Come impedire a Windows di archiviare un hash di gestione LAN della password in Active Directory e nei database SAM locali

  • Articolo

Questo articolo fornisce tre metodi per impedire a Windows di archiviare un hash LAN Manager (LM) della password nei database di Active Directory e sam (Security Accounts Manager) locali.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 299656

Riepilogo

Windows non archivia la password dell'account utente in testo non crittografa. Al contrario, genera e archivia le password dell'account utente usando due diverse rappresentazioni delle password, note come hash. Quando si imposta o si modifica la password per un account utente in una password che contiene meno di 15 caratteri, Windows genera sia un hash LM che un hash Windows NT (hash NT) della password. Questi hash vengono archiviati nel database SAM locale o in Active Directory.

L'hash LM è relativamente debole rispetto all'hash NT ed è soggetto a attacchi di forza bruta veloci. È quindi possibile impedire a Windows di archiviare un hash LM della password. Questo articolo descrive come fare in modo che Windows archivi solo l'hash NT più potente della password.

Ulteriori informazioni

I server Windows 2000 e Windows Server 2003 possono autenticare gli utenti che si connettono da computer che eseguono versioni precedenti di Windows. Tuttavia, le versioni di Windows precedenti a Windows 2000 non usano Kerberos per l'autenticazione. Per la compatibilità con le versioni precedenti, supporto per Windows 2000 e Windows Server 2003:

  • Autenticazione LM
  • Autenticazione di Windows NT (NTLM)
  • Autenticazione NTLM versione 2 (NTLMv2)

NTLM, NTLMv2 e Kerberos usano tutti l'hash NT, noto anche come hash Unicode. Il protocollo di autenticazione LM usa l'hash LM.

È consigliabile impedire l'archiviazione dell'hash LM se non è necessario per la compatibilità con le versioni precedenti. Se la rete contiene client Windows 95, Windows 98 o Macintosh, è possibile che si verifichino i problemi seguenti quando si impedisce l'archiviazione degli hash LM per il dominio:

  • Gli utenti senza un hash LM non possono connettersi a un computer Windows 95 o Windows 98 che funge da server. Questo problema non si verifica se il client di Servizi directory per Windows 95 e Windows 98 è installato nel server.
  • Gli utenti nei computer Windows 95 o Windows 98 non possono eseguire l'autenticazione nei server usando il proprio account di dominio. Questo problema non si verifica se nel computer degli utenti è installato il client di Servizi directory.
  • Gli utenti nei computer Windows 95 o Windows 98 non possono eseguire l'autenticazione usando un account locale in un server con hash LM disabilitati. Questo problema non si verifica se nel computer degli utenti è installato il client di Servizi directory.
  • Gli utenti non possono modificare le password di dominio da un computer Windows 95 o Windows 98. In alternativa, gli utenti potrebbero riscontrare problemi di blocco dell'account quando provano a modificare le password da questi client precedenti.
  • Gli utenti dei client Macintosh Outlook 2001 non possono accedere alle cassette postali nei server di Microsoft Exchange. Gli utenti potrebbero visualizzare l'errore seguente in Outlook:

    Le credenziali di accesso specificate non erano corrette. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare di nuovo la password.

Per impedire a Windows di archiviare un hash LM della password, usare uno dei metodi seguenti.

Metodo 1: implementare i criteri NoLMHash usando Criteri di gruppo

Per disabilitare l'archiviazione degli hash LM delle password di un utente nel database SAM del computer locale in Windows XP o Windows Server 2003, usare Local Criteri di gruppo. Per disabilitare l'archiviazione degli hash LM delle password di un utente in un ambiente Windows Server 2003 Active Directory, usare Criteri di gruppo in Active Directory. attenersi alla seguente procedura:

  1. In Criteri di gruppo espandere Configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Criteri>locali e quindi selezionare Opzioni di sicurezza.
  2. Nell'elenco dei criteri disponibili fare doppio clic su Sicurezza di rete: Non archiviare il valore hash di LAN Manager alla successiva modifica della password.
  3. Selezionare Abilitato>OK.

Metodo 2: Implementare i criteri NoLMHash modificando il Registro di sistema

In Windows 2000 Service Pack 2 (SP2) e versioni successive, usare una delle procedure seguenti per impedire a Windows di archiviare un valore hash LM nella modifica della password successiva.

Windows 2000 SP2 e versioni successive

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni sull'esecuzione del backup e del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

La chiave del Registro di sistema NoLMHash e le relative funzionalità non sono state testate o documentate e devono essere considerate non sicure da usare negli ambienti di produzione prima di Windows 2000 SP2.

Per aggiungere questa chiave usando Editor del Registro di sistema, seguire questa procedura:

  1. Avviare Editor del Registro di sistema (Regedt32.exe).

  2. Individuare e quindi selezionare la chiave seguente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Nel menu Modifica fare clic su Aggiungi tasto, digitare NoLMHashe quindi premere INVIO.

  4. Uscire dall'editor del Registro di sistema.

  5. Riavviare il computer e quindi modificare la password per rendere attiva l'impostazione.

Nota

  • Questa modifica della chiave del Registro di sistema deve essere apportata in tutti i controller di dominio di Windows 2000 per disabilitare l'archiviazione degli hash LM delle password degli utenti in un ambiente Active Directory windows 2000.
  • Questa chiave del Registro di sistema impedisce la creazione di nuovi hash LM nei computer Windows 2000. Ma non cancella la cronologia degli hash LM precedenti archiviati. Gli hash LM esistenti archiviati verranno rimossi quando si modificano le password.

Windows XP e Windows Server 2003

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni sull'esecuzione del backup e del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Per aggiungere questo valore DWORD usando Editor del Registro di sistema, seguire questa procedura:

  1. Selezionare Avvia>esecuzione, digitare regedit e quindi fare clic su OK.

  2. Individuare e selezionare la chiave seguente nel Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare NoLMHash, quindi premere INVIO.

  5. Dal menu Modifica, selezionare Modifica.

  6. Digitare 1 e quindi selezionare OK.

  7. Riavviare il computer e quindi modificare la password.

Nota

  • Questa modifica del Registro di sistema deve essere apportata a tutti i controller di dominio di Windows Server 2003 per disabilitare l'archiviazione degli hash LM delle password degli utenti in un ambiente Windows 2003 Active Directory. Gli amministratori di dominio possono usare Utenti e computer di Active Directory Microsoft Management Console (MMC) per distribuire questo criterio a tutti i controller di dominio o a tutti i computer del dominio come descritto in Metodo 1 (Implementare i criteri NoLMHash usando Criteri di gruppo).
  • Questo valore DWORD impedisce la creazione di nuovi hash LM nei computer basati su Windows XP e nei computer basati su Windows Server 2003. La cronologia di tutti gli hash LM precedenti viene cancellata al termine di questi passaggi.

Importante

Se si crea un modello di criteri personalizzato che può essere usato sia in Windows 2000 che in Windows XP o Windows Server 2003, è possibile creare sia la chiave che il valore. Il valore si trova nella stessa posizione della chiave e il valore 1 disabilita la creazione dell'hash LM. La chiave viene aggiornata quando un sistema Windows 2000 viene aggiornato a Windows Server 2003. Tuttavia, è possibile che entrambe le impostazioni siano presenti nel Registro di sistema.

Metodo 3: Usare una password lunga almeno 15 caratteri

Il modo più semplice consiste nell'usare una password lunga almeno 15 caratteri. In questo caso, Windows archivia un valore hash LM che non può essere usato per autenticare l'utente.