Voorkomen dat Windows een LAN Manager-hash van uw wachtwoord opslaat in Active Directory en lokale SAM-databases

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 299656 - Bekijk de producten waarop dit artikel van toepassing is.
Belangrijk Dit artikel bevat informatie over het bewerken van het register. Voordat u het register gaat bewerken, moet u er een back-up van maken en moet u weten hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen of bewerken van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986Beschrijving van het Microsoft Windows-register
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Windows slaat het wachtwoord voor uw gebruikersaccount niet op als gewone tekst maar genereert en bewaart gebruikersaccountwachtwoorden met behulp van twee verschillende wachtwoordbeschrijvingen, algemeen bekend als 'hashes'. Wanneer u het wachtwoord voor een gebruikersaccount instelt als of wijzigt in een wachtwoord met minder dan 15 tekens, genereert Windows zowel een LM-hash (LAN Manager-hash) als een NT-hash (Windows NT-hash) van het wachtwoord. Deze hashes worden opgeslagen in de lokale SAM-database (Security Accounts Manager) of in Active Directory.

De LM-hash is relatief zwak in vergelijking met de NT-hash en is daarom gevoelig voor snelle, agressieve aanvallen. Daarom wilt u wellicht voorkomen dat Windows een LM-hash van uw wachtwoord opslaat. In dit artikel wordt beschreven hoe u ervoor kunt zorgen dat Windows alleen de sterkere NT-hash van uw wachtwoord opslaat.

Meer informatie

Windows 2000- en Windows Server 2003-servers kunnen gebruikers verifiëren die verbinding maken via computers waarop eerdere versies van Windows worden uitgevoerd. Eerdere Windows-versies dan Windows 2000 gebruiken geen Kerberos-verificatie. Windows 2000 en Windows Server 2003 ondersteunen LM-verificatie (LAN Manager), NTLM-verificatie (Windows NT) en NTLMv2-verificatie (NTLM versie 2) voor achterwaartse compatibiliteit. NTLM, NTLMv2 en Kerberos gebruiken alle drie de NT-hash, ook wel de Unicode-hash genoemd. Het LM-verificatieprotocol gebruikt de LM-hash.

Het is raadzaam opslag van de LM-hash te voorkomen als u deze niet nodig hebt voor achterwaartse compatibiliteit. Als uw netwerk Windows 95-, Windows 98- of Macintosh-clients bevat, kunnen de volgende problemen optreden als u opslag van LM-hashes voor uw domein voorkomt:
  • Gebruikers zonder LM-hash kunnen geen verbinding maken met een Windows 95- of Windows 98-computer die als server fungeert, tenzij de Directory Services-client voor Windows 95 en Windows 98 op de server is geïnstalleerd.
  • Gebruikers met een Windows 95- of Windows 98-computer kunnen niet door servers worden geverifieerd aan de hand van hun domein, tenzij de Directory Services-client op hun computer is geïnstalleerd.
  • Gebruikers met een Windows 95-of Windows 98-computer kunnen niet op een server worden geverifieerd aan de hand van een lokale account als de server LM-hashes heeft uitgeschakeld, tenzij de Directory Services-client op hun computer is geïnstalleerd.
  • Gebruikers kunnen hun domeinwachtwoord niet wijzigen vanaf een Windows 95- of Windows 98-computer, of gebruikers ondervinden vergrendelingsproblemen voor de account wanneer ze hun wachtwoord proberen te wijzigen vanaf deze vroegere clients.
  • Gebruikers van Macintosh Outlook 2001-clients hebben geen toegang tot hun postvakken op Microsoft Exchange-servers. De volgende fout wordt weergegeven in Outlook:
    De aanmeldingsgegevens zijn onjuist. Zorg ervoor dat de gebruikersnaam en het domein correct zijn en typ het wachtwoord opnieuw.
Als u meer informatie wilt over het verkrijgen van de Directory Services-client voor Windows 95 en Windows 98, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
323455Directory Services client-update voor Windows 98
U kunt op een van de volgende manieren voorkomen dat Windows een LM-hash van uw wachtwoord opslaat.

Methode 1: Implementeer het NoLMHash-beleid met behulp van groepsbeleid

Als u opslag van LM-hashes van gebruikerswachtwoorden in de SAM-database van de lokale computer wilt uitschakelen met behulp van lokaal groepsbeleid in Windows XP of Windows Server 2003 of met behulp van groepsbeleid in Active Directory in een Windows Server 2003 Active Directory-omgeving, voert u de volgende stappen uit:
  1. Open Groepsbeleid, vouw onder Computerconfiguratie achtereenvolgens Windows-instellingen, Beveiligingsinstellingen en Lokaal beleid uit en klik op Beveiligingsopties.
  2. Dubbelklik in de lijst van beschikbaar beleid op Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging.
  3. Klik op Ingeschakeld en klik op OK.

Methode 2: Implementeer het NoLMHash-beleid door het register te bewerken

In Windows 2000 Service Pack 2 (SP2) en nieuwer kunt u een van de volgende procedures gebruiken om te voorkomen dat Windows een LM-hash opslaat bij uw volgende wachtwoordwijziging.

Windows 2000 SP2 en nieuwer

Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.
Belangrijk De registersleutel
NoLMHash
en de functionaliteit daarvan is niet getest of gedocumenteerd en moet worden beschouwd als onveilig bij gebruik in vroegere productieomgevingen dan Windows 2000 SP2.

Ga als volgt te werk om deze sleutel toe te voegen met behulp van de Register-editor:
  1. Start de Register-editor (Regedt32.exe).
  2. Zoek de volgende sleutel en klik erop:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Open het menu Bewerken, klik op Sleutel toevoegen, typ NoLMHash en druk op Enter.
  4. Sluit de Register-editor af.
  5. Start de computer opnieuw op en wijzig uw wachtwoord om de instelling te activeren.
Opmerkingen
  • Deze wijziging van de registersleutel moet worden uitgevoerd op alle Windows 2000-domeincontrollers om de opslag van LM-hashes van gebruikerswachtwoorden in een Windows 2000 Active Directory-omgeving uit te schakelen.
  • Deze registersleutel voorkomt dat nieuwe LM-hashes worden gemaakt op Windows 2000-computers, maar wist niet de geschiedenis van eerder opgeslagen LM-hashes. Bestaande LM-hashes die zijn opgeslagen, worden verwijderd wanneer u wachtwoorden wijzigt.

Windows XP en Windows Server 2003

Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.
Ga als volgt te werk om deze DWORD-waarde toe te voegen met behulp van de Register-editor:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Selecteer de volgende registersleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ NoLMHash en druk op Enter.
  5. Open het menu Bewerken en klik op Wijzigen.
  6. Typ 1 en klik op OK.
  7. Start de computer opnieuw op en wijzig uw wachtwoord.
Opmerkingen
  • Deze registerwijziging moet worden uitgevoerd op alle Windows Server 2003-domeincontrollers om de opslag van LM-hashes van gebruikerswachtwoorden in een Windows 2003 Active Directory-omgeving uit te schakelen. Als u domeinbeheerder bent, kunt u met de MMC-module (Microsoft Management Console) Active Directory: gebruikers en computers dit beleid implementeren voor alle domeincontrollers of alle computers in het domein. Hiervoor gebruikt u methode 1 (Implementeer het NoLMHash-beleid met behulp van groepsbeleid).
  • Deze DWORD-waarde voorkomt dat nieuwe LM-hashes worden gemaakt op Windows XP- en Windows Server 2003-computers. De geschiedenis van alle eerdere LM-hashes wordt gewist nadat u deze stappen hebt voltooid.
Belangrijk Als u een aangepaste beleidssjabloon maakt die kan worden gebruikt voor zowel Windows 2000 als Windows XP of Windows Server 2003, kunt u zowel de sleutel als de waarde maken. De waarde bevindt zich op dezelfde plaats als de sleutel en de waarde 1 schakelt het maken van LM-hashes uit. De sleutel wordt bijgewerkt wanneer een Windows 2000-systeem wordt bijgewerkt naar Windows Server 2003. Het is echter geen probleem als beide instellingen in het register aanwezig zijn.

Methode 3: Gebruik een wachtwoord van ten minste 15 tekens

De meest eenvoudige manier om te voorkomen dat Windows een LM-hash van uw wachtwoord opslaat, is door een wachtwoord van ten minste 15 tekens te gebruiken. In dat geval slaat Windows een LM-hash op die niet kan worden gebruikt om de gebruiker te verifiëren.

Eigenschappen

Artikel ID: 299656 - Laatste beoordeling: maandag 3 december 2007 - Wijziging: 9.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Trefwoorden: 
kbinfo kbenv kbnetwork KB299656

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com