Эта страница предназначена для сбора сведений о компьютерах, с которых пользователи могут выполнять попытки входа на выбранный сервер.
Эти параметры безопасности будут определять, какой протокол проверки подлинности «запрос-ответ» используется для входа в систему по сети. Выбор параметров влияет на уровень используемого клиентами протокола проверки подлинности, уровень согласуемой безопасности сеанса и уровень проверки подлинности, принимаемый серверами.
Кроме того, эти параметры безопасности определяют, будет ли сохраняться хэш диспетчера сети (LM) для нового пароля при следующей смене пароля. Хэш LM является относительно слабым и подверженным атакам по сравнению с более криптографически надежным хэшем NTLM. Поскольку хэш LM хранится на локальном компьютере в базе данных безопасности, в случае атаки на нее пароли могут быть раскрыты.
Важно! | |
Этот параметр влияет на способность компьютеров обмениваться данными по сети с компьютерами под управлением Windows NT Server 4 и более ранних версий. Например, компьютеры под управлением Windows NT 4.0 с пакетом обновления 4 (SP4) и более ранних версий не поддерживают NTLM версии 2 (NTLMv2). Компьютеры, работающие под управлением Windows 95 и Windows 98, не поддерживают NTLM. |
Разделы реестра
-
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
-
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
Связанные параметры безопасности
- Сетевая безопасность: уровень проверки
подлинности LAN Manager
- Сетевая безопасность: не хранить хэш-значения
LAN Manager при следующей смене пароля
Предоставление неточных сведений может нарушить связь между компьютерами в сети.
Дополнительные сведения об этих параметрах безопасности см. в следующих разделах.
- «Сетевая безопасность: уровень проверки
подлинности LAN Manager» (http://go.microsoft.com/fwlink/?LinkId=17765)
- «Сетевая безопасность: не хранить
хэш-значения LAN Manager при следующей смене пароля» (http://go.microsoft.com/fwlink/?LinkId=17766)
Только для контроллеров домена
Если на странице Выбор ролей сервера выбрана роль Контроллер домена (Active Directory), отображаются дополнительные параметры. Следующий параметр доступен только для контроллеров домена:
Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее
Серверы служб проверки подлинности в Интернете (IAS) и серверы маршрутизации и удаленного доступа (RRAS) требуют наличия Windows Server 2003 с пакетом обновления 1 (SP1) и поддержки проверки подлинности только по протоколу PEAP-MSCHAPv2 для проверки подлинности пользователей на контроллерах домена, принимающих только NTLMv2.
Серверы IAS и RRAS используют NTLM для проверки подлинности учетных данных своих клиентов в домене. Это означает, что контроллеры домена, которые должны проверять подлинность клиентов серверов IAS или RRAS, нельзя настраивать на прием проверки подлинности только по протоколу NTLMv2. Однако, начиная с Windows Server 2003 SP1, контроллеры домена могут принимать NTLM от серверов IAS и RRAS, но во всех других случаях принимается только NTLMv2. Это происходит по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, использующих PEAP-MSCHAPv2, потому что PEAP-MSCHAPv2 обеспечивает такую же защиту, как NTLMv2. Это исключение не делается по умолчанию, если IAS- или RRAS-сервер под управлением Windows Server 2003 SP1 использует PPP-MSCHAPv2 для проверки подлинности клиентов.
Чтобы отключить это исключение по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, можно настроить на контроллере домене следующий параметр реестра:
HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2
Если на контроллере домена установлен этот параметр реестра и этот контроллер домена настроен на прием только NTLMv2, то он не сможет осуществлять проверку подлинности IAS- и RRAS-клиентов, даже если все серверы этих служб работают под управлением Windows Server 2003 SP1. Следовательно, если на контроллере домена, который должен проверять подлинность IAS- и RRAS-клиентов, установлен параметр реестра DisallowMsvChapv2, то флажок Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее на странице Входящие методы проверки подлинности должен быть установлен, даже если все IAS- и RRAS-серверы работают под управлением Windows Server 2003 SP1. Поскольку установка этого флажка делает невозможным настройку контроллера домена на прием только NTLMv2, рекомендуется не устанавливать параметр реестра DisallowMsvChapv2.