Miként akadályozható meg, hogy a Windows a jelszó LAN-kezelő által létrehozott üzenetkivonatát az Active Directory címtárban és a helyi SAM-adatbázisokban tárolja

A cikk fordítása A cikk fordítása
Cikk azonosítója: 299656 - A cikkben érintett termékek listájának megtekintése.
Fontos! Ebben a cikkben a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosításával kapcsolatos tudnivalók olvashatók. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Windows a felhasználói fiókok jelszavait nem egyszerű szöveges formátumban tárolja, hanem két eltérő jelszóformátummá, ismertebb néven „kivonatokká” alakítja át azokat. A felhasználói jelszavak beállításakor vagy módosításakor a Windows a 15 karakternél rövidebb jelszavak esetében egyaránt létrehozza a jelszó LAN Manager-kivonatát (LM-kivonat) és Windows NT-kivonatát (NT-kivonat). Ezeket a kivonatokat a helyi Biztonsági fiókkezelő (SAM) szolgáltatás adatbázisában vagy az Active Directory címtárban tárolja.

Az LM-kivonat az NT-kivonathoz képest gyenge titkosításnak számít, ezért kevésbé védett a gyors jelszófeltörő programokkal szemben, ezért célszerű lehet megakadályozni azt, hogy a Windows LM-kivonatban tárolja a jelszót. Ez a cikk ezt az eljárást ismerteti, amelynek eredményeképpen a Windows csak az erősebb titkosítású NT-kivonatban fogja tárolni a jelszót.

További információ

A Windows 2000- és Windows Server 2003-alapú kiszolgálók képesek a Windows korábbi verzióit futtató számítógépekről kapcsolódó felhasználók hitelesítésére. A Windows 2000 rendszernél korábbi verziójú Windows rendszerek azonban nem használnak Kerberos-hitelesítést. A visszamenőleges kompatibilitás érdekében a Windows 2000 és a Windows Server 2003 támogatja az LM-, az NTLM- és az NTLMv2-hitelesítést. Az NTLM, az NTLMv2 és a Kerberos mind az NT-kivonatot használja, amelyet Unicode-kivonatnak is neveznek. Az LM-hitelesítési protokoll az LM-kivonatot használja.

Az LM-kivonat tárolását célszerű megakadályozni, kivéve, ha a visszamenőleges kompatibilitás miatt szükség van rá. Ha a hálózathoz Windows 95-, Windows 98- vagy Macintosh-alapú ügyfélszámítógépek is csatlakoznak, a következő problémák jelentkezhetnek az LM-kivonatok tartományban történő tárolásának megakadályozása esetén:
  • Az LM-kivonattal nem rendelkező felhasználók csak abban az esetben tudnak Windows 95- vagy Windows 98-alapú, kiszolgálóként működő számítógépekhez csatlakozni, ha a Windows 95 és Windows 98 rendszerhez készült Címszolgáltatások ügyfélprogram telepítve van a kiszolgálón.
  • A Windows 95- vagy Windows 98-alapú számítógépet használókat csak abban az esetben tudják hitelesíteni a kiszolgálók a tartományi fiókjuk alapján, ha e számítógépeken telepítve van a Címszolgáltatások ügyfélprogram.
  • A Windows 95- vagy Windows 98-alapú számítógépet használókat a helyi fiókjuk alapján csak abban az esetben tudják hitelesíteni az LM-kivonatok használatát letiltó kiszolgálók, ha e számítógépeken telepítve van a Címszolgáltatások ügyfélprogram.
  • Előfordulhat, hogy a felhasználók nem tudják módosítani tartományi jelszavukat Windows 95- vagy Windows 98-alapú számítógépről, illetve ilyen esetekben fiókzárolási problémák felléphetnek.
  • Előfordulhat, hogy a Macintosh Outlook 2001-ügyfelek nem férnek hozzá a Microsoft Exchange-kiszolgálókon lévő postafiókjukhoz. Az Outlook programban a következőhöz hasonló hibaüzenet jelenhet meg:
    A megadott bejelentkezési hitelesítő adatok nem megfelelőek. Ellenőrizze, hogy helyes felhasználónevet és tartományt adott-e meg, majd írja be ismét a jelszavát.
A Windows 95 és Windows 98 rendszerhez készült Címtárszolgáltatások ügyfélprogram beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
323455 A Windows 98 rendszer frissítése a Címtárszolgáltatások ügyfélprogrammal (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A következő módszerek bármelyikével megakadályozhatja, hogy a Windows a jelszó LM-kivonatát tárolja.

1. módszer: A NoLMHash házirend engedélyezése a csoportházirend használatával

Ha le szeretné tiltani a felhasználói jelszavak LM-kivonatainak a helyi számítógép SAM-adatbázisaiban történő tárolását a helyi csoportházirend használatával (Windows XP vagy Windows Server 2003 rendszerben), illetve Windows Server 2003 Active Directory-környezetben az Active Directory csoportházirendjének használatával (Windows Server 2003 rendszerben), kövesse az alábbi lépéseket:
  1. A Csoportháziren ablakban bontsa ki a Számítógép konfigurációja, a Windows beállításai, a Biztonsági beállítások, és végül a Helyi házirendek csomópontot, majd kattintson a Biztonsági lehetőségek elemre.
  2. Az elérhető házirendek listájában kattintson duplán a Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-kezelő üzenetkivonatát elemre.
  3. Kattintson az Engedélyezve elemre, majd az OK gombra.

2. módszer: A NoLMHash házirend engedélyezése a beállításjegyzék módosításával

Windows 2000 Service Pack 2 (SP2) és újabb rendszerben a következő eljárásokkal akadályozhatja meg, hogy a Windows a következő jelszómódosításkor tárolja a jelszó LM-kivonatát.

Windows 2000 SP2 és újabb rendszer esetén

Figyelem! A Beállításszerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Beállításszerkesztőt csak saját felelősségére használhatja.
Fontos: A
NoLMHash
beállításkulcsot és annak működését nem tesztelték és nem dokumentálták, ezért nem tekinthető biztonságosnak a Windows 2000 SP2 rendszernél korábbi rendszert használó munkakörnyezetekben.

A kulcs Beállításszerkesztővel történő hozzáadásához kövesse az alábbi lépéseket:
  1. Indítsa el a Beállításszerkesztőt (korábbi nevén Rendszerleíróadatbázis-szerkesztő) (Regedt32.exe).
  2. Keresse meg, majd kattintson a következő kulcsra:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára, és írja be a NoLMHash értéket, majd nyomja le az ENTER billentyűt.
  4. Lépjen ki a Beállításszerkesztőből.
  5. Indítsa újra a számítógépet, majd módosítsa a jelszót a beállítás aktiválásához.
Megjegyzések
  • Ezt a beállításkulcsot Windows 2000 Active Directory-környezetben az összes Windows 2000-alapú tartományvezérlőn módosítani kell ahhoz, hogy a felhasználói jelszavak LM-kivonatának tárolása le legyen tiltva.
  • Ez a beállításkulcs megakadályozza az új LM-kivonatok létrehozását a Windows 2000-alapú számítógépeken, de nem törli a számítógépeken tárolt korábbi LM-kivonatok előzményeit. A számítógépeken tárolt meglévő LM-kivonatokat a jelszavak módosításakor távolítja el a rendszer.

Windows XP és Windows Server 2003 rendszer esetén

Figyelem: A Beállításszerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Beállításszerkesztőt csak saját felelősségére használhatja.Figyelem: A Beállításszerkesztő (Rendszerleíróadatbázis-szerkesztő) helytelen használata az operációs rendszer újratelepítését is szükségessé tehető, komoly problémákat is okozhat. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Beállításszerkesztőt csak saját felelősségére használhatja.
E duplaszóérték Beállításszerkesztővel történő hozzáadásához kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot (korábbi nevén rendszerleíró kulcs), majd kattintson rá:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be a NoLMHash értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a Szerkesztés menü Módosítás parancsára.
  6. Írja be az 1 értéket, majd kattintson az OK gombra.
  7. Indítsa újra a számítógépet, majd módosítsa a jelszót.
Megjegyzések
  • A beállításjegyzék e módosítását Windows 2003 Active Directory-környezetben az összes Windows Server 2003-alapú tartományvezérlőn módosítani kell ahhoz, hogy a felhasználói jelszavak LM-kivonatának tárolása le legyen tiltva. A rendszergazdák az Active Directory – Felhasználók és számítógépek MMC-konzol használatával helyezhetik üzembe ezt a házirendet a tartomány összes tartományvezérlőjén és számítógépén az 1. módszer útmutatása szerint (A NoLMHash házirend engedélyezése a csoportházirend használatával).
  • Ezzel a duplaszóértékkel megakadályozható az új LM-kivonatok létrehozása Windows XP- és Windows Server 2003-alapú számítógépeken. Az összes korábbi LM-kivonat előzménye e lépések végrehajtása után törlődik.
Fontos: Ha létrehoz egy egyéni házirendsablont, amely Windows 2000, Windows XP és Windows Server 2003 rendszerben is használható, a kulcsot és az értéket egyaránt létrehozhatja. Az érték ugyanott található, ahol a kulcs, és az 1 érték letiltja az LM-kivonatok létrehozását. A Windows 2000 rendszer Windows Server 2003 rendszerre történő frissítése a kulcsot is frissíti. Célszerű azonban mindkét beállítást megadni a beállításjegyzékben.

3. módszer: Legalább 15 karaktert tartalmazó jelszó megadása

A legegyszerűbben úgy akadályozhatja meg, hogy a Windows tárolja a jelszavak LM-kivonatát, hogy legalább 15 karakter hosszúságú jelszót használ. Ebben az esetben a Windows által tárolt LM-kivonat nem alkalmas a felhasználó hitelesítésére.

Tulajdonságok

Cikk azonosítója: 299656 - Utolsó ellenőrzés: 2007. december 3. - Verziószám: 9.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Professional SP2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server SP2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kulcsszavak: 
kbinfo kbenv kbnetwork KB299656
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com