網路安全性: LAN Manager 驗證等級

原則設定的最佳做法、位置、值、原則管理和安全性考慮、網路安全性LAN ... 在Active Directory 網域中，Kerberos 通訊協定是預設驗證通訊協定。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 意見反應 編輯 Twitter LinkedIn Facebook 電子郵件 目錄 網路安全性:LANManager驗證等級 發行項 07/26/2022 1位參與者 本文內容 適用於 Windows10 描述網路安全性的最佳作法、位置、值、原則管理和安全性考慮：LANManager驗證層級安全性原則設定。

參考 此原則設定會決定網路登入所使用的挑戰或回應驗證通訊協定。

LANManager(LM)包含來自Microsoft的用戶端電腦和伺服器軟體，可讓使用者在單一網路上將個人裝置連結在一起。

網路功能包括透明檔案和列印共用、使用者安全性功能和網路管理工具。

在ActiveDirectory網域中，Kerberos通訊協定是預設驗證通訊協定。

不過，如果因為某些原因而未交涉Kerberos通訊協定，ActiveDirectory會使用LM、NTLM或NTLM第2版(NTLMv2)。

LANManager驗證封裝含LM、NTLM和NTLMv2變體，而其通訊協定可用來在執行下列作業時驗證所有執行Windows作業系統的用戶端裝置： 加入網域 在ActiveDirectory樹系之間進行驗證 根據舊版Windows作業系統向網域進行驗證 從Windows2000開始，向未執行Windows作業系統的電腦進行驗證 向不在網域中的電腦進行驗證 可能值 傳送LM&NTLM回應 傳送LM&NTLM-如果交涉，請使用NTLMv2會話安全性 僅傳送NTLM回應 僅傳送NTLMv2回應 僅傳送NTLMv2回應。

拒絕LM 僅傳送NTLMv2回應。

拒絕NTLM&LM 未定義 網路安全性：LANManager驗證層級設定會決定網路登入使用的挑戰/回應驗證通訊協定。

此選擇會影響用戶端使用的驗證通訊協定層級、電腦交涉的會話安全性層級，以及伺服器接受的驗證層級。

如果您選擇使用登錄來控制此設定，而不是原則設定，下表會識別原則設定、描述設定，以及識別對應登錄設定中使用的安全性層級。

設定 說明 登錄安全性層級 傳送LM&NTLM回應 用戶端裝置會使用LM和NTLM驗證，且永遠不會使用NTLMv2會話安全性。

網域控制站接受LM、NTLM和NTLMv2驗證。

0 傳送LM&NTLM–如果交涉，請使用NTLMv2會話安全性 用戶端裝置會使用LM和NTLM驗證，如果伺服器支援，則會使用NTLMv2會話安全性。

網域控制站接受LM、NTLM和NTLMv2驗證。

1 僅傳送NTLM回應 用戶端裝置會使用NTLMv1驗證，如果伺服器支援，則會使用NTLMv2會話安全性。

網域控制站接受LM、NTLM和NTLMv2驗證。

2 僅傳送NTLMv2回應 用戶端裝置會使用NTLMv2驗證，如果伺服器支援，則會使用NTLMv2會話安全性。

網域控制站接受LM、NTLM和NTLMv2驗證。

3 僅傳送NTLMv2回應。

拒絕LM 用戶端裝置會使用NTLMv2驗證，如果伺服器支援，則會使用NTLMv2會話安全性。

網域控制站拒絕接受LM驗證，而且只會接受NTLM和NTLMv2驗證。

4 僅傳送NTLMv2回應。

拒絕LM&NTLM 用戶端裝置會使用NTLMv2驗證，如果伺服器支援，則會使用NTLMv2會話安全性。

網域控制站拒絕接受LM和NTLM驗證，而且只會接受NTLMv2驗證。

5 最佳做法 最佳做法取決於您的特定安全性和驗證需求。

原則位置 電腦設定\Windows設定\安全性設定\本機原則\安全性選項 登錄位置 HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel 預設值 下表列出此原則的實際和有效預設值。

預設值也會列在原則的屬性頁上。

伺服器類型或GPO 預設值 預設網域原則 未定義 預設網域控制站原則 未定義 Stand-Alone伺服器預設設定 僅傳送NTLMv2回應 DC有效預設設定 僅傳送NTLMv2回應 成員伺服器有效預設設定 僅傳送NTLMv2回應 用戶端電腦有效預設設定 未定義 群組原則管理 本節說明可用來協助您管理此原則的功能和工具。

重新啟動需求 無。

將裝置儲存在本機或透過群組原則散發時，此原則的變更會生效，而不會重新開機裝置。

群組原則 修改此設定可能會影響與用戶端裝置、服務和應用程式的相容性。

安全性考量 本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策，以及實作因應對策可能的負面後果。

弱點 在Windows7和WindowsVista中，此設定未定義。

在WindowsServer2008R2和更新版本中，此設定設定為僅傳送NTLMv2回應。

因應對策 將[網路安全性：LANManager驗證層級]設定設定為[僅傳送NTLMv2回應]。

當所有用戶端電腦都支援NTLMv2時，Microsoft和許多獨立組織強烈建議使用此層級的驗證。

可能的影響 不支援NTLMv2驗證的用戶端裝置無法在網域中進行驗證，也無法使用LM和NTLM存取網域資源。

相關主題 安全性選項 意見反應 提交並檢視相關的意見反應 本產品 本頁 檢視所有頁面意見反應 本文內容