Jak zapobiec przechowywaniu przez system Windows wartości mieszania programu LAN Manager dla hasła użytkownika w usłudze Active Directory i w lokalnych bazach danych SAM

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 299656 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ważne: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące tworzenia kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Zamiast przechowywać hasło konta użytkownika w postaci zwykłego tekstu, system Windows generuje i przechowuje hasła kont użytkowników za pomocą dwóch różnych reprezentacji hasła, nazywanych powszechnie „wartościami mieszania” (hash). W przypadku ustawienia lub zmiany hasła dla konta użytkownika na hasło zawierające mniej niż 15 znaków system Windows generuje zarówno wartość mieszania programu LAN Manager (wartość mieszania LM), jak i wartość mieszania systemu Windows NT (wartość mieszania NT) dla hasła. Te wartości mieszania są przechowywane w lokalnej bazie danych SAM (Security Accounts Manager) lub w usłudze Active Directory.

Wartość mieszania LM jest stosunkowo słaba w porównaniu z wartością mieszania NT i dlatego jest podatna na szybki atak „siłowy”. Z tego powodu celowe może być wyłączenie przechowywania przez system Windows wartości mieszania LM hasła. W tym artykule opisano, co zrobić, aby system Windows przechowywał wyłącznie silniejszą wartość mieszania NT hasła użytkownika.

Więcej informacji

Serwery z systemem Windows 2000 i serwery z systemem Windows Server 2003 mogą uwierzytelniać użytkowników, którzy łączą się z komputerów ze starszymi wersjami systemu Windows. Jednak wersje systemu Windows starsze niż Windows 2000 nie używają do uwierzytelniania protokołu Kerberos. Ze względu na zgodność ze starszymi wersjami systemy Windows 2000 i Windows Server 2003 obsługują uwierzytelnianie programu LAN Manager (LM), uwierzytelnianie systemu Windows NT (NTLM) oraz uwierzytelnianie NTLM w wersji 2 (NTLMv2). W przypadku uwierzytelniania NTLM, NTLMv2 i Kerberos jest używana wartość mieszania NT, nazywana również wartością mieszania Unicode. Protokół uwierzytelniania LM używa wartości mieszania LM.

Jeśli zgodność ze starszymi wersjami nie jest wymagana, najlepiej jest wyłączyć przechowywanie wartości mieszania LM. Jeśli sieć obejmuje klientów systemu Windows 95, Windows 98 lub Macintosh, to po wyłączeniu przechowywania wartości mieszania LM dla danej domeny mogą występować następujące problemy:
  • Użytkownicy bez wartości mieszania LM nie będą w stanie połączyć się z komputerem z systemem Windows 95 lub z komputerem z systemem Windows 98 działającym jako serwer, o ile na tym serwerze nie zostanie zainstalowany program Directory Services Client dla systemów Windows 95 i Windows 98.
  • Użytkownicy komputerów z systemem Windows 95 lub komputerów z systemem Windows 98 nie będą w stanie uwierzytelnić się przed serwerami za pomocą swoich kont domeny, o ile na ich komputerach nie zostanie zainstalowany program Directory Services Client.
  • Użytkownicy komputerów z systemem Windows 95 lub komputerów z systemem Windows 98 nie będą w stanie uwierzytelnić się za pomocą konta lokalnego na serwerze, jeśli serwer ma wyłączone wartości mieszania LM, o ile na ich komputerach nie zostanie zainstalowany program Directory Services Client.
  • Użytkownicy mogą nie być w stanie zmienić swoich haseł domeny z komputera z systemem Windows 95 lub z komputera z systemem Windows 98 lub mogą napotykać problemy blokowania konta przy próbie zmiany swoich haseł z tych starszych klientów.
  • Użytkownicy klientów programu Macintosh Outlook 2001 mogą nie być w stanie uzyskać dostępu do swoich skrzynek pocztowych na serwerach Microsoft Exchange. Użytkownicy mogą napotykać następujący błąd w programie Outlook:
    Podane poświadczenia logowania były nieprawidłowe. Upewnij się, czy nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.
Aby zapobiec przechowywaniu przez system Windows wartości mieszania LM własnego hasła, zastosuj jedną z następujących metod:

Metoda 1: Zaimplementuj zasadę NoLMHash za pomocą zasad grupy

Aby wyłączyć przechowywanie wartości mieszania LM haseł użytkownika w bazie danych SAM komputera lokalnego za pomocą lokalnych zasad grupy (system Windows XP lub Windows Server 2003) lub w środowisku usługi Windows Server 2003 Active Directory za pomocą zasad grupy w usłudze Active Directory (system Windows Server 2003), wykonaj następujące kroki:
  1. W przystawce Zasady grupy rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
  2. Na liście dostępnych zasad kliknij dwukrotnie pozycję Zabezpieczenia sieciowe: nie przechowuj wartości mieszania (hash) programu LAN Manager dla następnej zmiany hasła.
  3. Kliknij opcję Włączone, a następnie kliknij przycisk OK.

Metoda 2: Zaimplementuj zasadę NoLMHash za pomocą Edytora rejestru

W systemie Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszej wersji systemu Windows wykonaj jedną z następujących procedur, aby system Windows nie przechowywał wartości mieszania LM po następnej zmianie hasła.

System Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowsza wersja systemu Windows

Ostrzeżenie: Nieprawidłowe wykorzystanie Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru. Możesz używać Edytora rejestru na własną odpowiedzialność.
Ważne: Klucz rejestru
NoLMHash
i jego funkcje nie były testowane ani dokumentowane i powinny być uważane za niepewne w środowiskach użytkowych z systemem starszym niż Windows 2000 z dodatkiem SP2.

Aby dodać ten klucz za pomocą Edytora rejestru, wykonaj następujące kroki:
  1. Uruchom Edytor rejestru (Regedt32.exe).
  2. Zlokalizuj i kliknij następujący klucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Kliknij menu Edycja, kliknij polecenie Dodaj klucz, wpisz NoLMHash, a następnie naciśnij klawisz ENTER.
  4. Zamknij Edytor rejestru.
  5. Uruchom ponownie komputer, a następnie zmień swoje hasło, aby uaktywnić nowe ustawienie.
Uwagi:
  • Aby wyłączyć przechowywanie wartości mieszania LM haseł użytkowników w środowisku usługi Windows 2000 Active Directory, tej zmiany klucza rejestru trzeba dokonać na wszystkich kontrolerach domeny z systemem Windows 2000.
  • Ten klucz rejestru zapobiega tworzeniu nowych wartości mieszania LM na komputerach z systemem Windows 2000, ale nie czyści historii poprzednich wartości mieszania LM, które są przechowywane. Istniejące wartości mieszania LM, które są przechowywane, zostaną usunięte po zmianie haseł.

Systemy Windows XP i Windows Server 2003

Ostrzeżenie: Nieprawidłowe wykorzystanie Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru. Możesz używać Edytora rejestru na własną odpowiedzialność.:
Aby dodać tę wartość DWORD za pomocą Edytora rejestru, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj, a następnie kliknij następujący klucz w rejestrze:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz NoLMHash, a następnie naciśnij klawisz ENTER.
  5. W menu Edycja kliknij polecenie Modyfikuj.
  6. Wpisz wartość 1, a następnie kliknij przycisk OK.
  7. Uruchom ponownie komputer, a następnie zmień swoje hasło.
Uwagi:
  • Aby wyłączyć przechowywanie wartości mieszania LM haseł użytkowników w środowisku usługi Windows 2003 Active Directory, tej zmiany rejestru trzeba dokonać na wszystkich kontrolerach domeny z systemem Windows Server 2003. Jeśli jesteś administratorem domeny, możesz użyć przystawki Użytkownicy i komputery usługi Active Directory programu Microsoft Management Console (MMC) w celu wdrożenia tej zasady na wszystkich kontrolerach domeny lub na wszystkich komputerach w domenie w sposób opisany w metodzie 1 (Zaimplementuj zasadę NoLMHash za pomocą zasad grupy).
  • Ta wartość DWORD zapobiega tworzeniu nowych wartości mieszania LM na komputerach z systemem Windows XP i na komputerach z systemem Windows Server 2003. Wykonanie tych kroków powoduje, że historia wszystkich poprzednich wartości mieszania LM zostaje wyczyszczona.
Ważne: Jeśli tworzysz niestandardowy szablon zasad, który może być używany zarówno w systemach Windows 2000 i Windows XP, jak i w systemie Windows Server 2003, możesz utworzyć klucz i wartość. Wartość znajduje się w tym samym miejscu, co klucz, i wartość 1 wyłącza tworzenie wartości mieszania LM. Klucz jest uaktualniany w przypadku uaktualnienia systemu Windows 2000 do systemu Windows Server 2003. Jednak nic nie stoi na przeszkodzie, aby oba te ustawienia znajdowały się w rejestrze.

Metoda 3: Użyj hasła zawierającego przynajmniej 15 znaków

Najprostszym sposobem wyłączenia przechowywania przez system Windows wartości mieszania LM hasła jest użycie hasła zawierającego przynajmniej 15 znaków. W takim przypadku system Windows przechowuje wartość mieszania LM, która nie może zostać użyta do uwierzytelnienia użytkownika.

Właściwości

Numer ID artykułu: 299656 - Ostatnia weryfikacja: 3 grudnia 2007 - Weryfikacja: 9.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Słowa kluczowe: 
kbinfo kbenv kbnetwork KB299656

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com