Jak zabr�nit syst�mu Windows v ulo�en� hodnoty hash syst�mu LAN Manager hesla v adres��i Active Directory a m�stn�ch datab�z�ch SAM

Heslo k u�ivatelsk�mu ��tu nen� ulo�eno v podob� prost�ho textu. Syst�m Windows m�sto toho generuje a ukl�d� hesla k u�ivatelsk�m ��t�m pomoc� dvou odli�n�ch reprezentac� hesla, obecn� zn�m�ch jako hash. Kdy� nastav�te nebo zm�n�te heslo k u�ivatelsk�mu ��tu a toto heslo m� m�n� ne� 15 znak�, syst�m Windows vytvo�� k dan�mu heslu hash syst�mu LAN Manager (LM hash) i hash syst�mu Windows NT (NT hash). Tyto hodnoty hash jsou ulo�eny v m�stn� datab�zi SAM (Security Accounts Manager, Spr�vce ��t� zabezpe�en�) nebo v adres��i Active Directory.

Hodnota hash syst�mu LM je v porovn�n� s hodnotou hash syst�mu NT relativn� slab�, a proto je zraniteln� p�i rychl�m �toku hrubou silou. Z tohoto d�vodu je vhodn� zabr�nit syst�mu Windows, aby ukl�dal hodnotu hash syst�mu LM hesla. Tento �l�nek popisuje, jak doc�lit toho, �e syst�m Windows bude ukl�dat heslo pouze jako hodnotu hash syst�mu NT, kter� je odoln�j��.

Servery se syst�mem Windows 2000 nebo Windows Server 2003 mohou ov��ovat u�ivatele, kte�� se p�ipojuj� z po��ta�� se star��mi verzemi syst�mu Windows. Verze syst�mu Windows star�� ne� Windows 2000 nicm�n� nepou��vaj� k ov��ov�n� protokol Kerberos. Aby byla zachov�na zp�tn� kompatibilita, syst�my Windows 2000 a Windows Server 2003 podporuj� ov��ov�n� LM (LAN Manager), NTLM (Windows NT) a NTLMv2 (NTLM verze 2). Protokoly NTLM, NTLMv2 a Kerberos pou��vaj� hodnoty hash syst�mu NT, zn�m� tak� jako Unicode hash. Ov��ovac� protokol LM pou��v� hodnoty hash syst�mu LM.

Nepot�ebujete-li zp�tnou kompatibilitu, je nejlep�� zabr�nit v ukl�d�n� hodnot hash syst�mu LM. Nach�zej�-li se ve va�� s�ti klienti se syst�my Windows 95, Windows 98 nebo Macintosh, mohou nastat n�sleduj�c� pot�e, pokud zabr�n�te ukl�d�n� hodnot hash syst�mu LM ve va�� dom�n�:

• U�ivatel� bez hodnot hash syt�mu LM se nebudou moci p�ipojit k po��ta�i se syst�mem Windows 95 nebo 98 pln�c�mu roli serveru, pokud nen� na tomto serveru nainstalov�n Klient adres��ov�ch slu�eb (Directory Services Client) pro syst�m Windows 95 nebo Windows 98.
• U�ivatel� po��ta�� se syst�mem Windows 95 nebo Windows 98 nebudou moci b�t ov��eni na serveru pomoc� sv�ch ��t� dom�ny, pokud nen� v jejich po��ta��ch nainstalov�n Klient adres��ov�ch slu�eb (Directory Services Client).
• U�ivatel� po��ta�� se syst�mem Windows 95 nebo Windows 98 se nebudou moci prok�zat pou�it�m m�stn�ho ��tu na serveru se zak�zan�mi hodnotami hash syst�mu LM, pokud nen� v jejich po��ta��ch nainstalov�n Klient adres��ov�ch slu�eb (Directory Services Client).
• Je mo�n�, �e u�ivatel� nebudou moci zm�nit sv� dom�nov� hesla z po��ta�� se syst�mem Windows 95 nebo Windows 98. Mohou tak� nastat probl�my s uzamknut�m ��tu, pokud se u�ivatel� pokus� zm�nit heslo z t�chto star��ch klient�.
• U�ivatel� klient� Macintosh Outlook 2001 mohou m�t probl�my s p��stupem k po�tovn�m schr�nk�m na serverech Microsoft Exchange. Je mo�n�, �e se u�ivatel�m v aplikaci Outlook zobraz� n�sleduj�c� chybov� zpr�va:
  Uveden� p�ihla�ovac� pov��en� byla chybn�. P�esv�d�te se o spr�vnosti zad�n� u�ivatelsk�ho jm�na a n�zvu dom�ny a znovu zadejte heslo.

Dal�� informace o z�sk�n� Klienta adres��ov�ch slu�eb pro syst�my Windows 95 a Windows 98 naleznete v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base: Chcete-li zabr�nit tomu, aby syst�m Windows ukl�dal hodnotu hash syst�mu LM hesla, pou�ijte n�kterou z n�sleduj�c�ch metod.

Metoda 1: Implementace z�sady neukl�dat hodnoty hash syst�mu LM pomoc� Z�sad skupiny

Chcete-li zak�zat ukl�d�n� hodnot hash syst�mu LM u�ivatelsk�ch hesel do m�stn� datab�ze SAM pomoc� M�stn�ch z�sad skupiny (u syst�mu Windows XP nebo Windows Server 2003), p��padn� do adres��e Active Directory pou�it�m Z�sad skupiny v prost�ed� Windows Server 2003 Active Directory, prove�te n�sleduj�c� kroky:

1. V okn� Z�sady skupiny rozbalte polo�ku Konfigurace po��ta�e, rozbalte polo�ku Nastaven� syst�mu Windows, rozbalte polo�ku Nastaven� zabezpe�en�, rozbalte polo�ku M�stn� z�sady a potom klepn�te na polo�ku Mo�nosti zabezpe�en�.
2. V seznamu dostupn�ch z�sad poklepejte na polo�ku Zabezpe�en� s�t�: Neukl�dat hodnotu hash syst�mu LAN Manager p�i p��t� zm�n� hesla.
3. Klepn�te na p�ep�na� Povoleno a potom klepn�te na tla��tko OK.

Metoda 2: Implementace z�sady neukl�d�n� hodnoty hash syst�mu LM pomoc� �pravy registru

V syst�mu Windows 2000 Service Pack 2 (SP2) a nov�j��ch lze jedn�m z n�sleduj�c�ch postup� zabr�nit syst�mu Windows v ukl�d�n� hodnoty hash syst�mu LM p�i p��t� zm�n� hesla.

Syst�m Windows 2000 SP2 a nov�j��

Upozorn�n�: Pou�ijete-li Editor registru nespr�vn�, m��ete zp�sobit v�n� pot�e, kter� mohou vy�adovat p�einstalaci opera�n�ho syst�mu. Spole�nost Microsoft nem��e zaru�it, �e pot�e vznikl� v d�sledku nespr�vn�ho pou�it� Editoru registru budete moci vy�e�it. Editor registru pou��v�te na vlastn� nebezpe��.
D�le�it�: Funk�nost kl��e registru nebyla otestov�na a zdokumentov�na, a tento kl�� by m�l b�t proto pova�ov�n za ne zcela bezpe�n� p�i pou�it� v provozn�m prost�ed� se syst�my star�� verze, ne� je Windows 2000 SP2.

Tento kl�� p�id�te pomoc� Editoru registru n�sleduj�c�m postupem:

1. Spus�te Editor registru (Regedt32.exe).
2. Vyhledejte n�sleduj�c� kl�� registru a klepn�te na n�j:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. V nab�dce �pravy klepn�te na p��kazP�idat kl��, zadejte NoLMHash a stiskn�te kl�vesu ENTER.
4. Ukon�ete Editor registru.
5. Restartujte po��ta� a pot� zm��te heslo, ��m� aktivujete nastaven�.

Pozn�mky:

• Tato zm�na kl��e registru mus� b�t provedena ve v�ech �adi��ch dom�n syst�mu Windows 2000, aby bylo zak�z�no ukl�d�n� hodnot hash syst�mu LM u�ivatelsk�ch hesel v prost�ed� adres��e Active Directory syst�mu Windows 2000.
• Tento kl�� registru zabra�uje vytv��en� nov�ch hodnot hash syst�mu LM v po��ta��ch se syst�mem Windows 2000, nicm�n� neodstra�uje historii p�edchoz�ch ulo�en�ch hodnot hash syst�mu LM. Existuj�c� ulo�en� hodnoty hash syst�mu LM budou odstran�ny p�i zm�n� p��slu�n�ch hesel.

Syst�my Windows XP a Windows Server 2003

Upozorn�n�: Pou�ijete-li Editor registru nespr�vn�, m��ete zp�sobit v�n� pot�e, kter� mohou vy�adovat p�einstalaci opera�n�ho syst�mu. Spole�nost Microsoft nem��e zaru�it, �e pot�e vznikl� v d�sledku nespr�vn�ho pou�it� Editoru registru budete moci vy�e�it. Editor registru pou��v�te na vlastn� nebezpe��.Upozorn�n�: Pou�ijete-li Editor registru nespr�vn�, m��ete zp�sobit v�n� probl�my, kter� mohou vy�adovat p�einstalaci opera�n�ho syst�mu. Spole�nost Microsoft nem��e zaru�it, �e pot�e vznikl� v d�sledku nespr�vn�ho pou�it� Editoru registru budete moci vy�e�it. Editor registru pou��v�te na vlastn� nebezpe��.
Tuto hodnotu DWORD p�id�te pomoc� Editoru registru n�sleduj�c�m postupem:

1. Klepn�te na tla��tko Start, klepn�te na p��kaz Spustit, zadejte p��kaz regedit a potom klepn�te na tla��tko OK.
2. Vyhledejte n�sleduj�c� kl�� registru a klepn�te na n�j:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. V nab�dce �pravy p�ejd�te na p��kaz Nov� a pak klepn�te na polo�ku Hodnota DWORD.
4. Zadejte hodnotu NoLMHash a pak stiskn�te kl�vesu ENTER.
5. V nab�dce �pravy klepn�te na p��kaz Zm�nit.
6. Zadejte hodnotu 1 a klepn�te na tla��tko OK.
7. Restartujte po��ta� a pot� zm��te heslo.

Pozn�mky:

• Tato zm�na registru mus� b�t provedena ve v�ech �adi��ch dom�n syst�mu Windows Server 2003, aby bylo zak�z�no ukl�d�n� hodnot hash syst�mu LM u�ivatelsk�ch hesel v prost�ed� adres��e Active Directory syst�mu Windows 2003. Jste-li spr�vcem dom�ny, m��ete pou��t modul U�ivatel� a po��ta�e slu�by Active Directory konzoly MMC (Microsoft Management Console) k nasazen� t�to z�sady do v�ech �adi�� dom�ny nebo do v�ech po��ta�� v dom�n� zp�sobem popsan�m v Metod� 1 (Implementace z�sady neukl�d�n� hodnoty hash syst�mu LM pomoc� Z�sad skupiny).
• Tato hodnota DWORD zabra�uje vytv��en� nov�ch hodnot hash syst�mu LM v po��ta��ch se syst�my Windows XP a Windows Server 2003. Po dokon�en� tohoto postupu se odstran� historie v�ech p�edchoz�ch ulo�en�ch hodnot hash syst�mu LM.

D�le�it�: Vytv���te-li vlastn� �ablonu z�sad, kter� se m��e pou��vat v syst�mu Windows 2000 i v syst�mech Windows XP a Windows Server 2003, m��ete vytvo�it jak kl��, tak hodnotu. Hodnota m� stejn� um�st�n� jako kl�� a hodnota 1 zakazuje vytv��en� hodnot hash syst�mu LM. Je-li proveden upgrade syst�mu Windows 2000 na syst�m Windows Server 2003, provede se automaticky i upgrade kl��e. Nicm�n� nevad�, pokud jsou v registru ob� nastaven� (kl�� i hodnota).

Metoda 3: Pou�it� hesla dlouh�ho nejm�n� 15 znak�

Nejjednodu���m zp�sobem, jak zabr�nit syst�mu Windows v ukl�d�n� hodnot hash syst�mu LM va�eho hesla, je pou��t heslo dlouh� nejm�n� 15 znak�. V tomto p��pad� ukl�d� syst�m Windows takovou hodnotu hash syst�mu LM, kter� nem��e b�t pro ov��en� u�ivatele pou�ita.