So verhindern Sie, dass Windows einen LAN-Manager-Hash Ihres Kennworts in Active Directory und lokalen SAM-Datenbanken speichert

  • Artikel

Dieser Artikel enthält drei Methoden, um zu verhindern, dass Windows einen LAN-Manager (LM)-Hash Ihres Kennworts in Active Directory- und lokalen SAM-Datenbanken (Security Accounts Manager) speichert.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 299656

Zusammenfassung

Windows speichert das Kennwort Ihres Benutzerkontos nicht in Klartext. Stattdessen werden Benutzerkontenkennwörter mithilfe von zwei verschiedenen Kennwortdarstellungen generiert und gespeichert, die als Hashes bezeichnet werden. Wenn Sie das Kennwort für ein Benutzerkonto in ein Kennwort mit weniger als 15 Zeichen festlegen oder ändern, generiert Windows sowohl einen LM-Hash als auch einen Windows NT-Hash (NT-Hash) des Kennworts. Diese Hashes werden in der lokalen SAM-Datenbank oder in Active Directory gespeichert.

Der LM-Hash ist im Vergleich zum NT-Hash relativ schwach und anfällig für schnelle Brute-Force-Angriffe. Daher sollten Sie verhindern, dass Windows einen LM-Hash Ihres Kennworts speichert. In diesem Artikel wird beschrieben, wie Windows nur den stärkeren NT-Hash Ihres Kennworts speichert.

Weitere Informationen

Windows 2000- und Windows Server 2003-Server können Benutzer authentifizieren, die eine Verbindung von Computern herstellen, auf denen frühere Versionen von Windows ausgeführt werden. Versionen von Windows vor Windows 2000 verwenden jedoch kerberos nicht für die Authentifizierung. Aus Gründen der Abwärtskompatibilität unterstützen Windows 2000 und Windows Server 2003:

  • LM-Authentifizierung
  • Windows NT-Authentifizierung (NTLM)
  • NTLM Version 2-Authentifizierung (NTLMv2)

NTLM, NTLMv2 und Kerberos verwenden alle den NT-Hash, der auch als Unicode-Hash bezeichnet wird. Das LM-Authentifizierungsprotokoll verwendet den LM-Hash.

Sie sollten die Speicherung des LM-Hashs verhindern, wenn Sie ihn aus Gründen der Abwärtskompatibilität nicht benötigen. Wenn Ihr Netzwerk Windows 95-, Windows 98- oder Macintosh-Clients enthält, können die folgenden Probleme auftreten, wenn Sie die Speicherung von LM-Hashes für Ihre Domäne verhindern:

  • Benutzer ohne LM-Hash können keine Verbindung mit einem Windows 95- oder Windows 98-Computer herstellen, der als Server fungiert. Dieses Problem tritt nicht auf, wenn der Verzeichnisdienstclient für Windows 95 und Windows 98 auf dem Server installiert ist.
  • Benutzer auf Windows 95- oder Windows 98-Computern können sich nicht über ihr Domänenkonto bei Servern authentifizieren. Dieses Problem tritt nicht auf, wenn die Benutzer den Verzeichnisdienste-Client auf ihren Computern installiert haben.
  • Benutzer auf Windows 95- oder Windows 98-Computern können sich nicht über ein lokales Konto auf einem Server authentifizieren, auf dem LM-Hashes deaktiviert sind. Dieses Problem tritt nicht auf, wenn die Benutzer den Verzeichnisdienste-Client auf ihren Computern installiert haben.
  • Benutzer können ihre Domänenkennwörter auf einem Windows 95- oder Windows 98-Computer nicht ändern. Oder benutzer können Kontosperrungsprobleme auftreten, wenn sie versuchen, Kennwörter von diesen früheren Clients zu ändern.
  • Benutzer von Macintosh Outlook 2001-Clients können nicht auf ihre Postfächer auf Microsoft Exchange-Servern zugreifen. Benutzern wird möglicherweise der folgende Fehler in Outlook angezeigt:

    Die angegebenen Anmeldeinformationen waren falsch. Stellen Sie sicher, dass Ihr Benutzername und Ihre Domäne korrekt sind, und geben Sie dann ihr Kennwort erneut ein.

Um zu verhindern, dass Windows einen LM-Hash Ihres Kennworts speichert, verwenden Sie eine der folgenden Methoden.

Methode 1: Implementieren der NoLMHash-Richtlinie mithilfe von Gruppenrichtlinie

Verwenden Sie Lokale Gruppenrichtlinie, um die Speicherung von LM-Hashes der Kennwörter eines Benutzers in der SAM-Datenbank des lokalen Computers unter Windows XP oder Windows Server 2003 zu deaktivieren. Um die Speicherung von LM-Hashes der Kennwörter eines Benutzers in einer Windows Server 2003 Active Directory-Umgebung zu deaktivieren, verwenden Sie Gruppenrichtlinie in Active Directory. Gehen Sie folgendermaßen vor:

  1. Erweitern Sie Gruppenrichtlinie Computerkonfiguration>Windows Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien, und wählen Sie dann Sicherheitsoptionen aus.
  2. Doppelklicken Sie in der Liste der verfügbaren Richtlinien auf Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht.
  3. Wählen Sie Aktiviert>OK.

Methode 2: Implementieren der NoLMHash-Richtlinie durch Bearbeiten der Registrierung

Verwenden Sie in Windows 2000 Service Pack 2 (SP2) und höher eines der folgenden Verfahren, um zu verhindern, dass Windows bei der nächsten Kennwortänderung einen LM-Hashwert speichert.

Windows 2000 SP2 und höher

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Der NoLMHash-Registrierungsschlüssel und seine Funktionalität wurden nicht getestet oder dokumentiert und sollten für die Verwendung in Produktionsumgebungen vor Windows 2000 SP2 als unsicher angesehen werden.

Führen Sie die folgenden Schritte aus, um diesen Schlüssel mithilfe von Registrierungs-Editor hinzuzufügen:

  1. Starten Sie den Registrierungs-Editor (Regedt32.exe).

  2. Suchen Sie den folgenden Schlüssel, und wählen Sie ihn aus:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Klicken Sie im Menü Bearbeiten auf Taste hinzufügen, geben Sie ein NoLMHash, und drücken Sie dann die EINGABETASTE.

  4. Beenden Sie den Registrierungs-Editor.

  5. Starten Sie den Computer neu, und ändern Sie dann Ihr Kennwort, um die Einstellung zu aktivieren.

Hinweis

  • Diese Änderung des Registrierungsschlüssels muss auf allen Windows 2000-Domänencontrollern vorgenommen werden, um die Speicherung von LM-Hashes von Benutzerkennwörtern in einer Windows 2000 Active Directory-Umgebung zu deaktivieren.
  • Dieser Registrierungsschlüssel verhindert, dass neue LM-Hashes auf Windows 2000-Computern erstellt werden. Der Verlauf früherer LM-Hashes, die gespeichert sind, wird jedoch nicht gelöscht. Vorhandene LM-Hashes, die gespeichert werden, werden entfernt, wenn Sie Kennwörter ändern.

Windows XP und Windows Server 2003

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Führen Sie die folgenden Schritte aus, um diesen DWORD-Wert mithilfe der Registrierungs-Editor hinzuzufügen:

  1. Wählen Sie Ausführung starten> aus, geben Sie regedit ein, und klicken Sie dann auf OK.

  2. Suchen Sie den folgenden Schlüssel in der Registrierung, und wählen Sie ihn aus:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.

  4. Geben Sie NoLMHash ein, und drücken Sie dann die Eingabetaste.

  5. Wählen Sie im Menü Bearbeiten die Option Ändern aus.

  6. Geben Sie 1 ein, und wählen Sie dann OK aus.

  7. Starten Sie den Computer neu, und ändern Sie dann Ihr Kennwort.

Hinweis

  • Diese Registrierungsänderung muss auf allen Windows Server 2003-Domänencontrollern vorgenommen werden, um die Speicherung von LM-Hashes von Benutzerkennwörtern in einer Windows 2003 Active Directory-Umgebung zu deaktivieren. Wenn Sie Domänenadministrator sind, können Sie Active Directory-Benutzer und -Computer Microsoft Management Console (MMC) verwenden, um diese Richtlinie auf allen Domänencontrollern oder allen Computern in der Domäne bereitzustellen, wie in Methode 1 (Implementieren der NoLMHash-Richtlinie mithilfe von Gruppenrichtlinie) beschrieben.
  • Dieser DWORD-Wert verhindert, dass neue LM-Hashes auf Windows XP-basierten Computern und Windows Server 2003-basierten Computern erstellt werden. Der Verlauf aller vorherigen LM-Hashes wird gelöscht, wenn Sie diese Schritte ausführen.

Wichtig

Wenn Sie eine benutzerdefinierte Richtlinienvorlage erstellen, die sowohl unter Windows 2000 als auch unter Windows XP oder Windows Server 2003 verwendet werden kann, können Sie sowohl den Schlüssel als auch den Wert erstellen. Der Wert befindet sich an derselben Stelle wie der Schlüssel, und der Wert 1 deaktiviert die LM-Hasherstellung. Der Schlüssel wird aktualisiert, wenn ein Windows 2000-System auf Windows Server 2003 aktualisiert wird. Es ist jedoch in Ordnung, wenn sich beide Einstellungen in der Registrierung befinden.

Methode 3: Verwenden Sie ein Kennwort, das mindestens 15 Zeichen lang ist.

Die einfachste Möglichkeit besteht darin, ein Kennwort zu verwenden, das mindestens 15 Zeichen lang ist. In diesem Fall speichert Windows einen LM-Hashwert, der nicht zum Authentifizieren des Benutzers verwendet werden kann.