文書番号: 299656 - 最終更新日: 2007年12月3日 - リビジョン: 9.3 Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法この記事は、以前は次の ID で公開されていました: JP299656 重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986?
(http://support.microsoft.com/kb/256986/
)
Microsoft Windows レジストリの説明
目次概要
Windows において、ユーザー アカウント パスワードは、クリアテキストで保存されるのではなく、2 つの異なるパスワード表現を使用して生成され保存されます。それらの方法は、通常 "ハッシュ" と呼ばれます。15 文字より少ない文字数のパスワードでユーザー アカウントに対するパスワードを設定または変更すると、パスワードの LAN Manager ハッシュ (LM ハッシュ) と Windows NT ハッシュ (NT ハッシュ) の両方が Windows により生成されます。それらのハッシュは、ローカル セキュリティ アカウント マネージャ (SAM) データベースまたは Active Directory に保存されます。
LM ハッシュは、NT ハッシュと比較すると弱いため、総当たり方式の攻撃を受けやすくなる傾向があります。そのため、パスワードが LM ハッシュで保存されないように Windows を設定することが推奨されます。この資料では、その設定を行い、Windows でパスワードがより強力な NT ハッシュでのみ保存されるようにする方法について説明します。 詳細
Windows 2000 ベースのサーバーおよび Windows Server 2003 ベースのサーバーでは、以前のすべてのバージョンの Windows を実行しているコンピュータから接続するユーザーを認証することができます。ただし、Windows 2000 より前のバージョンの Windows では、認証に Kerberos は使用されません。下位互換性のため、Windows 2000 および Windows Server 2003 では、LAN Manager (LM) 認証、Windows NT (NTLM) 認証、および NTLM バージョン 2 (NTLMv2) 認証がサポートされます。NTLM、NTLMv2、および Kerberos 認証ではすべて Unicode ハッシュとも呼ばれる NT ハッシュが使用されます。LM 認証プロトコルでは、LM ハッシュが使用されます。
下位互換性が必要ない場合は、LM ハッシュでの保存を無効にすることをお勧めします。ネットワークに Windows 95、Windows 98、または Macintosh クライアントが含まれている場合は、ドメインで LM ハッシュの保存を無効にすると以下の問題が発生する可能性があります。
323455?
(http://support.microsoft.com/kb/323455/
)
Windows 98 のディレクトリ サービス クライアントの更新プログラム
Windows でパスワードの LM ハッシュを保存しないようにするには、以下のいずれかの方法を使用します。
方法 1 : グループ ポリシーを使用して NoLMHash ポリシーを実装するローカル グループ ポリシー (Windows XP または Windows Server 2003) を使用してローカル コンピュータの SAM データベースに、または Active Directory のグループ ポリシー (Windows Server 2003) を使用して Windows Server 2003 Active Directory 環境で、ユーザー パスワードの LM ハッシュを保存しないようにするには、以下の手順を実行します。
方法 2 : レジストリを編集して NoLMHash ポリシーを実装するWindows 2000 Service Pack 2 (SP2) 以降では、以下の手順のいずれかを使用して、次回のパスワード変更時に Windows により LM ハッシュの値が保存されないようにします。Windows 2000 SP2 以降警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。重要 : NoLMHash レジストリ キーとその機能は、テストまたは文書化されておらず、Windows 2000 SP2 より前の実稼働環境での使用は安全ではありません。 レジストリ エディタを使用してこのキーを追加するには、次の手順を実行します。
Windows XP および Windows Server 2003警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。レジストリ エディタを使用してこの DWORD 値を追加するには、次の手順を実行します。
方法 3 : 15 文字以上の長さのパスワードを使用するWindows でパスワードの LM ハッシュが保存されないようにする最も簡単な方法は、15 文字以上の長さのパスワードを使用することです。この場合、ユーザーの認証に使用できない LM ハッシュ値が Windows により保存されます。この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
|
| United States | Change | | | All Microsoft Sites |
Help and Support
先頭へ戻る
|
