Αναγν. άρθρου: 299656 - Τελευταία αναθεώρηση: Δευτέρα, 3 Δεκεμβρίου 2007 - Αναθεώρηση: 9.2

Τρόπος αποτροπής της αποθήκευσης μιας τιμής κατακερματισμού κωδικού πρόσβασης από το LAN manager στην υπηρεσία καταλόγου Active Directory και σε τοπικές βάσεις δεδομένων SAM

Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.
Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες για την τροποποίηση του μητρώου. Πριν να τροποποιήσετε το μητρώο, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας και ότι κατανοείτε τον τρόπο επαναφοράς του μητρώου, σε περίπτωση που προκύψει κάποιο ζήτημα. Για πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, επαναφοράς και επεξεργασίας του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
256986  (http://support.microsoft.com/kb/256986/EL/ ) Περιγραφή του μητρώου των Microsoft Windows

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αντί να αποθηκεύσουν τον κωδικό πρόσβασης λογαριασμού χρήστη σας σε καθαρό κείμενο, τα Windows δημιουργούν και αποθηκεύουν κωδικούς πρόσβασης λογαριασμού χρήστη χρησιμοποιώντας δύο διαφορετικές αναπαραστάσεις κωδικού πρόσβασης, γενικά γνωστές ως "κατακερματισμοί" (hashes). Όταν ορίζετε ή αλλάζετε τον κωδικό πρόσβασης για ένα λογαριασμό χρήστη σε έναν κωδικό πρόσβασης που περιέχει λιγότερους από 15 χαρακτήρες, τα Windows δημιουργούν έναν κατακερματισμό LAN Manager (LM hash) και έναν κατακερματισμό Windows NT (NT hash) του κωδικού πρόσβασης. Αυτοί οι κατακερματισμοί αποθηκεύονται στην τοπική βάση δεδομένων Διαχείρισης λογαριασμών ασφαλείας (Security Accounts Manager - SAM) ή στην υπηρεσία καταλόγου Active Directory.

Ο κατακερματισμός LM είναι σχετικά ασθενής σε σύγκριση με τον κατακερματισμό NT και επομένως ευάλωτος σε γρήγορη επίθεση επιβολής. Επομένως, μπορεί να θέλετε να εμποδίσετε τα Windows να αποθηκεύσουν έναν κατακερματισμό LM του κωδικού πρόσβασής σας. Αυτό το άρθρο περιγράφει αυτήν τη διαδικασία, ώστε τα Windows να αποθηκεύουν μόνο τον ισχυρότερο κατακερματισμό NT του κωδικού πρόσβασής σας.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Οι διακομιστές που βασίζονται σε Windows 2000 και οι διακομιστές που βασίζονται στον Windows Server 2003 μπορούν να υποβάλουν σε έλεγχο ταυτότητας τους χρήστες που συνδέονται από υπολογιστές που εκτελούν όλες τις προηγούμενες εκδόσεις των Windows. Ωστόσο, οι εκδόσεις των Windows πριν από τα Windows 2000 δεν χρησιμοποιούν το Kerberos για έλεγχο ταυτότητας. Για συμβατότητα με παλαιότερες εκδόσεις, τα Windows 2000 και ο Windows Server 2003 υποστηρίζουν έλεγχο ταυτότητας LAN Manager (LM), έλεγχο ταυτότητας Windows NT (NTLM) και έλεγχο ταυτότητας NTLM έκδοση 2 (NTLMv2). Τα NTLM, NTLMv2 και Kerberos χρησιμοποιούν τον κατακερματισμό NT, γνωστό και ως κατακερματισμό Unicode. Το πρωτόκολλο ελέγχου ταυτότητας LM χρησιμοποιεί τον κατακερματισμό LM.

Είναι καλύτερα να αποτρέψετε την αποθήκευση του κατακερματισμού LM, αν δεν τον χρειάζεστε για συμβατότητα με παλαιότερες εκδόσεις. Εάν το δίκτυό σας περιέχει υπολογιστές-πελάτες των Windows 95, Windows 98 ή Macintosh, ενδέχεται να αντιμετωπίσετε τα ακόλουθα ζητήματα, αν αποτρέψετε την αποθήκευση των κατακερματισμών LM για τον τομέα σας:
  • Οι χρήστες χωρίς κατακερματισμό LM δεν θα μπορούν να συνδεθούν σε υπολογιστή που βασίζεται σε Windows 95 ή Windows 98 και ο οποίος ενεργεί ως διακομιστής, εκτός αν είναι εγκατεστημένο στο διακομιστή το πρόγραμμα-πελάτης υπηρεσιών καταλόγου (Directory Services) για τα Windows 95 και τα Windows 98.
  • Οι χρήστες υπολογιστών που βασίζονται σε Windows 95 ή σε Windows 98 δεν θα μπορούν να υποβληθούν σε έλεγχο ταυτότητας σε διακομιστές, χρησιμοποιώντας το λογαριασμό τομέα τους, εκτός αν έχουν εγκατεστημένο στους υπολογιστές τους το πρόγραμμα-πελάτη υπηρεσιών καταλόγου (Directory Services).
  • Οι χρήστες υπολογιστών που βασίζονται σε Windows 95 ή Windows 98 δεν θα μπορούν να υποβληθούν σε έλεγχο ταυτότητας χρησιμοποιώντας έναν τοπικό λογαριασμό σε ένα διακομιστή, αν ο διακομιστής έχει απενεργοποιήσει τους κατακερματισμούς LM, εκτός αν έχουν εγκατεστημένο στους υπολογιστές τους το πρόγραμμα-πελάτη υπηρεσιών καταλόγου (Directory Services).
  • Οι χρήστες ενδέχεται να μην μπορούν να αλλάξουν τους κωδικούς πρόσβασης τομέα τους από υπολογιστή που βασίζεται σε Windows 95 ή Windows 98 ή ενδέχεται να αντιμετωπίσουν θέματα κλειδώματος λογαριασμού, όταν προσπαθούν να αλλάξουν τους κωδικούς πρόσβασής τους από αυτούς τους παλιότερους υπολογιστές-πελάτες.
  • Οι χρήστες υπολογιστών-πελατών του Macintosh Outlook 2001 ενδέχεται να μην μπορούν να πραγματοποιήσουν πρόσβαση στα γραμματοκιβώτιά τους σε διακομιστές Microsoft Exchange. Οι χρήστες ενδέχεται να δουν το ακόλουθο σφάλμα στο Outlook:
    Οι πιστοποιήσεις σύνδεσης που δόθηκαν δεν είναι σωστές. Βεβαιωθείτε ότι το όνομα χρήστη και ο τομέας είναι σωστά και, στη συνέχεια, πληκτρολογήστε ξανά τον κωδικό πρόσβασης.

    (The logon credentials supplied were incorrect. Make sure your username and domain are correct, then type your password again.)
Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης του προγράμματος-πελάτη υπηρεσιών καταλόγου (Directory Services) για τα Windows 95 και τα Windows 98, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
323455  (http://support.microsoft.com/kb/323455/EL/ ) Ενημερωμένη έκδοση προγράμματος-πελάτη υπηρεσιών καταλόγου (Directory Services) για τα Windows 98
Για να εμποδίσετε τα Windows να αποθηκεύσουν έναν κατακερματισμό LM του κωδικού πρόσβασής σας, χρησιμοποιήστε κάποια από τις ακόλουθες μεθόδους.
Επιστροφή στην αρχή

Μέθοδος 1: Υλοποίηση της πολιτικής NoLMHash χρησιμοποιώντας την Πολιτική ομάδας (Group Policy)

Για να απενεργοποιήσετε την αποθήκευση κατακερματισμών LM των κωδικών πρόσβασης ενός χρήστη στην τοπική βάση δεδομένων SAM του υπολογιστή, χρησιμοποιώντας την Τοπική πολιτική ομάδας (Local Group Policy) (Windows XP ή Windows Server 2003) ή σε περιβάλλον υπηρεσίας καταλόγου Active Directory του Windows Server 2003, χρησιμοποιώντας την Πολιτική ομάδας (Group Policy) στην υπηρεσία καταλόγου Active Directory (Windows Server 2003), ακολουθήστε τα εξής βήματα:
  1. Στην περιοχή "Πολιτική ομάδας" (Group Policy), αναπτύξτε το στοιχείο Ρυθμίσεις υπολογιστή (Computer Configuration), κατόπιν το στοιχείο Ρυθμίσεις των Windows (Windows Settings), στη συνέχεια το στοιχείο Ρυθμίσεις ασφαλείας (Security Settings), κατόπιν Τοπικές πολιτικές (Local Policies) και τέλος το στοιχείο Επιλογές ασφαλείας (Security Options).
  2. Στη λίστα διαθέσιμων πολιτικών, κάντε διπλό κλικ στο στοιχείο Ασφάλεια δικτύου: Να μην αποθηκεύεται η τιμή κατακερματισμού της Διαχείρισης LAN Manager στην επόμενη αλλαγή κωδικού πρόσβασης (Ασφάλεια δικτύου: Do not store LAN Manager hash value on next password change).
  3. Κάντε κλικ στην επιλογή Ενεργοποιημένη (Enabled) και στη συνέχεια κάντε κλικ στο κουμπί OK.
Επιστροφή στην αρχή

Μέθοδος 2: Υλοποίηση της πολιτικής NoLMHash με επεξεργασία του μητρώου

Στο Windows 2000 Service Pack 2 (SP2) και νεότερη έκδοση, χρησιμοποιήστε μία από τις ακόλουθες διαδικασίες, για να εμποδίσετε τα Windows να αποθηκεύσουν μια τιμή κατακερματισμού LM στην επόμενη αλλαγή κωδικού πρόσβασης.

Windows 2000 SP2 και νεότερη έκδοση

Προειδοποίηση Η εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) ενδέχεται να προκαλέσει σοβαρά ζητήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα ζητήματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου (Registry Editor) με δική σας ευθύνη.
Σημαντικό Το κλειδί μητρώου
NoLMHash
και η λειτουργικότητά του δεν έχουν υποβληθεί σε δοκιμή και δεν έχουν τεκμηριωθεί, επομένως δεν πρέπει να θεωρούνται ασφαλή για χρήση σε περιβάλλοντα παραγωγής πριν από το Windows 2000 SP2.

Για να προσθέσετε αυτό το κλειδί χρησιμοποιώντας τον Επεξεργαστή Μητρώου (Registry Editor), ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε τον Επεξεργαστή Μητρώου (Registry Editor) (Regedt32.exe).
  2. Εντοπίστε και κατόπιν κάντε κλικ στο ακόλουθο κλειδί:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Στο μενού Επεξεργασία (Edit), κάντε κλικ στην εντολή Προσθήκη κλειδιού (Add Key), πληκτρολογήστε NoLMHash και κατόπιν πιέστε το πλήκτρο ENTER.
  4. Κλείστε τον "Επεξεργαστή Μητρώου" (Registry Editor).
  5. Κάντε επανεκκίνηση του υπολογιστή και κατόπιν αλλάξτε τον κωδικό πρόσβασής σας, για να ενεργοποιήσετε τη ρύθμιση.
Σημειώσεις
  • Η αλλαγή κλειδιού μητρώου πρέπει να γίνει σε όλους τους ελεγκτές τομέα των Windows 2000, για να απενεργοποιηθεί η αποθήκευση κατακερματισμών LM για κωδικούς πρόσβασης χρηστών σε περιβάλλον της υπηρεσίας καταλόγου Active Directory των Windows 2000.
  • Αυτό το κλειδί μητρώου αποτρέπει τη δημιουργία νέων κατακερματισμών LM σε υπολογιστές που βασίζονται σε Windows 2000, αλλά δεν διαγράφει το ιστορικό προηγούμενων κατακερματισμών LM που έχουν αποθηκευτεί. Οι υπάρχοντες κατακερματισμοί LM που είναι αποθηκευμένοι θα καταργηθούν με την αλλαγή κωδικών πρόσβασης.

Windows XP και Windows Server 2003

Προειδοποίηση Η εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) ενδέχεται να προκαλέσει σοβαρά ζητήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα ζητήματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου (Registry Editor) με δική σας ευθύνη.ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Η εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) ενδέχεται να προκαλέσει σοβαρά ζητήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα ζητήματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου (Registry Editor) με δική σας ευθύνη.
Για να προσθέσετε αυτήν την τιμή DWORD χρησιμοποιώντας τον Επεξεργαστή Μητρώου (Registry Editor), ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε regedit και, τέλος, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε και κατόπιν κάντε κλικ στο ακόλουθο κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Στο μενού Επεξεργασία (Edit), τοποθετήστε το δείκτη του ποντικιού στην εντολή Δημιουργία (New) και στη συνέχεια κάντε κλικ στην εντολή Τιμή DWORD (DWORD Value).
  4. Πληκτρολογήστε NoLMHash και κατόπιν πιέστε το πλήκτρο ENTER.
  5. Στο μενού Επεξεργασία (Edit), κάντε κλικ στην εντολή Τροποποίηση (Modify).
  6. Κάντε κλικ στην τιμή 1 και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  7. Κάντε επανεκκίνηση του υπολογιστή σας και κατόπιν αλλάξτε τον κωδικό πρόσβασής σας.
Σημειώσεις
  • Αυτή η αλλαγή μητρώου πρέπει να γίνει σε όλους τους ελεγκτές τομέα του Windows Server 2003, για να απενεργοποιηθεί η αποθήκευση κατακερματισμών LM για τους κωδικούς πρόσβασης χρηστών σε ένα περιβάλλον υπηρεσίας καταλόγου Active Directory του Windows 2003. Εάν είστε διαχειριστής τομέα, μπορείτε να χρησιμοποιήσετε το συμπληρωματικό πρόγραμμα "Χρήστεs και Υπολογιστές της υπηρεσίας καταλόγου Active Directory" (Active Directory Users and Computers) της Κονσόλας διαχείρισης της Microsoft (Microsoft Management Console - MMC), για να αναπτύξετε αυτήν την πολιτική σε όλους τους ελεγκτές τομέα ή σε όλους τους υπολογιστές του τομέα, όπως περιγράφεται στη Μέθοδο 1 (Υλοποίηση της πολιτικής NoLMHash χρησιμοποιώντας την Πολιτική ομάδας (Group Policy)).
  • Αυτή η τιμή DWORD αποτρέπει τη δημιουργία νέων κατακερματισμών LM σε υπολογιστές που βασίζονται σε Windows XP και στον Windows Server 2003. Το ιστορικό όλων των προηγούμενων κατακερματισμών LM διαγράφεται, όταν ολοκληρώσετε αυτά τα βήματα.
Σημαντικό Εάν δημιουργείτε ένα προσαρμοσμένο πρότυπο πολιτικής που μπορεί να χρησιμοποιηθεί στα Windows 2000 και τα Windows XP ή στον Windows Server 2003, μπορείτε να δημιουργήσετε το κλειδί και την τιμή. Η τιμή βρίσκεται στο ίδιο σημείο με το κλειδί και μια τιμή 1 απενεργοποιεί τη δημιουργία κατακερματισμού LM. Το κλειδί αναβαθμίζεται όταν ένα σύστημα των Windows 2000 αναβαθμίζεται σε Windows Server 2003. Ωστόσο, μπορούν και οι δύο ρυθμίσεις να βρίσκονται στο μητρώο.
Επιστροφή στην αρχή

Μέθοδος 3: Χρήση κωδικού πρόσβασης με μήκος τουλάχιστον 15 χαρακτήρων

Ο απλούστερος τρόπος για να εμποδίσετε τα Windows να αποθηκεύσουν έναν κατακερματισμό LM για τον κωδικό πρόσβασής σας είναι να χρησιμοποιήσετε έναν κωδικό πρόσβασης με μήκος τουλάχιστον 15 χαρακτήρων. Σε αυτήν την περίπτωση, τα Windows αποθηκεύουν μια τιμή κατακερματισμού LM που δεν μπορεί να χρησιμοποιηθεί για τον έλεγχο ταυτότητας του χρήστη.
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbinfo kbenv kbnetwork KB299656
Επιστροφή στην αρχή