 OU 中的服务器。
最好在策略应用程序层次结构中所需范围的最低实体中设置 LAN Manager 身份验证级别。
Windows Server 2003 有一个仅使用 NTLMv2 的新默认设置。 默认情况下,基于 Windows Server 2003 和基于 Windows 2000 Server SP3 的域控制器已启用“Microsoft 网络服务器: 数字签名的通信(总是)”策略。 此设置要求 SMB 服务器执行 SMB 数据包签名。 已经对 Windows Server 2003 进行了更改,原因是任何组织中的域控制器、文件服务器、网络结构服务器和 Web 服务器均要求采用不同的设置,以最大程度地提高其安全性。
如果您想在网络中实施 NTLMv2 身份验证,请一定要确保将域中的所有计算机都设置为使用此身份验证级别。 如果对 Windows 95 或 Windows 98 以及 Windows NT 4.0 应用了 Active Directory Client Extension,则此客户端扩展将使用 NTLMv2 中提供的改进的身份验证功能。 由于运行以下任何操作系统的客户端计算机都不受 Windows 2000 组策略对象的影响,因此您可能需要手动配置这些客户端:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
注意 如果启用了“网络安全”: 在下一次更改密码时不存储 LAN 管理器哈希值”策略或设置 NoLMHash 注册表项,未安装目录服务客户端的基于 Windows 95 和 Windows 98 客户端在密码更改后将无法登录到域。
许多第三方 CIFS 服务器(如 Novell Netware 6)都无法识别 NTLMv2 而只使用 NTLM。 因此,高于 2 的级别都不允许进行连接。 还有不使用扩展会话安全的第三方 SMB 客户端。 在这些情况下,不考虑资源服务器的 LmCompatiblityLevel。 然后,服务器打包此过时请求,并将其发送到用户域控制器。 然后,域控制器上的设置决定使用什么哈希来验证请求,以及这些哈希是否满足域控制器的安全要求。
有关如何手动配置 LAN 管理器身份验证级别的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何在 Windows NT 上禁用 LM 身份验证
如何阻止 Windows 在 Active Directory 和本地 SAM 数据库中存储密码的 LAN Manager 哈希
Outlook 不断提示你提供登录凭据
审核事件将身份验证程序包显示为 NTLMv1,而不是 NTLMv2
有关 LM 身份验证级别的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何启用 NTLM 2 身份验证
4149
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
