[an error occurred while processing this directive]

Эта страница предназначена для сбора сведений о компьютерах, с которых пользователи могут выполнять попытки входа на выбранный сервер.

Эти параметры безопасности будут определять, какой протокол проверки подлинности «запрос-ответ» используется для входа в систему по сети. Выбор параметров влияет на уровень используемого клиентами протокола проверки подлинности, уровень согласуемой безопасности сеанса и уровень проверки подлинности, принимаемый серверами.

Кроме того, эти параметры безопасности определяют, будет ли сохраняться хэш диспетчера сети (LM) для нового пароля при следующей смене пароля. Хэш LM является относительно слабым и подверженным атакам по сравнению с более криптографически надежным хэшем NTLM. Поскольку хэш LM хранится на локальном компьютере в базе данных безопасности, в случае атаки на нее пароли могут быть раскрыты.

Важно!

Этот параметр влияет на способность компьютеров обмениваться данными по сети с компьютерами под управлением Windows NT Server 4 и более ранних версий. Например, компьютеры под управлением Windows NT 4.0 с пакетом обновления 4 (SP4) и более ранних версий не поддерживают NTLM версии 2 (NTLMv2). Компьютеры, работающие под управлением Windows 95 и Windows 98, не поддерживают NTLM.

Разделы реестра

  • HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel

  • HKLM\System\CurrentControlSet\Control\LSA\NoLMHash

Связанные параметры безопасности

  • Сетевая безопасность: уровень проверки подлинности LAN Manager

  • Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля

Предоставление неточных сведений может нарушить связь между компьютерами в сети.

Дополнительные сведения об этих параметрах безопасности см. в следующих разделах.

Только для контроллеров домена

Если на странице Выбор ролей сервера выбрана роль Контроллер домена (Active Directory), отображаются дополнительные параметры. Следующий параметр доступен только для контроллеров домена:

Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее

Серверы служб проверки подлинности в Интернете (IAS) и серверы маршрутизации и удаленного доступа (RRAS) требуют наличия Windows Server 2003 с пакетом обновления 1 (SP1) и поддержки проверки подлинности только по протоколу PEAP-MSCHAPv2 для проверки подлинности пользователей на контроллерах домена, принимающих только NTLMv2.

Серверы IAS и RRAS используют NTLM для проверки подлинности учетных данных своих клиентов в домене. Это означает, что контроллеры домена, которые должны проверять подлинность клиентов серверов IAS или RRAS, нельзя настраивать на прием проверки подлинности только по протоколу NTLMv2. Однако, начиная с Windows Server 2003 SP1, контроллеры домена могут принимать NTLM от серверов IAS и RRAS, но во всех других случаях принимается только NTLMv2. Это происходит по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, использующих PEAP-MSCHAPv2, потому что PEAP-MSCHAPv2 обеспечивает такую же защиту, как NTLMv2. Это исключение не делается по умолчанию, если IAS- или RRAS-сервер под управлением Windows Server 2003 SP1 использует PPP-MSCHAPv2 для проверки подлинности клиентов.

Чтобы отключить это исключение по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, можно настроить на контроллере домене следующий параметр реестра:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Если на контроллере домена установлен этот параметр реестра и этот контроллер домена настроен на прием только NTLMv2, то он не сможет осуществлять проверку подлинности IAS- и RRAS-клиентов, даже если все серверы этих служб работают под управлением Windows Server 2003 SP1. Следовательно, если на контроллере домена, который должен проверять подлинность IAS- и RRAS-клиентов, установлен параметр реестра DisallowMsvChapv2, то флажок Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее на странице Входящие методы проверки подлинности должен быть установлен, даже если все IAS- и RRAS-серверы работают под управлением Windows Server 2003 SP1. Поскольку установка этого флажка делает невозможным настройку контроллера домена на прием только NTLMv2, рекомендуется не устанавливать параметр реестра DisallowMsvChapv2.

Дополнительные ссылки


[an error occurred while processing this directive]