Miként akadályozható meg, hogy a Windows a jelszó LAN-kezelõ által létrehozott üzenetkivonatát az Active Directory címtárban és a helyi SAM-adatbázisokban tárolja

A Windows a felhasználói fiókok jelszavait nem egyszerû szöveges formátumban tárolja, hanem két eltérõ jelszóformátummá, ismertebb néven „kivonatokká” alakítja át azokat. A felhasználói jelszavak beállításakor vagy módosításakor a Windows a 15 karakternél rövidebb jelszavak esetében egyaránt létrehozza a jelszó LAN Manager-kivonatát (LM-kivonat) és Windows NT-kivonatát (NT-kivonat). Ezeket a kivonatokat a helyi Biztonsági fiókkezelõ (SAM) szolgáltatás adatbázisában vagy az Active Directory címtárban tárolja.

Az LM-kivonat az NT-kivonathoz képest gyenge titkosításnak számít, ezért kevésbé védett a gyors jelszófeltörõ programokkal szemben, ezért célszerû lehet megakadályozni azt, hogy a Windows LM-kivonatban tárolja a jelszót. Ez a cikk ezt az eljárást ismerteti, amelynek eredményeképpen a Windows csak az erõsebb titkosítású NT-kivonatban fogja tárolni a jelszót.

A Windows 2000- és Windows Server 2003-alapú kiszolgálók képesek a Windows korábbi verzióit futtató számítógépekrõl kapcsolódó felhasználók hitelesítésére. A Windows 2000 rendszernél korábbi verziójú Windows rendszerek azonban nem használnak Kerberos-hitelesítést. A visszamenõleges kompatibilitás érdekében a Windows 2000 és a Windows Server 2003 támogatja az LM-, az NTLM- és az NTLMv2-hitelesítést. Az NTLM, az NTLMv2 és a Kerberos mind az NT-kivonatot használja, amelyet Unicode-kivonatnak is neveznek. Az LM-hitelesítési protokoll az LM-kivonatot használja.

Az LM-kivonat tárolását célszerû megakadályozni, kivéve, ha a visszamenõleges kompatibilitás miatt szükség van rá. Ha a hálózathoz Windows 95-, Windows 98- vagy Macintosh-alapú ügyfélszámítógépek is csatlakoznak, a következõ problémák jelentkezhetnek az LM-kivonatok tartományban történõ tárolásának megakadályozása esetén:

• Az LM-kivonattal nem rendelkezõ felhasználók csak abban az esetben tudnak Windows 95- vagy Windows 98-alapú, kiszolgálóként mûködõ számítógépekhez csatlakozni, ha a Windows 95 és Windows 98 rendszerhez készült Címszolgáltatások ügyfélprogram telepítve van a kiszolgálón.
• A Windows 95- vagy Windows 98-alapú számítógépet használókat csak abban az esetben tudják hitelesíteni a kiszolgálók a tartományi fiókjuk alapján, ha e számítógépeken telepítve van a Címszolgáltatások ügyfélprogram.
• A Windows 95- vagy Windows 98-alapú számítógépet használókat a helyi fiókjuk alapján csak abban az esetben tudják hitelesíteni az LM-kivonatok használatát letiltó kiszolgálók, ha e számítógépeken telepítve van a Címszolgáltatások ügyfélprogram.
• Elõfordulhat, hogy a felhasználók nem tudják módosítani tartományi jelszavukat Windows 95- vagy Windows 98-alapú számítógéprõl, illetve ilyen esetekben fiókzárolási problémák felléphetnek.
• Elõfordulhat, hogy a Macintosh Outlook 2001-ügyfelek nem férnek hozzá a Microsoft Exchange-kiszolgálókon lévõ postafiókjukhoz. Az Outlook programban a következõhöz hasonló hibaüzenet jelenhet meg:
  A megadott bejelentkezési hitelesítõ adatok nem megfelelõek. Ellenõrizze, hogy helyes felhasználónevet és tartományt adott-e meg, majd írja be ismét a jelszavát.

A Windows 95 és Windows 98 rendszerhez készült Címtárszolgáltatások ügyfélprogram beszerzésérõl a Microsoft Tudásbázis alábbi cikkében tájékozódhat: A következõ módszerek bármelyikével megakadályozhatja, hogy a Windows a jelszó LM-kivonatát tárolja.

1. módszer: A NoLMHash házirend engedélyezése a csoportházirend használatával

Ha le szeretné tiltani a felhasználói jelszavak LM-kivonatainak a helyi számítógép SAM-adatbázisaiban történõ tárolását a helyi csoportházirend használatával (Windows XP vagy Windows Server 2003 rendszerben), illetve Windows Server 2003 Active Directory-környezetben az Active Directory csoportházirendjének használatával (Windows Server 2003 rendszerben), kövesse az alábbi lépéseket:

1. A Csoportháziren ablakban bontsa ki a Számítógép konfigurációja, a Windows beállításai, a Biztonsági beállítások, és végül a Helyi házirendek csomópontot, majd kattintson a Biztonsági lehetõségek elemre.
2. Az elérhetõ házirendek listájában kattintson duplán a Hálózati biztonság: A következõ jelszómódosításkor ne tárolja a LAN-kezelõ üzenetkivonatát elemre.
3. Kattintson az Engedélyezve elemre, majd az OK gombra.

2. módszer: A NoLMHash házirend engedélyezése a beállításjegyzék módosításával

Windows 2000 Service Pack 2 (SP2) és újabb rendszerben a következõ eljárásokkal akadályozhatja meg, hogy a Windows a következõ jelszómódosításkor tárolja a jelszó LM-kivonatát.

Windows 2000 SP2 és újabb rendszer esetén

Figyelem! A Beállításszerkesztõ helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja az ilyen jellegû problémák megoldhatóságát, ezért a Beállításszerkesztõt csak saját felelõsségére használhatja.
Fontos: A beállításkulcsot és annak mûködését nem tesztelték és nem dokumentálták, ezért nem tekinthetõ biztonságosnak a Windows 2000 SP2 rendszernél korábbi rendszert használó munkakörnyezetekben.

A kulcs Beállításszerkesztõvel történõ hozzáadásához kövesse az alábbi lépéseket:

1. Indítsa el a Beállításszerkesztõt (korábbi nevén Rendszerleíróadatbázis-szerkesztõ) (Regedt32.exe).
2. Keresse meg, majd kattintson a következõ kulcsra:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára, és írja be a NoLMHash értéket, majd nyomja le az ENTER billentyût.
4. Lépjen ki a Beállításszerkesztõbõl.
5. Indítsa újra a számítógépet, majd módosítsa a jelszót a beállítás aktiválásához.

Megjegyzések

• Ezt a beállításkulcsot Windows 2000 Active Directory-környezetben az összes Windows 2000-alapú tartományvezérlõn módosítani kell ahhoz, hogy a felhasználói jelszavak LM-kivonatának tárolása le legyen tiltva.
• Ez a beállításkulcs megakadályozza az új LM-kivonatok létrehozását a Windows 2000-alapú számítógépeken, de nem törli a számítógépeken tárolt korábbi LM-kivonatok elõzményeit. A számítógépeken tárolt meglévõ LM-kivonatokat a jelszavak módosításakor távolítja el a rendszer.

Windows XP és Windows Server 2003 rendszer esetén

Figyelem: A Beállításszerkesztõ helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja az ilyen jellegû problémák megoldhatóságát, ezért a Beállításszerkesztõt csak saját felelõsségére használhatja.Figyelem: A Beállításszerkesztõ (Rendszerleíróadatbázis-szerkesztõ) helytelen használata az operációs rendszer újratelepítését is szükségessé tehetõ, komoly problémákat is okozhat. A Microsoft nem garantálja az ilyen jellegû problémák megoldhatóságát, ezért a Beállításszerkesztõt csak saját felelõsségére használhatja.
E duplaszóérték Beállításszerkesztõvel történõ hozzáadásához kövesse az alábbi lépéseket:

1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
2. Keresse meg a következõ beállításkulcsot (korábbi nevén rendszerleíró kulcs), majd kattintson rá:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
4. Írja be a NoLMHash értéket, majd nyomja le az ENTER billentyût.
5. Kattintson a Szerkesztés menü Módosítás parancsára.
6. Írja be az 1 értéket, majd kattintson az OK gombra.
7. Indítsa újra a számítógépet, majd módosítsa a jelszót.

Megjegyzések

• A beállításjegyzék e módosítását Windows 2003 Active Directory-környezetben az összes Windows Server 2003-alapú tartományvezérlõn módosítani kell ahhoz, hogy a felhasználói jelszavak LM-kivonatának tárolása le legyen tiltva. A rendszergazdák az Active Directory – Felhasználók és számítógépek MMC-konzol használatával helyezhetik üzembe ezt a házirendet a tartomány összes tartományvezérlõjén és számítógépén az 1. módszer útmutatása szerint (A NoLMHash házirend engedélyezése a csoportházirend használatával).
• Ezzel a duplaszóértékkel megakadályozható az új LM-kivonatok létrehozása Windows XP- és Windows Server 2003-alapú számítógépeken. Az összes korábbi LM-kivonat elõzménye e lépések végrehajtása után törlõdik.

Fontos: Ha létrehoz egy egyéni házirendsablont, amely Windows 2000, Windows XP és Windows Server 2003 rendszerben is használható, a kulcsot és az értéket egyaránt létrehozhatja. Az érték ugyanott található, ahol a kulcs, és az 1 érték letiltja az LM-kivonatok létrehozását. A Windows 2000 rendszer Windows Server 2003 rendszerre történõ frissítése a kulcsot is frissíti. Célszerû azonban mindkét beállítást megadni a beállításjegyzékben.

3. módszer: Legalább 15 karaktert tartalmazó jelszó megadása

A legegyszerûbben úgy akadályozhatja meg, hogy a Windows tárolja a jelszavak LM-kivonatát, hogy legalább 15 karakter hosszúságú jelszót használ. Ebben az esetben a Windows által tárolt LM-kivonat nem alkalmas a felhasználó hitelesítésére.