Cómo impedir que Windows almacene un hash de administrador de LAN de su contraseña en Active Directory y en bases de datos locales de SAM

Seleccione idioma Seleccione idioma
Id. de artículo: 299656 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información sobre cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

En vez de almacenar la contraseña de la cuenta de usuario en texto sin cifrar, Windows genera y almacena las contraseñas de cuenta de usuario mediante dos representaciones de contraseña distintas, denominadas normalmente "hash". Cuando se establece o cambia la contraseña de una cuenta de usuario por otra que contiene menos de 15 caracteres, Windows genera un hash de LAN Manager (hash de LM) y un hash de Windows NT (hash de NT) de la contraseña. Estos hash se almacenan en la base de datos del administrador de cuentas de seguridad (SAM) o en Active Directory.

El hash de LM es relativamente débil en comparación con el hash de NT y, por lo tanto, es proclive a ataques de fuerza bruta. Así pues, puede impedir que Windows almacene un hash de LM de su contraseña. En este artículo se describe cómo hacer que Windows sólo almacene el hash de NT de mayor seguridad de la contraseña.

Más información

Los servidores basados en Windows 2000 y en Windows Server 2003 pueden autenticar los usuarios que se conecten desde equipos que ejecuten versiones anteriores de Windows. No obstante, las versiones de Windows anteriores a Windows 2000 no usan Kerberos para la autenticación. Por motivos de compatibilidad con versiones anteriores, Windows 2000 y Windows Server 2003 admiten la autenticación de LAN Manager (LM), la autenticación de Windows NT (NTLM) y la autenticación de la versión 2 de NTLM (NTLMv2). NTLM, NTLMv2 y Kerberos usan el hash de NT, también denominado hash de Unicode. El protocolo de autenticación LM usa el hash de LM.

Lo mejor es impedir el almacenamiento del hash de LM si no se necesita para compatibilidad con versiones anteriores. Si la red contiene clientes de Windows 95, Windows 98 o Macintosh, se pueden producir los problemas siguientes si se impide el almacenamiento de los hash de LM para el dominio.
  • Los usuarios sin un hash de LM no podrán conectarse a un equipo basado en Windows 95 o en Windows 98 que actúe de servidor a menos que el cliente de servicios de directorio para Windows 95 y Windows 98 esté instalado en el servidor.
  • Los usuarios de equipos basados en Windows 95 o en Windows 98 no podrán autenticarse en los servidores con su cuenta de dominio a menos que tengan instalado el cliente de servicios de directorio en sus equipos.
  • Los usuarios de equipos basados en Windows 95 o en Windows 98 no podrán autenticarse con una cuenta local en un servidor si éste ha deshabilitado los hash de LM a menos que tengan instalado el cliente de servicios de directorio en sus equipos.
  • Es posible que los usuarios no puedan cambiar sus contraseñas de dominio desde un equipo basado en Windows 95 o en Windows 98, o que tengan problemas de bloqueo de cuenta cuando intenten cambiarlas desde estos clientes anteriores.
  • Es posible que los usuarios de los clientes de Macintosh Outlook 2001 no puedan tener acceso a sus buzones en servidores de Microsoft Exchange Server. Es posible que vean el siguiente error en Outlook:
    Las credenciales de inicio de sesión suministradas son incorrectas. Asegúrese de que el nombre de usuario y el dominio son correctos y vuelva a introducir su contraseña.
Para obtener más información acerca de cómo obtener el cliente de servicios de directorio para Windows 95 y Windows 98, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
323455 Actualización del cliente de servicios de directorio para Windows 98
Para impedir que Windows almacene un hash de LM de la contraseña, utilice cualquiera de los métodos siguientes.

Método 1: Implementar la directiva NoLMHash mediante Directiva de grupo

Para deshabilitar el almacenamiento de hash de LM de las contraseñas de un usuario en la base de datos SAM del equipo local mediante Directiva de grupo local (Windows XP o Windows Server 2003) o en un entorno de Active Directory de Windows Server 2003 mediante Directiva de grupo en Active Directory (Windows Server 2003), siga estos pasos:
  1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
  2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
  3. Haga clic en Habilitado y después en Aceptar.

Método 2: Implementar la directiva NoLMHash mediante la edición del Registro

En Windows 2000 Service Pack 2 (SP2) y posterior, use uno de los procedimientos siguientes para impedir que Windows almacene un valor de hash de LM en el siguiente cambio de contraseña.

Windows 2000 SP2 y posterior

Advertencia
La utilización incorrecta del Editor del Registro puede provocar problemas graves que hagan necesario volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
Importante
La clave del Registro
NoLMHash
y su funcionalidad no se probaron ni documentaron y no se deben considerar seguras para usarlas en entornos de producción antes de Windows 2000 SP2.

Para agregar esta clave mediante el Editor del Registro, siga estos pasos:
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Busque la clave siguiente y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el menú Edición, haga clic en Agregar clave escriba NoLMHash y, a continuación, presione ENTRAR.
  4. Salga del Editor del Registro.
  5. Reinicie el equipo y, a continuación, cambie la contraseña para que la configuración se active.
Notas
  • Este cambio de clave del Registro se debe efectuar en todos los controladores de dominio de Windows 2000 para deshabilitar el almacenamiento de hash de LM de las contraseñas de los usuarios en un entorno Active Directory de Windows 2000.
  • Esta clave del Registro impide que se creen hash de LM nuevos en los equipos basados en Windows 2000, pero no borra el historial de los hash de LM anteriores que están almacenados. Los hash de LM existentes que están almacenados se quitarán al cambiar las contraseñas.

Windows XP y Windows Server 2003

Advertencia
La utilización incorrecta del Editor del Registro puede provocar problemas graves que hagan necesario volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.ADVERTENCIA
Si utiliza incorrectamente el Editor del Registro puede tener serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
Para agregar este valor DWORD mediante el Editor del Registro, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.
  2. Busque la siguiente clave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba NoLMHash y presione Entrar.
  5. En el menú Edición, haga clic en Modificar.
  6. Escriba 1 y, a continuación, haga clic en Aceptar.
  7. Reinicie el equipo y, a continuación, cambie la contraseña.
Notas
  • Este cambio del Registro se debe efectuar en todos los controladores de dominio de Windows Server 2003 para deshabilitar el almacenamiento de hash de LM de las contraseñas de los usuarios en un entorno Active Directory de Windows 2003. Si es administrador de dominio, puede usar el complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC) para implementar esta directiva en todos los controladores de dominio o en todos los equipos del dominio, según se describe en el método 1 (Implementar la directiva NoLMHash mediante Directiva de grupo).
  • Este valor DWORD impide que se creen hash de LM nuevos en los equipos basados en Windows XP y en Windows Server 2003. El historial de todos los hash de LM anteriores se borra al completar estos pasos.
Importante
Si está creando una plantilla de directiva personalizada que se puede usar en Windows 2000 y Windows XP o Windows Server 2003, puede crear tanto la clave como el valor. El valor está en el mismo lugar que la clave y el valor 1 deshabilita la creación de hash de LM. La clave se actualiza cuando un sistema Windows 2000 se actualiza a Windows Server 2003. No obstante, es correcto si ambas configuraciones están en el Registro.

Método 3: Usar una contraseña que tenga una longitud mínima de 15 caracteres

La forma más simple de impedir que Windows almacene un hash de LM de la contraseña es usar una contraseña que tenga una longitud mínima de 15 caracteres. En este caso, Windows almacena un valor de hash de LM que no se puede usar para autenticar al usuario.

Propiedades

Id. de artículo: 299656 - Última revisión: lunes, 11 de septiembre de 2006 - Versión: 9.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Service Pack 4 de Microsoft Windows 2000
  • Service Pack 3 de Microsoft Windows 2000
  • Service Pack 2 de Microsoft Windows 2000
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Professional Edition
  • Service Pack 3 de Microsoft Windows 2000
  • Service Pack 2 de Microsoft Windows 2000
  • Microsoft Windows 2000 Datacenter Server
  • Service Pack 3 de Microsoft Windows 2000
  • Service Pack 2 de Microsoft Windows 2000
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbenv kbinfo kbnetwork KB299656

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com