计算机安全用户身份验证,Windows 10 (网络安全 LAN 管理器身份验证) - Windows security | Microsoft Docs...

最新推荐文章于 2024-07-30 09:03:51 发布
最新推荐文章于 2024-07-30 09:03:51 发布
阅读量739 收藏 1
点赞数
文章标签: 计算机安全用户身份验证

网络安全: LAN 管理器身份验证级别

04/19/2017

本文内容

适用范围

Windows 10

介绍网络安全的最佳方案、位置、值、策略管理和安全注意事项 :LAN 管理器身份验证级别 安全策略设置。

参考

此策略设置确定用于网络登录的质询或响应身份验证协议。 LAN Manager (LM) 包括 Microsoft 的客户端计算机和服务器软件,允许用户将个人设备链接在一个网络上。 网络功能包括透明文件和打印共享、用户安全功能和网络管理工具。 在 Active Directory 域中,Kerberos 协议是默认身份验证协议。 但是,如果由于某种原因未协商 Kerberos 协议,Active Directory 将使用 LM、NTLM 或 NTLMv2 (NTLM) 。

LAN 管理器身份验证包括 LM、NTLM 和 NTLMv2 变体,协议用于在运行 Windows 操作系统的所有客户端设备执行以下操作时进行身份验证:

加入域

在 Active Directory 林之间进行身份验证

基于早期版本的 Windows 操作系统向域进行身份验证

从 Windows 2000 开始,向不运行 Windows 操作系统的计算机进行身份验证

对不在域中的计算机进行身份验证

可能值

发送 LM & NTLM 响应

Send LM & NTLM - 使用 NTLMv2 会话安全性(如果已协商)

仅发送 NTLM 响应

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应。 拒绝 LM

仅发送 NTLMv2 响应。 拒绝 LM & NTLM

未定义

" 网络安全: LAN 管理器身份验证 级别"设置确定用于网络登录的质询/响应身份验证协议。 此选项会影响客户端使用的身份验证协议级别、计算机协商的会话安全级别以及服务器接受的身份验证级别。 下表标识了策略设置,描述了该设置,并标识了在相应的注册表设置中使用的安全级别(如果您选择使用注册表而不是策略设置来控制此设置)。

设置

说明

注册表安全级别

发送 LM & NTLM 响应

客户端设备使用 LM 和 NTLM 身份验证,并且从不使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

0

发送 LM & NTLM - 如果经过协商,请使用 NTLMv2 会话安全

客户端设备使用 LM 和 NTLM 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

1

仅发送 NTLM 响应

客户端设备使用 NTLMv1 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

2

仅发送 NTLMv2 响应

客户端设备使用 NTLMv2 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

3

仅发送 NTLMv2 响应。 拒绝 LM

客户端设备使用 NTLMv2 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器拒绝接受 LM 身份验证,他们将仅接受 NTLM 和 NTLMv2 身份验证。

4

仅发送 NTLMv2 响应。 拒绝 LM & NTLM

客户端设备使用 NTLMv2 身份验证,并且它们使用 NTLMv2 会话安全性(如果服务器支持)。 域控制器拒绝接受 LM 和 NTLM 身份验证,并且仅接受 NTLMv2 身份验证。

5

最佳做法

最佳做法取决于具体的安全性和身份验证要求。

策略位置

计算机配置\Windows 设置\安全设置\本地策略\安全选项

注册表位置

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

默认值

下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

未定义

Stand-Alone服务器默认设置

仅发送 NTLMv2 响应

DC 有效默认设置

仅发送 NTLMv2 响应

成员服务器有效默认设置

仅发送 NTLMv2 响应

客户端计算机有效默认设置

未定义

策略管理

本节介绍可帮助您管理此策略的功能和工具。

重启要求

无。 在本地保存或通过组策略分发更改时,无需重新启动设备,此策略更改将生效。

组策略

修改此设置可能会影响与客户端设备、服务和应用程序的兼容性。

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。

漏洞

在 Windows 7 和 Windows Vista 中,此设置未定义。 在 Windows Server 2008 R2 及更高版本中,此设置配置为仅发送 NTLMv2 响应。

对策

将"网络安全: LAN 管理器身份验证级别"设置配置为 "仅发送 NTLMv2 响应"。 当所有客户端计算机都支持 NTLMv2 时,Microsoft 和许多独立组织强烈建议您进行此级别的身份验证。

潜在影响

不支持 NTLMv2 身份验证的客户端设备无法在域中进行身份验证,也无法使用 LM 和 NTLM 访问域资源。

相关主题

weixin_39517868
关注
计算机安全凭据,4776 (S、F) 计算机尝试验证帐户的凭据。 (Windows 10) - Windows security | Microsoft Docs...
weixin_42202605的博客
07-20 1839
4776 (S、F) :计算机尝试验证帐户的凭据。04/19/2017本文内容适用范围Windows 10Windows Server 2016事件说明:每次使用 NTLM 身份验证验证凭据时,都会生成此事件。此事件仅在提供凭据的权威计算机上发生。 对于域帐户,域控制器是权威的。 对于本地帐户,本地计算机具有权威性。它显示成功和失败的凭据验证尝试。它只显示源工作站 (计算机) 尝试从源 (身份验证...
Windows 组策略修改 之 初始化文件 %windir%\inf\defltbase.inf
yetugeng的专栏
12-23 1899
OS 名称: Microsoft Windows Server 2012 R2 Standard OS 版本: 6.3.9600 暂缺 Build 9600 查看所有用户和组 C:\Users\Administrator>wmic useraccount list brief AccountType Caption ...
LAN管理器身份验证级别,WIN7访问共享提示:“登陆失败:未知的用户名或密码错误
jinjunfn的专栏
08-07 9571
WIN7访问共享提示:“登陆失败:未知的用户名或密码错误” 发表于 2011 年 06 月 26 日 由 admin 浏览:509 次 问题:使用的是windows7系统 ,访问局域网内的计算机 \\ip 要求输入用户密码, 但一直提示 “登陆失败:未知的用户名或密码错误” 但在其它xp系统下访问这个\\ip 使用同样用户名和密码就没有问题 在尝试常规的解决方法,如:更改组策
NtLmSsp 登录爆破防御办法踩的坑-网络安全:LAN管理器身份验证级别设置还原
studyingjay的博客
05-18 4334
windows系统日志看到很多相同NtlmSsp报错 于是在找了一些解决方法,按照下面这张图设置踩了一些坑 按照图上设置2008系统没问题,2019系统远程桌面就怎么设置都连不上了。 暂时正确的解决办法: 1、实际操作折腾一番返现上面那个LAN可以不用设置; 2.、下面选择“拒绝所有域账户”就行了,如果选择拒绝所以账户,远程桌面怎么样都报函数错误。有没其他方法设置暂时不知道,暂时选择域账户就可以了。 3、如果已经设置了那个“网络安全:LAN管理器身份验证级别”想还原的,可以修改注册表: 1. 运行 r
windows利用utgard调试opc报错身份验证等级不够?
最新发布
qq_57028300的博客
07-30 353
服务器端身份验证级别策略不允许用户从地址192.168.2.66DESKTOP-8DCKHNL\OPCUser SID (S-1-5-21-3777343236-1168490449-3569274862-1003)激活 DCOM 服务器。请至少将激活身份验证级别提升为在客户端应用程序中RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。
“Enter Network Credentials“ 处理方法
MashiMaroJ的专栏
11-22 1337
"Enter Network Credentials" 处理方法
域控制器:ldap服务器签名要求 灰色无法修改,域成员 在 Windows 10 (对安全通道数据) (进行数字签名) - Windows security | Microsoft Docs...
weixin_35717696的博客
08-13 563
域成员: 对安全通道数据进行数字签名(如果可能)04/19/2017本文内容适用范围Windows 10介绍域成员的最佳方案、位置、值和安全注意事项:对安全通道数据进行数字签名 ** (使用 **) 安全策略设置。参考此设置确定由域成员启动的所有安全通道流量是否满足最低安全要求。 具体来说,它确定是否必须签署由域成员启动的所有安全通道流量。 通过安全通道传输的登录信息始终加密,而不管是否协商了所有...
Windows日志分析(上)
weixin_43200882的博客
10-20 3557
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。多年来,微软不断提高其审计设施的效率和有效性。现代 Windows 系统可以以最小的系统影响记录大量信息。一般来说企业会选择一种工具来获取日志,这个工具叫做即安全,信息和事件管理。
计算机网络实验
yqpgalvzm的博客
12-25 2144
一、验证性实验 ipconfig 实作一 使用 ipconfig/all 查看自己计算机的网络配置,尽可能明白每行的意思,特别注意 IP 地址、子网掩码 Subnet Mask、网关 Gateway。
ubuntu 20.04、22.04初始安装,一篇就够了(root 帐号开启 SSH 登录、设置静态ip、go安装、git安装、编译环境安装、docker安装、安装xgo)
西京刀客
06-18 3168
ubuntu 20.04 基本设置一篇就够了! 一、root 帐号开启 SSH 登录 二、ubuntu 20.04 设置静态ip 三、[推荐]官网安装包安装指定版本go 四、安装编译环境(安装 build-essential软件包(编译程序必须软件包的列表信息)) 五、从源代码安装git 六、安装和配置 Redis 七、安装和配置 MongoDB.........
RDO(Remote Desktop Organizer)远程连接服务器提示“远程计算机需要网络级别身份验证,而您的计算机不支持该验证。请联系您的系统管理”
码农的专栏
02-17 4010
远程登录服务器: 1、开始-运行-gpedit.msc,进入组策略编辑器 2、计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-安全项 3、修改“远程(RDP)连接要求使用指定的安全层”,改为启用,安全层选择RDP 4、修改“要求使用网络级别身份验证对远程连接的用户进行身份验证”,改为禁用 5、重启计算机 最终运行效果: ...
远程服务器提示出现身份验证错误,要求的函数不受支持,这可能是由于credssp加密oracle修正,无法远程,解决办法
穆穆-movno1
01-03 2384
远程服务器提示出现身份验证错误,要求的函数不受支持,这可能是由于credssp加密oracle修正,无法远程,解决办法 网上也找了很多办法 网上主要有以下几种方法,但是都不行。 1.如果可以直接访问,则只需在主机上通过安装对应的Windows 补丁即可解决 2.对于无法进行直接访问的,可以通过打开组策略(gpedit.msc),找到如下策略: 策略路径:“计算机配置”->“管理模板”-...
win7家庭版更改LAN管理器身份验证级别
christie7h的专栏
01-29 2254
打开注册表 HKEY_LOCAL_MACHINE\SYSTEM 键值: System\CurrentControlSet\Control\LSA 增加名称: LMCompatibilityLevel 类型: REG_DWORD 值: 0、1 和 2(默认值为 0) 改为2
使用远程工具RDO:远程计算机需要网络级别身份验证,而您的计算机不支持该验证解决办法
weixin_41831919的博客
10-24 8409
查询关于网络级别身份验证的说法: 网络级身份验证是一种在远程桌面服务(RDP服务器)或远程桌面连接(RDP客户端)使用的技术,它要求用户在与服务器创建会话前先进行身份验证。在最初,如果用户打开一个到服务器的RDP(远程桌面)连接,则服务器提供登录屏幕画面。这为消耗服务器资源乃至形成阻断服务攻击提供了潜在条件。NLA通过客户端侧的安全支持提供者委托客户端的用户凭据和提示用户在与服务器创建会话前验证身份。 网络级身份验证 (NLA) 是一种新的身份验证方法,在您建立所有远程桌面连接之前完成用户身份验证,并出
网络管理软件LanSweeper
zhongguoYPT的博客
05-28 305
网络管理软件LanSweeper通过统一管理员账号密码去扫描局域网计算机上安装的软件及计算机信息。
Windows内网协议学习NTLM篇之NTLM基础介绍
子曰小玖的博客
05-08 5202
0x00 前言 这个系列文章主要讲ntlm认证相关的内容。以及着重介绍ntlm两大安全问题–PTH和ntlm_relay。 ntlm篇分为四篇文章 第1篇文章也是本文,这篇文章主要简单介绍一些基础概念以及引进一些相关的漏洞,比如Pass The Hash以及ntlm_relay。 其余三篇文章的内容全部都是讲ntlm_relay,这个安全问题是ntlm篇的重点内容。 第2篇文章主要讲触发...
802.1X协议详解:网络安全课程中的关键点
802.1X 是一种专为解决无线局域网网络安全问题而提出的端口级网络准入控制协议,最初由 IEEE 802 LAN/WAN 委员会提出,现在广泛应用于以太网中,主要针对的是局域网内的用户认证和安全保障。它的核心原理是基于端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值