So verhindern Sie, dass Windows LAN Manager-Hashwerte Ihres Kennworts in Active Directory und der lokalen SAM-Datenbank speichert

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 299656 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D299656
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases
Wichtig Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Anstatt Ihr Benutzerkennwort in Klartext zu speichern, erzeugt und speichert Windows Benutzerkennworte in Form von zwei verschiedenen Kennwort-Repräsentanzen, im Allgemeinen bekannt als "Hashes". Wenn Sie das Kennwort für ein Benutzerkonto in ein Kennwort mit weniger als 15 Zeichen festlegen oder ändern, erzeugt Windows sowohl einen LAN Manager-Hashwert (LM Hash) als auch einen Windows NT-Hashwert (NT Hash) für das Kennwort. Diese Hashwerte werden in der lokalen Datenbank der Sicherheitskontenverwaltung (SAM) oder in Active Directory gespeichert.

Der LM-Hashwert ist im Vergleich zum NT-Hashwert relativ schwach, und ist daher anfällig für schnelle Brute-Force-Angriffe. Daher wird empfohlen, dass Sie verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert. Dieser Artikel beschreibt, wie Sie dies tun können, so dass Windows nur den stärkeren NT-Hashwert Ihres Kennworts speichert.

Weitere Informationen

Windows 2000- und Windows Server 2003-basierte Server, können Benutzer authentifizieren, die sich von Computern aus anmelden, auf denen frühere Versionen von Windows ausgeführt werden. Windows-Versionen, die älter sind als Windows 2000 verwenden Kerberos jedoch nicht zur Authentifizierung. Um die Kompatibilität mit früheren Versionen zu gewährleisten, unterstützen Windows 2000 und Windows Server 2003 LAN Manager (LM)-Authentifizierung, Windows NT (NTLM)-Authentifizierung und NTLM Version 2 (NTLMv2)-Authentifizierung. NTLM, TNLMv2 und Kerberos verwenden den NT-Hash, der auch als Unicode-Hash bekannt ist. Das LM-Authentifizierungsprotokoll verwendet den LM-Hashwert.

Wenn Sie den LM-Hashwert nicht für die Kompatibilität mit früheren Versionen benötigen, speichern Sie ihn am besten nicht. Wenn in Ihrem Netzwerk Windows 95-, Windows 98- oder Macintosh-Clients vorhanden sind, können die folgenden Probleme auftreten, wenn Sie verhindern, dass LM-Hashwerte für Ihre Domäne gespeichert werden:
  • Benutzer ohne einen LM-Hashwert können sich nicht bei einem Windows 95- oder Windows 98-Computer anmelden, der als Server agiert, es sei denn der Client für Verzeichnisdienste für Windows 95 und Windows 98 ist auf dem Server installiert.
  • Benutzer von Windows 95- und Windows 98-Computern können sich nicht mit Ihrem Domänenkonto bei Servern authentifizieren, es sei denn Sie haben den Client für Verzeichnisdienste auf Ihren Computern installiert.
  • Benutzer von Windows 95- oder Windows 98-Computern können sich nicht mit ihrem lokalen Konto bei einem Server authentifizieren, wenn der Server LM-Hashwerte deaktiviert hat, es sei denn sie haben den Client für Verzeichnisdienste auf ihren Computern installiert.
  • Benutzer können möglicherweise Ihre Domänenpasswörter von einem Windows 95- oder Windows 98-Computer aus nicht ändern, oder es treten Probleme mit der Kontosperrung auf, wenn sie versuchen, Ihre Passwörter von Clients von diesen frühen Windows-Versionen aus zu ändern.
  • Benutzer von Macintosh Outlook 2001-Clients können möglicherweise nicht auf ihr Postfach auf Microsoft Exchange-Servern zugreifen. Eventuell wird die folgende Fehlermeldung in Outlook angezeigt:
    Die Anmeldeinformationen sind ungültig. Überprüfen Sie Benutzernamen und Domäne, und geben Sie das Kennwort erneut ein.
Um zu verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert, verwenden Sie eine der folgenden Methoden:

Methode 1: Implementieren Sie eine Gruppenrichtlinie für die Richtlinie "NoLMHash".

Gehen Sie folgendermaßen vor, um die Speicherung des LM-Hashwerts von Benutzerkennwörter in der SAM-Datenbank eines lokalen Computers mithilfe einer lokalen Gruppenrichtlinie (Windows XP oder Windows Server 2003) oder in einer Windows 2000 Server Active Directory-Umgebung mithilfe der Gruppenrichtlinie in Active Directory (Windows Server 2003), zu verhindern.
  1. Erweitern Sie in der Gruppenrichtlinie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Sicherheitsoptionen.
  2. In der Liste der verfügbaren Richtlinien doppelklicken Sie auf Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern.
  3. Klicken Sie auf Aktiviert und anschließend auf OK.

Methode 2: Implementieren Sie die Richtlinie NoLMHash, indem Sie die Registrierung bearbeiten

Verwenden Sie unter 2000 Service Pack 2 (SP2) oder höher eine der folgenden Prozeduren, um zu verhindern, dass Windows einen Hash-Wert speichert, wenn Sie das nächste Mal Ihr Kennwort ändern.

Windows 2000 SP2 und höher

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Wichtig: Der Registrierungsschlüssel
NoLMHash
und seine Funktionalitäten wurden nicht getestet oder dokumentiert. Bis zur Veröffentlichung von Windows 2000 SP2 sollte dieser in einer Produktionsumgebung als unsicher angesehen werden.

Um diesen Schlüssel mithilfe des Registrierungseditors hinzuzufügen, gehen Sie folgendermaßen vor:
  1. Starten Sie den Registrierungseditor (Regedt32.exe).
  2. Klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen, geben Sie NoLmHash ein, und drücken Sie anschließend die [EINGABETASTE].
  4. Beenden Sie den Registrierungseditor.
  5. Starten Sie den Computer neu, und ändern Sie dann das Kennwort, damit die Einstellungen aktiv werden.
Hinweise
  • Diese Änderungen am Registrierungsschlüssel müssen auf allen Windows 2000-Domänencontrollern vorgenommen werden, um die Speicherung von LM-Hashwerten von Benutzerkennworten in einer Windows 2000 Active Directory-Umgebung zu deaktivieren.
  • Dieser Registrierungsschlüssel verhindert die Erstellung von neuen LM-Hashwerten auf Computern, auf denen Windows 2000 ausgeführt wird. Er löscht aber nicht den Verlauf der vorangegangenen LM-Hashwerte, die gespeichert sind. Gespeicherte LM-Hashwerte werden gelöscht, wenn Sie das Kennwort ändern.

Windows XP und Windows Server 2003

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Um diesen DWORD-Wert mithilfe des Registrierungseditors hinzuzufügen, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie NoLMHash ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie im Menü Bearbeiten auf Ändern.
  6. Geben Sie 1 ein, und klicken Sie auf OK.
  7. Starten Sie Ihren Computer neu und ändern Sie Ihr Kennwort.
Hinweise
  • Diese Änderungen an der Registrierung müssen auf allen Windows Server 2003-Domänencontrollern vorgenommen werden, um die Speicherung von LM-Hashwerten von Benutzerkennworten in einer Windows 2003 Active Directory-Umgebung zu deaktivieren. Wenn Sie ein Domänenadministrator sind, können Sie die Microsoft Management Console (MMC) für Active Directory-Benutzer und -Computer verwenden, um diese Richtlinie auf allen Domänencontrollern oder allen Computern in einer Domäne bereitzustellen, wie in Methode 1 beschrieben (Implementieren Sie eine Gruppenrichtlinie für die Richtlinie "NoLMHash").
  • Dieser DWORD-Wert verhindert, dass auf Computern, auf denen Windows XP oder Windows Server 2003 ausgeführt wird, neue LM-Hashwerte erzeugt werden. Der Verlauf aller vorangehenden LM-Hashwerte wird gelöscht, wenn Sie diese Schritte ausführen.
Wichtig Wenn Sie eine benutzerdefinierte Richtlinienvorlage erstellen, die sowohl auf Windows 2000, Windows XP als auch auf Windows Server 2003 verwendet werden soll, können Sie sowohl den Schlüssel als auch den Wert erzeugen. Der Wert befindet sich an der gleichen Stelle wie der Schlüssel. Ein Wert von 1 deaktiviert die Erstellung eines LM-Hashwertes. Der Schlüssel wird aktualisiert, wenn ein Windows 2000-System auf Windows Server 2003 aktualisiert wird. Es ist aber auch möglich, beide Einstellungen in der Registrierung zu belassen.

Methode 3: Verwenden Sie ein Kennwort, das mindestens 15 Zeichen lang ist.

Der einfachste Weg zu verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert, ist die Verwendung eines Kennworts, das mindestens 15 Zeichen lang ist. In diesem Fall speichert Windows einen LM-Hashwert, der nicht zur Authentifizierung des Benutzers verwendet werden kann.

Eigenschaften

Artikel-ID: 299656 - Geändert am: Montag, 3. Dezember 2007 - Version: 9.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbinfo kbenv kbnetwork KB299656
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com