Comment faire pour empêcher Windows de stocker un hachage LAN Manager de votre mot de passe dans Active Directory et dans les bases de données SAM locales

Traductions disponibles Traductions disponibles
Numéro d'article: 299656 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Au lieu de stocker votre mot de passe de compte d'utilisateur en texte clair, Windows génère et stocke les mots de passe de compte d'utilisateur en utilisant deux représentations de mots de passe différentes, en général connues sous le nom de « hachages ». Lorsque vous définissez ou modifiez le mot de passe d'un compte d'utilisateur en un mot de passe qui contient moins de 15 caractères, Windows génère un hachage LAN Manager (hachage LM) et un hachage Windows NT (hachage NT) du mot de passe. Ces hachages sont stockés dans la base de données SAM (Security Accounts Manager) locale ou dans Active Directory.

Le hachage LM étant relativement faible comparé au hachage NT, il est plus vulnérable aux attaques de force brute rapide. Par conséquent, vous souhaiterez peut-être empêcher Windows de stocker un hachage LM de votre mot de passe. Cet article explique comment faire en sorte que Windows stocke uniquement le hachage NT de votre mot de passe.

Plus d'informations

Les serveurs Windows 2000 et Windows Server 2003 peuvent authentifier les utilisateurs qui se connectent sur des ordinateurs qui exécutent toute version antérieure de Windows. Toutefois, les versions de Windows antérieures à Windows 2000 n'utilisent pas Kerberos pour l'authentification. À des fins de compatibilité descendante, Windows 2000 et Windows Server 2003 prennent en charge l'authentification LAN Manager (LM), l'authentification Windows NT (NTLM) et l'authentification NTLM version 2 (NTLMv2). Les authentifications NTLM, NTLMv2 et Kerberos utilisent le hachage NT, également connu sous le nom de hachage Unicode. Le protocole d'authentification LM utilise le hachage LM.

Il est préférable d'empêcher le stockage du hachage LM si vous n'en avez pas besoin à des fins de compatibilité descendante. Si votre réseau contient des clients Windows 95, Windows 98 ou Macintosh, vous pouvez rencontrer les problèmes suivants si vous empêchez le stockage de hachages LM pour votre domaine :
  • Les utilisateurs sans hachage LM ne seront pas capables de se connecter à un ordinateur Windows 95 ou Windows 98 qui assume le rôle de serveur, à moins que le client des services d'annuaire pour Windows 95 et Windows 98 ne soit installé sur le serveur.
  • Les utilisateurs d'ordinateurs Windows 95 ou Windows 98 ne seront pas capables de s'authentifier sur des serveurs en utilisant leur compte de domaine, à moins que le client des services d'annuaire ne soit installé sur leur ordinateur.
  • Les utilisateurs d'ordinateurs Windows 95 ou Windows 98 ne seront pas capables de s'authentifier en utilisant un compte local sur un serveur si celui-ci a désactivé le hachage LM, à moins que le client des services d'annuaire ne soit installé sur leur ordinateur.
  • Il est possible que les utilisateurs ne soient pas capables de modifier leur mot de passe de domaine sur un ordinateur Windows 95 ou Windows 98 ou qu'ils rencontrent des problèmes de verrouillage de compte lorsqu'ils essaient de modifier leur mot de passe sur ces clients antérieurs.
  • Il est possible que les utilisateurs de clients Macintosh Outlook 2001 ne soient pas capables d'accéder à leur boîte aux lettres sur des serveurs Microsoft Exchange. Le message d'erreur suivant peut s'afficher dans Outlook :
    Les paramètres de connexion fournis étaient inexacts. Assurez-vous que le nom d'utilisateur et le domaine sont corrects, puis entrez de nouveau votre mot de passe.
Pour empêcher Windows de stocker un hachage LM de votre mot de passe, appliquez l'une des méthodes suivantes.

Méthode 1 : Implémentation de la stratégie NoLMHash à l'aide de la stratégie de groupe

Pour désactiver le stockage des hachages LM des mots de passe d'un utilisateur dans la base de données SAM de l'ordinateur local à l'aide de la stratégie de groupe locale (Windows XP ou Windows Server 2003) ou dans un environnement Active Directory Windows Server 2003 à l'aide de la stratégie de groupe dans Active Directory (Windows Server 2003), procédez comme suit :
  1. Dans la stratégie de groupe, développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Options de sécurité.
  2. Dans la liste des stratégies disponibles, double-cliquez sur Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe.
  3. Cliquez sur Activé, puis sur OK.

Méthode 2 : Implémentation de la stratégie NoLMHash en modifiant le Registre

Dans Windows 2000 Service Pack 2 (SP2) et versions ultérieures, appliquez l'une des procédures suivantes pour empêcher Windows de stocker une valeur de hachage LM lors de votre prochaine modification de mot de passe.

Windows 2000 SP2 et versions ultérieures

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
Important La clé de Registre
NoLMHash
et sa fonctionnalité n'ont pas été testées ni documentées et leur utilisation doit être considérée potentiellement dangereuse dans les environnements de production antérieurs à Windows 2000 SP2.

Pour ajouter cette clé à l'aide de l'Éditeur du Registre, procédez comme suit :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez la clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition, cliquez sur Ajouter une clé, tapez NoLMHash, puis appuyez sur ENTRÉE.
  4. Quittez l'Éditeur du Registre.
  5. Redémarrez l'ordinateur, puis modifiez votre mot de passe afin d'activer le paramètre.
Remarques
  • Cette modification de clé de Registre doit être effectuée sur tous les contrôleurs de domaine Windows 2000 afin de désactiver le stockage des hachages LM des mots de passe d'utilisateurs dans un environnement Active Directory Windows 2000.
  • Cette clé de Registre empêche la création de nouveaux hachages LM sur les ordinateurs Windows 2000, mais elle n'efface pas l'historique des hachages LM antérieurs qui sont stockés. Les hachages LM existants qui sont stockés seront supprimés à mesure que vous modifierez des mots de passe.

Windows XP et Windows Server 2003

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
Pour ajouter cette valeur DWORD à l'aide de l'Éditeur du Registre, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez NoLMHash, puis appuyez sur ENTRÉE.
  5. Dans le menu Edition, cliquez sur Modifier.
  6. Tapez 1, puis cliquez sur OK.
  7. Redémarrez votre ordinateur, puis modifiez votre mot de passe.
Remarques
  • Cette modification du Registre doit être effectuée sur tous les contrôleurs de domaine Windows Server 2003 afin de désactiver le stockage des hachages LM des mots de passe d'utilisateurs dans un environnement Active Directory Windows Server 2003. Si vous êtes administrateur de domaine, vous pouvez utiliser la console MMC (Microsoft Management Console) Utilisateurs et ordinateurs Active Directory pour déployer cette stratégie sur tous les contrôleurs de domaine ou tous les ordinateurs du domaine, comme décrit dans la Méthode 1 (Implémentation de la stratégie NoLMHash à l'aide de la stratégie de groupe).
  • Cette valeur DWORD empêche la création de nouveaux hachages LM sur les ordinateurs Windows XP et Windows Server 2003. L'historique de tous les hachages LM antérieurs est effacé lorsque vous effectuez ces étapes.
Important Si vous créez un modèle de stratégie personnalisé qui peut être utilisé sur Windows 2000 et Windows XP ou Windows Server 2003, vous pouvez créer la clé et la valeur. La valeur se trouve au même emplacement que la clé et une valeur de 1 désactive la création des hachages LM. La clé est mise à niveau lorsqu'un système Windows 2000 est mis à niveau vers Windows Server 2003. Toutefois, ce n'est pas un problème si les deux paramètres sont dans le Registre.

Méthode 3 : Utilisation d'un mot de passe d'au moins 15 caractères

Le moyen le plus simple d'empêcher Windows de stocker un hachage LM de votre mot de passe consiste à utiliser un mot de passe d'au moins 15 caractères. Dans ce cas, Windows stocke une valeur de hachage LM qui ne peut pas être utilisée pour authentifier l'utilisateur.

Propriétés

Numéro d'article: 299656 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 9.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kbinfo kbenv kbnetwork KB299656
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com