Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

文書翻訳 文書翻訳
文書番号: 299656 - 対象製品
この記事は、以前は次の ID で公開されていました: JP299656
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

Windows において、ユーザー アカウント パスワードは、クリアテキストで保存されるのではなく、2 つの異なるパスワード表現を使用して生成され保存されます。それらの方法は、通常 "ハッシュ" と呼ばれます。15 文字より少ない文字数のパスワードでユーザー アカウントに対するパスワードを設定または変更すると、パスワードの LAN Manager ハッシュ (LM ハッシュ) と Windows NT ハッシュ (NT ハッシュ) の両方が Windows により生成されます。それらのハッシュは、ローカル セキュリティ アカウント マネージャ (SAM) データベースまたは Active Directory に保存されます。

LM ハッシュは、NT ハッシュと比較すると弱いため、総当たり方式の攻撃を受けやすくなる傾向があります。そのため、パスワードが LM ハッシュで保存されないように Windows を設定することが推奨されます。この資料では、その設定を行い、Windows でパスワードがより強力な NT ハッシュでのみ保存されるようにする方法について説明します。

詳細

Windows 2000 ベースのサーバーおよび Windows Server 2003 ベースのサーバーでは、以前のすべてのバージョンの Windows を実行しているコンピュータから接続するユーザーを認証することができます。ただし、Windows 2000 より前のバージョンの Windows では、認証に Kerberos は使用されません。下位互換性のため、Windows 2000 および Windows Server 2003 では、LAN Manager (LM) 認証、Windows NT (NTLM) 認証、および NTLM バージョン 2 (NTLMv2) 認証がサポートされます。NTLM、NTLMv2、および Kerberos 認証ではすべて Unicode ハッシュとも呼ばれる NT ハッシュが使用されます。LM 認証プロトコルでは、LM ハッシュが使用されます。

下位互換性が必要ない場合は、LM ハッシュでの保存を無効にすることをお勧めします。ネットワークに Windows 95、Windows 98、または Macintosh クライアントが含まれている場合は、ドメインで LM ハッシュの保存を無効にすると以下の問題が発生する可能性があります。
  • サーバーとして動作している Windows 95 ベースのコンピュータまたは Windows 98 ベースのコンピュータに Windows 95 および Windows 98 用のディレクトリ サービス クライアントがインストールされていない場合、LM ハッシュを無効にしているユーザーはそれらのサーバーに接続できません。
  • Windows 95 ベースのコンピュータまたは Windows 98 ベースのコンピュータにディレクトリ サービス クライアントがインストールされていない場合、それらのコンピュータ上のユーザーは、ドメイン アカウントを使用してサーバーの認証を受けることができません。
  • Windows 95 ベースのコンピュータまたは Windows 98 ベースのコンピュータにディレクトリ サービス クライアントがインストールされていない場合、それらのコンピュータ上のユーザーは、LM ハッシュが無効になっているサーバーでローカル アカウントを使用して認証を受けることができません。
  • ユーザーが、Windows 95 ベースのコンピュータまたは Windows 98 ベースのコンピュータからドメイン パスワードを変更できないか、パスワードを変更しようとするとアカウント ロックアウトの問題が発生することがあります。
  • Macintosh Outlook 2001 クライアントのユーザーが、Microsoft Exchange サーバー上のメールボックスにアクセスできないことがあります。Outlook で次のエラーが表示されることがあります。
    指定したログオン情報が不正です。ユーザー名とドメイン名を確認して、再度パスワードを入力してください。
Windows 95 と Windows 98 のディレクトリ サービス クライアントを入手する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323455 Windows 98 のディレクトリ サービス クライアントの更新プログラム
Windows でパスワードの LM ハッシュを保存しないようにするには、以下のいずれかの方法を使用します。

方法 1 : グループ ポリシーを使用して NoLMHash ポリシーを実装する

ローカル グループ ポリシー (Windows XP または Windows Server 2003) を使用してローカル コンピュータの SAM データベースに、または Active Directory のグループ ポリシー (Windows Server 2003) を使用して Windows Server 2003 Active Directory 環境で、ユーザー パスワードの LM ハッシュを保存しないようにするには、以下の手順を実行します。
  1. グループ ポリシーで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] を順に展開して、[セキュリティ オプション] をクリックします。
  2. 使用可能なポリシーの一覧で、[ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない] をダブルクリックします。
  3. [有効] をクリックし、[OK] をクリックします。

方法 2 : レジストリを編集して NoLMHash ポリシーを実装する

Windows 2000 Service Pack 2 (SP2) 以降では、以下の手順のいずれかを使用して、次回のパスワード変更時に Windows により LM ハッシュの値が保存されないようにします。

Windows 2000 SP2 以降

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
重要 :
NoLMHash
レジストリ キーとその機能は、テストまたは文書化されておらず、Windows 2000 SP2 より前の実稼働環境での使用は安全ではありません。

レジストリ エディタを使用してこのキーを追加するには、次の手順を実行します。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 以下のレジストリ キーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. [編集] メニューで [キーの追加] をクリックし、NoLMHash と入力し、Enter キーを押します。
  4. レジストリ エディタを終了します。
  5. コンピュータを再起動し、パスワードを変更して設定を有効にします。
  • Windows 2000 Active Directory 環境でユーザー パスワードの LM ハッシュの保存を無効にするためには、すべての Windows 2000 ドメイン コントローラ上で、このレジストリ キーの変更を行う必要があります。
  • このレジストリ キーにより、新しい LM ハッシュは Windows 2000 ベースのコンピュータ上で作成されなくなりますが、保存されている以前の LM ハッシュの履歴は消去されません。保存されている既存の LM ハッシュは、パスワードを変更すると削除されます。

Windows XP および Windows Server 2003

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
レジストリ エディタを使用してこの DWORD 値を追加するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ キーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. NoLMHash と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] をクリックします。
  6. 1 と入力し、[OK] をクリックします。
  7. コンピュータを再起動し、パスワードを変更します。
  • Windows Server 2003 Active Directory 環境でユーザー パスワードの LM ハッシュの保存を無効にするためには、すべての Windows Server 2003 ドメイン コントローラ上でこのレジストリ変更を行う必要があります。ドメイン管理者は、「方法 1 : グループ ポリシーを使用して NoLMHash ポリシーを実装する」に記載されているように、Active Directory ユーザーとコンピュータ Microsoft 管理コンソール (MMC) を使用して、このポリシーをすべてのドメイン コントローラ、またはドメイン上のすべてのコンピュータに展開できます
  • この DWORD 値により、新しい LM ハッシュは Windows XP ベースのコンピュータおよび Windows Server 2003 ベースのコンピュータ上で作成されなくなります。以前のすべての LM ハッシュの履歴は、この手順の完了時に消去されます。
重要 : Windows 2000 と、Windows XP または Windows Server 2003 の両方で使用可能なカスタム ポリシー テンプレートを作成する場合、キーと値の両方を作成できます。値はキーと同じ場所に存在し、値が 1 の場合、LM ハッシュの作成が無効になります。Windows 2000 システムから Windows Server 2003 へのアップグレード時、このキーもアップグレードされます。ただし、レジストリ内に両方の設定が存在していても問題はありません。

方法 3 : 15 文字以上の長さのパスワードを使用する

Windows でパスワードの LM ハッシュが保存されないようにする最も簡単な方法は、15 文字以上の長さのパスワードを使用することです。この場合、ユーザーの認証に使用できない LM ハッシュ値が Windows により保存されます。

プロパティ

文書番号: 299656 - 最終更新日: 2007年12月3日 - リビジョン: 9.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kbinfo kbenv kbnetwork KB299656
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com