Come impedire a Windows di archiviare un hash di LAN Manager per la password in Active Directory e nei database SAM

Identificativo articolo: 299656 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986
(http://support.microsoft.com/kb/256986/ )
Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Anziché archiviare la password dell'account utente in formato non crittografato, Windows genera e archivia le password dell'account utente utilizzando due diverse rappresentazioni delle password, comunemente note come "hash". Quando si imposta o si modifica la password per un account utente specificando una password contenente meno di 15 caratteri, Windows genera un hash di LAN Manager (hash LM) e un hash di Windows NT (hash NT) della password. Tali hash vengono archiviati nel database SAM (Gestione account di protezione) locale o in Active Directory.

L'hash LM è relativamente vulnerabile rispetto a quello NT, pertanto più soggetto ad attacchi a forza bruta. È quindi consigliabile impedire a Windows di archiviare un hash LM della password. In questo articolo viene descritto come effettuare questa operazione in modo che Windows archivi solo l'hash NT più complesso della password.
Torna all'inizio | Invia suggerimenti

Informazioni

I server basati su Windows 2000 e Windows Server 2003 sono in grado di autenticare gli utenti che si connettono da computer in cui vengono eseguite tutte le versioni precedenti di Windows. Nelle versioni di Windows precedenti a Windows 2000 non viene tuttavia utilizzata l'autenticazione Kerberos. Per garantire la compatibilità con le versioni precedenti, in Windows 2000 e Windows Server 2003 sono supportate le autenticazioni LAN Manager (LM), Windows NT (NTLM) e NTLM versione 2 (NTLMv2). Le autenticazioni NTLM, NTLMv2 e Kerberos sono tutte basate sull'hash NT, noto anche come hash Unicode. Per il protocollo di autenticazione LM viene invece utilizzato l'hash LM.

A meno che non sia necessario per garantire la compatibilità con le versioni precedenti, è preferibile impedire l'archiviazione dell'hash LM. Se la rete include client Windows 95, Windows 98 o Macintosh, è possibile riscontrare i seguenti problemi se si impedisce l'archiviazione degli hash LM per il dominio corrente:
  • Gli utenti che non dispongono di un hash LM non saranno in grado di connettersi a un computer basato su Windows 95 o Windows 98 che funge da server a meno che nel server non sia installato il client servizio directory per Windows 95 e Windows 98.
  • Gli utenti di computer basati su Windows 95 o Windows 98 non saranno in grado di eseguire l'autenticazione ai server utilizzando il relativo account di dominio a meno che nei computer non sia installato il client servizio directory.
  • Gli utenti di computer basati su Windows 95 o Windows 98 non saranno in grado di eseguire l'autenticazione utilizzando un account locale su un server se nel server sono stati disattivati gli hash LM, a meno che nei computer non sia installato il client servizio directory.
  • È possibile che gli utenti non possano modificare le password di dominio da un computer basato su Windows 95 o Windows 98 oppure che riscontrino problemi di blocco degli account quando provano a modificare le password da questi client precedenti.
  • È possibile che gli utenti di client Macintosh Outlook 2001 non siano in grado di accedere alle cassette postali in server Microsoft Exchange. È possibile che venga visualizzato il seguente errore in Outlook:
    Credenziali di accesso non valide. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare nuovamente la password.
Per impedire a Windows di archiviare un hash LM della password, utilizzare uno qualsiasi dei seguenti metodi.

Metodo 1: implementazione del criterio NoLMHash tramite Criteri di gruppo

Per disattivare l'archiviazione di hash LM delle password di un utente nel database SAM del computer locale tramite Criteri gruppo locale (Windows XP o Windows Server 2003) o in un ambiente Active Directory di Windows Server 2003 tramite Criteri di gruppo in Active Directory (Windows Server 2003), attenersi alla seguente procedura:
  1. In Criteri di gruppo espandere Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri locali, quindi fare clic su Opzioni di protezione.
  2. Nell'elenco dei criteri disponibili fare doppio clic su Accesso di rete: non memorizzare il valore hash di LAN Manager al prossimo cambio di password.
  3. Fare clic sull'opzione di attivazione, quindi scegliere OK.

Metodo 2: implementazione del criterio NoLMHash mediante la modifica del Registro di sistema

In Windows 2000 Service Pack 2 (SP2) e versioni successive, utilizzare una delle procedure riportate di seguito per impedire a Windows di archiviare un valore hash LM al successivo cambio di password.

Windows 2000 SP2 e versioni successive

Avviso L'errato utilizzo dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.
Importante La chiave del Registro di sistema
NoLMHash
e la relativa funzionalità non sono state testate o documentate, pertanto devono essere considerate non sicure in ambienti di produzione anteriori a Windows 2000 SP2.

Per aggiungere questa chiave utilizzando l'editor del Registro di sistema, effettuare le seguenti operazioni:
  1. Avviare l'editor del Registro di sistema (Regedt32.exe).
  2. Individuare e selezionare la seguente chiave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Scegliere Aggiungi chiave dal menu Modifica, quindi digitare NoLMHash e premere INVIO.
  4. Chiudere l'editor del Registro di sistema.
  5. Riavviare il computer, quindi cambiare la password per attivare l'impostazione.
Note
  • Per disattivare l'archiviazione degli hash LM di password utente in un ambiente Active Directory di Windows 2000, è necessario apportare questa modifica alla chiave del Registro di sistema in tutti i controller di dominio Windows 2000.
  • Tale chiave del Registro di sistema impedisce infatti la creazione di nuovi hash LM in computer basati su Windows 2000, senza tuttavia cancellare la cronologia degli hash LM archiviati in precedenza. Gli hash LM esistenti archiviati verranno rimossi quando si cambiano le password.

Windows XP e Windows Server 2003

AVVISO: l'errato utilizzo dell'editor del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.
Per aggiungere questo valore DWORD utilizzando l'editor del Registro di sistema, effettuare le seguenti operazioni:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
  4. Digitare NoLMHash e premere INVIO.
  5. Scegliere Modifica dal menu Modifica.
  6. Digitare 1, quindi scegliere OK.
  7. Riavviare il computer e cambiare la password.
Note
  • Per disattivare l'archiviazione degli hash LM di password utente in un ambiente Active Directory di Windows 2003, è necessario apportare questa modifica alla chiave del Registro di sistema in tutti i controller di dominio Windows Server 2003. Se si è amministratore del dominio è possibile utilizzare lo snap-in Utenti e computer di Active Directory in Microsoft Management Console (MMC) per distribuire questo criterio in tutti i controller di dominio o in tutti i computer del dominio come descritto nel Metodo 1 (Implementazione del criterio NoLMHash tramite Criteri di gruppo).
  • Questo valore DWORD impedisce la creazione di nuovi hash LM in computer basati su Windows XP e Windows Server 2003. La cronologia di tutti gli hash LM precedenti viene cancellata dopo il completamento di questa procedura.
Importante Se si intende creare un modello criteri personalizzato utilizzabile sia in Windows 2000 che in Windows XP o Windows Server 2003, è possibile creare sia la chiave che il valore. Il valore è disponibile nella stessa posizione della chiave ed è sufficiente specificare il valore 1 per disattivare la creazione di hash LM. La chiave viene aggiornata quando si aggiorna un sistema Windows 2000 a Windows Server 2003. Entrambe le impostazioni possono coesistere nel Registro di sistema.

Metodo 3: utilizzo di una password costituita da almeno 15 caratteri

Il metodo più semplice per impedire a Windows di archiviare un hash LM della password consiste nell'utilizzare una password lunga almeno 15 caratteri. In questo caso, il valore hash LM archiviato non potrà essere utilizzato per autenticare l'utente in Windows.
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 299656 - Ultima modifica: lunedì 3 dicembre 2007 - Revisione: 9.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition versione 2002
  • Microsoft Windows XP 64-Bit Edition versione 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Chiavi: 
kbinfo kbenv kbnetwork KB299656
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio