включить общий доступ к файлам для устройств, использующих 40- или 56-битное шифрование через реестр

Question

Есть ли возможность включить общий доступ к файлам для устройств, которые используют 40- или 56-битное шифрование через настройку реестра? Я должен включить это на многих компьютерах и не хочу делать это вручную на каждом компьютере. К сожалению, я не могу использовать gpo. Я только что нашел эту настройку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Create a new DWORD value with the following properties:
NAME: LmCompatibilityLevel
VALUE: 1

Но это только меняет "уровень аутентификации LAN Manager". Я должен дополнительно изменить шифрование с 128 на 40- or 56 bit , но как мне добиться этого без графического интерфейса?

Answer 1

Шифрование обмена файлами

По умолчанию Windows 7 использует 128-битное шифрование для соединений с общим доступом к файлам. GUI также позволяет выбрать 40- или 56-битное шифрование:

С помощью такой программы, как RegShot или Process Monitor, вы можете сравнить изменения в реестре. Уязвимый раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

В частности, установлены два значения:

NtlmMinClientSec
NtlmMinServerSec

Допустимый диапазон был 0x0 | 0x10 | 0x20 | 0x80000 | 0x20000000 , по крайней мере, до Windows Server 2003. Начиная с Windows 7, когда вы включаете опцию 128-битного шифрования через графический интерфейс, для обоих устанавливается значение 0x20000000 . В противном случае они установлены на 0x0 .

Пакетная автоматизация

Вот пример пакетного сценария, который может автоматически применить необходимые изменения. Просто запустите его с правами администратора.

@echo off
for %%G in (Client,Server) do (
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" /v "NtlmMin%%GSec" /t REG_DWORD /d 0 /f >nul
)
exit /b

Рекомендации

• NtlmMinClientSec
• NtlmMinServerSec

Answer 2

Ключ реестра, который вы ищете, - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NtlmMinClientSec

Установите значение 00000000, чтобы отключить 128-битное шифрование. Если у вас есть список имен хостов ПК, вы можете запустить скрипт для удаленного изменения ключей, но это еще одна область Exchange ...