|
|
Windows 2000では、次の2種類のチャレンジ/レスポンス認証をサポートしています。
LanManager (LM) チャレンジ/レスポンス
NT LM チャレンジ/レスポンス
現在の Windows 2000 クライアントは、下位互換性としてLM認証(LMレスポンス)のみをサポートするサーバーへのアクセスを可能にするために、デフォルトで両方の認証タイプを送信します。しかし、LM認証によるチャレンジ/レスポンスはネットワーク上を流れるパケットから、比較的容易にパスワードを解析される危険性があります。このため、下位LM互換を制限し、より安全な NTLM レスポンスのみ利用する設定ができます。
また、Windows 2000では NT LM 認証のより強力なバージョンとして、NTLMv2が提供されるとともに、サーバ側で許可する認証方式を指定できます。
次のいずれかの方法により、下位LM互換の制限を設定することができます。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA |
| Name | LMCompatibilityLevel |
| Type | REG_DWORD |
| Value | 0,1,2,3,4,5 (デフォルト 0) |
値による動作
| Level 0 | LM & NTLM 応答の送信 |
| Level 1 | ネゴシエートされた場合 LM&NTLMを送信 NTLMv2セッションセキュリティを使用 |
| Level 2 | NTLM応答のみ送信する |
| Level 3 | NTLMv2応答のみ送信する |
| Level 4 | NTLMv2応答のみ送信 LMを拒否する |
| Level 5 | NTLMv2応答のみ送信 LMとNTLMを拒否する |
Level 4、Level 5 はドメインコントローラにおいて有効な値です。ドメインコントローラで Level 4、Level 5 を設定した場合、LMレスポンスのみ利用可能なWindows 95/98等からは接続できなくなります。
「ローカルポリシー」の中の「セキュリティオプション」で以下を設定する。
LanManager 認証レベル
| LanMan と NTLM の応答を送信 | Level 0 |
| LM & NTLM 応答の送信 | Level 0 |
| NTLMv2応答のみ送信 LMを拒否する | Level 4 |
| NTLMv2応答のみ送信\LMを拒否する | Level 4 |
| NTLMv2応答のみ送信 LMとNTLMを拒否する | Level 5 |
| NTLMv2応答のみ送信\LMとNTLMを拒否する | Level 5 |
設定値による動作の違いは以下の表のようになります。
○ : 接続可能
× : 接続不可
サーバ |
|||
ワークステーション |
Level 0 |
Level 4 |
Level 5 |
|
NT LANMAN 1.0 クリアテキスト |
○ |
× |
× |
Windows 98(LMレスポンスを送信) |
○ |
× |
× |
Level 0 LM,NTLM レスポンスを送信 |
○ |
○ |
× |
|
Level 1 NTLMv2 によりネゴシエート |
○ |
○ |
× |
Level 2 NTLM レスポンスのみ送信 |
○ |
○ |
× |
Level 3 NTLMv2 レスポンスのみ送信 |
○ |
○ |
○ |