Jak zabránit systému Windows v uložení hodnoty hash systému LAN Manager hesla v adresáři Active Directory a místních databázích SAM

Překlady článku Překlady článku
ID článku: 299656 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Seznamte se také s postupem pro obnovení registru v případě, že nastanou potíže. Informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Heslo k uživatelskému účtu není uloženo v podobě prostého textu. Systém Windows místo toho generuje a ukládá hesla k uživatelským účtům pomocí dvou odlišných reprezentací hesla, obecně známých jako hash. Když nastavíte nebo změníte heslo k uživatelskému účtu a toto heslo má méně než 15 znaků, systém Windows vytvoří k danému heslu hash systému LAN Manager (LM hash) i hash systému Windows NT (NT hash). Tyto hodnoty hash jsou uloženy v místní databázi SAM (Security Accounts Manager, Správce účtů zabezpečení) nebo v adresáři Active Directory.

Hodnota hash systému LM je v porovnání s hodnotou hash systému NT relativně slabá, a proto je zranitelná při rychlém útoku hrubou silou. Z tohoto důvodu je vhodné zabránit systému Windows, aby ukládal hodnotu hash systému LM hesla. Tento článek popisuje, jak docílit toho, že systém Windows bude ukládat heslo pouze jako hodnotu hash systému NT, která je odolnější.

Další informace

Servery se systémem Windows 2000 nebo Windows Server 2003 mohou ověřovat uživatele, kteří se připojují z počítačů se staršími verzemi systému Windows. Verze systému Windows starší než Windows 2000 nicméně nepoužívají k ověřování protokol Kerberos. Aby byla zachována zpětná kompatibilita, systémy Windows 2000 a Windows Server 2003 podporují ověřování LM (LAN Manager), NTLM (Windows NT) a NTLMv2 (NTLM verze 2). Protokoly NTLM, NTLMv2 a Kerberos používají hodnoty hash systému NT, známé také jako Unicode hash. Ověřovací protokol LM používá hodnoty hash systému LM.

Nepotřebujete-li zpětnou kompatibilitu, je nejlepší zabránit v ukládání hodnot hash systému LM. Nacházejí-li se ve vaší síti klienti se systémy Windows 95, Windows 98 nebo Macintosh, mohou nastat následující potíže, pokud zabráníte ukládání hodnot hash systému LM ve vaší doméně:
  • Uživatelé bez hodnot hash sytému LM se nebudou moci připojit k počítači se systémem Windows 95 nebo 98 plnícímu roli serveru, pokud není na tomto serveru nainstalován Klient adresářových služeb (Directory Services Client) pro systém Windows 95 nebo Windows 98.
  • Uživatelé počítačů se systémem Windows 95 nebo Windows 98 nebudou moci být ověřeni na serveru pomocí svých účtů domény, pokud není v jejich počítačích nainstalován Klient adresářových služeb (Directory Services Client).
  • Uživatelé počítačů se systémem Windows 95 nebo Windows 98 se nebudou moci prokázat použitím místního účtu na serveru se zakázanými hodnotami hash systému LM, pokud není v jejich počítačích nainstalován Klient adresářových služeb (Directory Services Client).
  • Je možné, že uživatelé nebudou moci změnit svá doménová hesla z počítačů se systémem Windows 95 nebo Windows 98. Mohou také nastat problémy s uzamknutím účtu, pokud se uživatelé pokusí změnit heslo z těchto starších klientů.
  • Uživatelé klientů Macintosh Outlook 2001 mohou mít problémy s přístupem k poštovním schránkám na serverech Microsoft Exchange. Je možné, že se uživatelům v aplikaci Outlook zobrazí následující chybová zpráva:
    Uvedená přihlašovací pověření byla chybná. Přesvědčte se o správnosti zadání uživatelského jména a názvu domény a znovu zadejte heslo.
Další informace o získání Klienta adresářových služeb pro systémy Windows 95 a Windows 98 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
323455 Aktualizace Klienta adresářových služeb pro systém Windows 98 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Chcete-li zabránit tomu, aby systém Windows ukládal hodnotu hash systému LM hesla, použijte některou z následujících metod.

Metoda 1: Implementace zásady neukládat hodnoty hash systému LM pomocí Zásad skupiny

Chcete-li zakázat ukládání hodnot hash systému LM uživatelských hesel do místní databáze SAM pomocí Místních zásad skupiny (u systému Windows XP nebo Windows Server 2003), případně do adresáře Active Directory použitím Zásad skupiny v prostředí Windows Server 2003 Active Directory, proveďte následující kroky:
  1. V okně Zásady skupiny rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásady a potom klepněte na položku Možnosti zabezpečení.
  2. V seznamu dostupných zásad poklepejte na položku Zabezpečení sítě: Neukládat hodnotu hash systému LAN Manager při příští změně hesla.
  3. Klepněte na přepínač Povoleno a potom klepněte na tlačítko OK.

Metoda 2: Implementace zásady neukládání hodnoty hash systému LM pomocí úpravy registru

V systému Windows 2000 Service Pack 2 (SP2) a novějších lze jedním z následujících postupů zabránit systému Windows v ukládání hodnoty hash systému LM při příští změně hesla.

Systém Windows 2000 SP2 a novější

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné potíže, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.
Důležité: Funkčnost klíče registru
NoLMHash
nebyla otestována a zdokumentována, a tento klíč by měl být proto považován za ne zcela bezpečný při použití v provozním prostředí se systémy starší verze, než je Windows 2000 SP2.

Tento klíč přidáte pomocí Editoru registru následujícím postupem:
  1. Spusťte Editor registru (Regedt32.exe).
  2. Vyhledejte následující klíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. V nabídce Úpravy klepněte na příkazPřidat klíč, zadejte NoLMHash a stiskněte klávesu ENTER.
  4. Ukončete Editor registru.
  5. Restartujte počítač a poté změňte heslo, čímž aktivujete nastavení.
Poznámky:
  • Tato změna klíče registru musí být provedena ve všech řadičích domén systému Windows 2000, aby bylo zakázáno ukládání hodnot hash systému LM uživatelských hesel v prostředí adresáře Active Directory systému Windows 2000.
  • Tento klíč registru zabraňuje vytváření nových hodnot hash systému LM v počítačích se systémem Windows 2000, nicméně neodstraňuje historii předchozích uložených hodnot hash systému LM. Existující uložené hodnoty hash systému LM budou odstraněny při změně příslušných hesel.

Systémy Windows XP a Windows Server 2003

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné potíže, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.
Tuto hodnotu DWORD přidáte pomocí Editoru registru následujícím postupem:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. V nabídce Úpravy přejděte na příkaz Nový a pak klepněte na položku Hodnota DWORD.
  4. Zadejte hodnotu NoLMHash a pak stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na příkaz Změnit.
  6. Zadejte hodnotu 1 a klepněte na tlačítko OK.
  7. Restartujte počítač a poté změňte heslo.
Poznámky:
  • Tato změna registru musí být provedena ve všech řadičích domén systému Windows Server 2003, aby bylo zakázáno ukládání hodnot hash systému LM uživatelských hesel v prostředí adresáře Active Directory systému Windows 2003. Jste-li správcem domény, můžete použít modul Uživatelé a počítače služby Active Directory konzoly MMC (Microsoft Management Console) k nasazení této zásady do všech řadičů domény nebo do všech počítačů v doméně způsobem popsaným v Metodě 1 (Implementace zásady neukládání hodnoty hash systému LM pomocí Zásad skupiny).
  • Tato hodnota DWORD zabraňuje vytváření nových hodnot hash systému LM v počítačích se systémy Windows XP a Windows Server 2003. Po dokončení tohoto postupu se odstraní historie všech předchozích uložených hodnot hash systému LM.
Důležité: Vytváříte-li vlastní šablonu zásad, která se může používat v systému Windows 2000 i v systémech Windows XP a Windows Server 2003, můžete vytvořit jak klíč, tak hodnotu. Hodnota má stejné umístění jako klíč a hodnota 1 zakazuje vytváření hodnot hash systému LM. Je-li proveden upgrade systému Windows 2000 na systém Windows Server 2003, provede se automaticky i upgrade klíče. Nicméně nevadí, pokud jsou v registru obě nastavení (klíč i hodnota).

Metoda 3: Použití hesla dlouhého nejméně 15 znaků

Nejjednodušším způsobem, jak zabránit systému Windows v ukládání hodnot hash systému LM vašeho hesla, je použít heslo dlouhé nejméně 15 znaků. V tomto případě ukládá systém Windows takovou hodnotu hash systému LM, která nemůže být pro ověření uživatele použita.

Vlastnosti

ID článku: 299656 - Poslední aktualizace: 3. prosince 2007 - Revize: 9.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Klíčová slova: 
kbinfo kbenv kbnetwork KB299656

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com