网络安全: LAN 管理器身份验证级别
04/19/2017
本文内容
适用范围
Windows 10
介绍网络安全的最佳方案、位置、值、策略管理和安全注意事项 :LAN 管理器身份验证级别 安全策略设置。
参考
此策略设置确定用于网络登录的质询或响应身份验证协议。 LAN Manager (LM) 包括 Microsoft 的客户端计算机和服务器软件,允许用户将个人设备链接在一个网络上。 网络功能包括透明文件和打印共享、用户安全功能和网络管理工具。 在 Active Directory 域中,Kerberos 协议是默认身份验证协议。 但是,如果由于某种原因未协商 Kerberos 协议,Active Directory 将使用 LM、NTLM 或 NTLMv2 (NTLM) 。
LAN 管理器身份验证包括 LM、NTLM 和 NTLMv2 变体,协议用于在运行 Windows 操作系统的所有客户端设备执行以下操作时进行身份验证:
加入域
在 Active Directory 林之间进行身份验证
基于早期版本的 Windows 操作系统向域进行身份验证
从 Windows 2000 开始,向不运行 Windows 操作系统的计算机进行身份验证
对不在域中的计算机进行身份验证
可能值
发送 LM & NTLM 响应
Send LM & NTLM - 使用 NTLMv2 会话安全性(如果已协商)
仅发送 NTLM 响应
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应。 拒绝 LM
仅发送 NTLMv2 响应。 拒绝 LM & NTLM
未定义
" 网络安全: LAN 管理器身份验证 级别"设置确定用于网络登录的质询/响应身份验证协议。 此选项会影响客户端使用的身份验证协议级别、计算机协商的会话安全级别以及服务器接受的身份验证级别。 下表标识了策略设置,描述了该设置,并标识了在相应的注册表设置中使用的安全级别(如果您选择使用注册表而不是策略设置来控制此设置)。
设置
说明
注册表安全级别
发送 LM & NTLM 响应
客户端设备使用 LM 和 NTLM 身份验证,并且从不使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
0
发送 LM & NTLM - 如果经过协商,请使用 NTLMv2 会话安全
客户端设备使用 LM 和 NTLM 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
1
仅发送 NTLM 响应
客户端设备使用 NTLMv1 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
2
仅发送 NTLMv2 响应
客户端设备使用 NTLMv2 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
3
仅发送 NTLMv2 响应。 拒绝 LM
客户端设备使用 NTLMv2 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器拒绝接受 LM 身份验证,他们将仅接受 NTLM 和 NTLMv2 身份验证。
4
仅发送 NTLMv2 响应。 拒绝 LM & NTLM
客户端设备使用 NTLMv2 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器拒绝接受 LM 和 NTLM 身份验证,并且仅接受 NTLMv2 身份验证。
5
最佳做法
最佳做法取决于具体的安全性和身份验证要求。
策略位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
注册表位置
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
仅发送 NTLMv2 响应
DC 有效默认设置
仅发送 NTLMv2 响应
成员服务器有效默认设置
仅发送 NTLMv2 响应
客户端计算机有效默认设置
未定义
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,无需重新启动设备,此策略更改将生效。
组策略
修改此设置可能会影响与客户端设备、服务和应用程序的兼容性。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
在 Windows 7 和 Windows Vista 中,此设置未定义。 在 Windows Server 2008 R2 及更高版本中,此设置配置为仅发送 NTLMv2 响应。
对策
将"网络安全: LAN 管理器身份验证级别"设置配置为 "仅发送 NTLMv2 响应"。 当所有客户端计算机都支持 NTLMv2 时,Microsoft 和许多独立组织强烈建议您进行此级别的身份验证。
潜在影响
不支持 NTLMv2 身份验证的客户端设备无法在域中进行身份验证,也无法使用 LM 和 NTLM 访问域资源。
相关主题