|
|
Windows NTでは、次の2種類のチャレンジ/レスポンス認証をサポートしています。
LanManager (LM) チャレンジ/レスポンス
Windows NT チャレンジ/レスポンス
現在の Windows NT クライアントは、下位互換性としてLM認証(LMレスポンス)のみをサポートするサーバーへのアクセスを可能にするために、デフォルトで両方の認証タイプを送信します。しかし、LM認証によるチャレンジ/レスポンスはネットワーク上を流れるパケットから、比較的容易にパスワードを解析される危険性があります。このため、下位LM互換を制限し、より安全なWindows NT 認証(NTLMレスポンス)のみ利用する設定ができます。
また、サービスパック4からは、Windows NT認証のより強力なバージョンとして、NTLMv2が提供されるとともに、ドメインコントローラ側で許可する認証方式を指定できるように拡張されています。(J030795、Q147706)
次のいずれかの方法により、下位LM互換の制限を設定することができます。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA |
| Name | LMCompatibilityLevel |
| Type | REG_DWORD |
| Value | 0,1,2,3,4,5 (デフォルト 0) |
値による動作
| Level 0 | LMおよびNTLMレスポンスを送る;その際、NTLMv2セッションセキュリティを使用しない |
| Level 1 | サーバが要求した場合のみ、NTLMv2セッションセキュリティを使用する |
| Level 2 | NTLM レスポンスのみ送る |
| Level 3 | NTLMv2 レスポンスのみ送る |
| Level 4 | ドメインコントローラは、クリアテキストおよびLMレスポンスを拒絶する |
| Level 5 | ドメインコントローラは、LMおよびNTLMレスポンスを拒絶する(NTLMv2のみ受け入れる) |
Level 4、Level 5 はドメインコントローラにおいて有効な値です。ドメインコントローラで Level 4、Level 5 を設定した場合、LMレスポンスのみ利用可能なWindows 95/98等からは接続できなくなります。
「ローカルポリシー」の中の「セキュリティオプション」で以下を設定する。Level 3以上はSCMからは設定できません。
下位 LanMan
互換のパスワードを送信する
| 常時 | Level 0 |
| 要求時 | Level 1 |
| 互換性なし | Level 2 |
設定値による動作の違いは以下の表のようになります。
○ : 接続可能
× : 接続不可
サーバ |
|||
ワークステーション |
Level 0 |
Level 4 |
Level 5 |
| NT LANMAN 1.0 クリアテキスト | ○ |
× | × |
Windows 98(LMレスポンスを送信) |
○ |
× | × |
Level 0 LM,NTLM レスポンスを送信 |
○ |
○ |
× |
| Level 1 NTLMv2 によりネゴシエート (LM、NTLMレスポンスを送信) |
○ |
○ |
× |
Level 2 NTLM レスポンスのみ送信 |
○ |
○ |
× |
Level 3 NTLMv2 レスポンスのみ送信 |
○ |
○ |
○ |