Bagaimana mencegah Windows menyimpan LAN manager hash sandi dalam Active Directory dan database SAM lokal

Alih-alih menyimpan sandi akun pengguna Anda di jelas-teks, Windows menghasilkan dan menyimpan sandi akun pengguna dengan menggunakan dua representasi sandi berbeda, umumnya dikenal sebagai "hash." Bila Anda menetapkan atau mengubah sandi untuk account pengguna untuk sandi yang berisi karakter kurang dari 15, Windows menghasilkan hash LAN Manager (LM hash) dan hash Windows NT (NT hash) dari sandi. Hash ini disimpan dalam database manajer account keamanan (SAM) lokal atau Active Directory.

LM hash relatif lemah dibandingkan dengan NT hash, dan oleh karena itu rentan terhadap serangan kekerasan yang cepat. Oleh karena itu, Anda mungkin ingin mencegah Windows menyimpan LM hash dari sandi. Artikel ini menjelaskan cara melakukannya sehingga Windows yang hanya toko hash NT lebih kuat password.

Server berbasis Windows 2000 dan Windows Server 2003 berbasis server dapat mengotentikasi pengguna yang terhubung dari komputer yang menjalankan semua Windows versi sebelumnya. Namun, versi Windows sebelumnya daripada Windows 2000 menggunakan Kerberos untuk otentikasi. Untuk backward compatibility, Windows 2000 dan Windows Server 2003 mendukung otentikasi LAN Manager (LM), Windows NT (NTLM) otentikasi dan NTLM versi 2 (NTLMv2) otentikasi. NTLM, NTLMv2, dan Kerberos semua menggunakan hash NT, juga dikenal sebagai Unicode hash. Protokol otentikasi LM menggunakan LM hash.

Yang terbaik untuk mencegah penyimpanan LM hash jika Anda tidak perlu untuk kompatibilitas. Jika jaringan Anda berisi Windows 95, Windows 98, atau klien Macintosh, Anda mungkin mengalami masalah berikut jika Anda mencegah penyimpanan LM hash domain:

• Pengguna tanpa LM hash tidak akan dapat terhubung ke komputer berbasis Windows 95 atau komputer berbasis Windows 98 yang bertindak sebagai server kecuali direktori layanan klien untuk Windows 95 dan Windows 98 diinstal pada server.
• Pengguna pada komputer berbasis Windows 95 atau Windows 98 berbasis komputer tidak akan mampu melakukan otentikasi ke server dengan menggunakan account domain mereka kecuali mereka memiliki layanan direktori klien yang diinstal pada komputer mereka.
• Pengguna pada komputer berbasis Windows 95 atau komputer berbasis Windows 98 akan tidak dapat mengotentikasi dengan account lokal pada server jika server telah dinonaktifkan LM hash kecuali mereka memiliki layanan direktori klien yang diinstal pada komputer mereka.
• Pengguna tidak dapat mengubah sandi domain dari komputer berbasis Windows 95 atau komputer berbasis Windows 98, atau mereka mungkin mengalami masalah lockout account ketika mereka mencoba untuk mengubah sandi dari klien ini sebelumnya.
• Pengguna Macintosh Outlook 2001 klien mungkin tidak dapat mengakses kotak pesan di Microsoft Exchange Server. Pengguna dapat melihat kesalahan berikut di Outlook:
  Kredensial masuk yang diberikan itu tidak benar. Pastikan nama pengguna dan domain sudah benar, kemudian ketik sandi lagi.

Untuk mencegah Windows menyimpan LM hash dari sandi, gunakan salah satu metode berikut.

Metode 1: Menerapkan kebijakan NoLMHash dengan menggunakan kebijakan grup

Untuk menonaktifkan penyimpanan LM hash password pengguna di komputer lokal SAM database dengan menggunakan kebijakan grup lokal (Windows XP atau Windows Server 2003) atau di lingkungan Windows 2003 Server Active Directory menggunakan kebijakan grup dalam Active Directory (Windows Server 2003), ikuti langkah berikut:

1. Di kebijakan grup, memperluas Konfigurasi komputer, memperluas Pengaturan Windows, memperluas Pengaturan keamanan, memperluas Kebijakan lokal, lalu klik Opsi keamanan.
2. Dalam daftar kebijakan tersedia, klik dua kali Keamanan jaringan: Jangan menyimpan nilai hash LAN Manager pada perubahan sandi selanjutnya.
3. Klik Aktif, lalu klik Oke.

Metode 2: Menerapkan kebijakan NoLMHash dengan mengedit registri

Pada Windows 2000 Paket Layanan 2 (SP2) dan kemudian, gunakan salah satu dari prosedur berikut untuk mencegah Windows menyimpan nilai hash LM pada perubahan sandi Anda berikutnya.

Windows 2000 SP2 dan kemudian

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
Penting The kunci registri dan fungsi yang tidak diuji atau didokumentasikan dan harus dianggap tidak aman untuk digunakan dalam produksi lingkungan sebelum Windows 2000 SP2.

Untuk menambahkan kunci ini dengan menggunakan Registry Editor, ikuti langkah berikut:

1. Mulai Penyunting Registri (Regedt32.exe).
2. Cari dan kemudian Klik kunci berikut:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Pada Mengedit menu, klik Tambahkan Kunci, jenis NoLMHash, kemudian tekan MASUKKAN.
4. Tutup Penyunting Registri.
5. Restart komputer, dan kemudian mengubah sandi Anda untuk membuat pengaturan aktif.

Catatan

• Perubahan kunci registri ini harus dilakukan pada semua domain Windows 2000 controller untuk menonaktifkan penyimpanan LM hash password milik pengguna dalam lingkungan Windows 2000 Active Directory.
• Kunci registri ini mencegah baru LM hash yang diciptakan pada komputer berbasis Windows 2000, tapi itu tidak jelas sejarah sebelumnya LM hash yang disimpan. Ada LM hash yang disimpan akan dihapus ketika Anda mengubah password.

Windows XP dan Windows Server 2003

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft: Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft: Untuk menambahkan nilai DWORD ini dengan menggunakan Registry Editor, ikuti langkah berikut:

1. Klik Mulai, klik Menjalankan, jenis regedit, lalu klik Oke.
2. Temukan kemudian klik kunci berikut dalam registri:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Pada Mengedit menu, titik Baru, lalu klik Nilai DWORD.
4. Jenis NoLMHash, kemudian tekan ENTER.
5. Pada Mengedit menu, klik Memodifikasi.
6. Jenis 1, dan kemudian Klik OK.
7. Restart komputer Anda, dan kemudian mengubah sandi Anda.

Catatan

• Perubahan registri ini harus dilakukan pada semua pengontrol domain Windows Server 2003 untuk menonaktifkan penyimpanan LM hash dari sandi pengguna di lingkungan Windows 2003 Active Directory. Jika Anda adalah domain administrator, Anda dapat menggunakan pengguna dan Active Directory konsol manajemen komputer Microsoft (MMC) untuk menggunakan kebijakan ini untuk semua pengontrol domain atau semua komputer di domain seperti yang dijelaskan dalam metode 1 (menerapkan kebijakan NoLMHash dengan menggunakan kebijakan grup).
• Nilai DWORD ini mencegah baru LM hash yang diciptakan pada komputer berbasis Windows XP dan Windows Server 2003 berbasis komputer. Sejarah semua sebelumnya LM hash dihapus ketika Anda menyelesaikan langkah ini.

Penting Jika Anda membuat template kustom kebijakan yang dapat digunakan pada Windows 2000 dan Windows XP atau Windows Server 2003, Anda dapat membuat kunci dan nilai. Nilai di tempat yang sama sebagai kunci, dan nilai 1 menonaktifkan LM hash penciptaan. Tombol upgrade ketika sistem Windows 2000 di-upgrade untuk Windows Server 2003. Namun, tidak apa-apa jika kedua pengaturan registri.

Metode 3: Gunakan Password yang setidaknya 15 karakter lama

Cara termudah untuk mencegah Windows menyimpan LM hash dari password Anda adalah dengan menggunakan sandi yang setidaknya 15 karakter. Dalam kasus ini, Windows menyimpan nilai hash LM yang tidak digunakan untuk mengotentikasi pengguna.