Como impedir que o Windows armazene um hash LAN manager da sua senha no Active Directory e nos bancos de dados SAM locais

Traduções deste artigo Traduções deste artigo
ID do artigo: 299656 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Em vez de armazenar a senha da sua conta de usuário em texto sem formatação, o Windows gera e armazena as senhas de conta de usuário usando duas representações de senha diferentes, geralmente conhecidas como "hashes". Ao definir ou alterar a senha de uma conta de usuário para uma senha que contém menos de 15 caracteres, o Windows gera um hash do LM hash (LAN Manager) e um NT hash (hash do Windows NT) da senha. Estes hashes são armazenados no banco de dados SAM (Gerenciador de contas de segurança) local ou no Active Directory.

O LM hash é relativamente fraco se comparado ao NT hash e, por isso, tende ao ataque forçado rápido. Portanto, é possível impedir que o Windows armazene um LM hash da sua senha. Este artigo descreve como fazer isso de modo que o Windows armazene apenas o NT hash mais forte da sua senha.

Mais Informações

Servidores com o Windows 2000 e com o Windows Server 2003 podem autenticar usuários que se conectam de computadores executando todas as versões anteriores do Windows. No entanto, as versões do Windows anteriores ao Windows 2000 não usam o Kerberos para autenticação. Para a compatibilidade com versões anteriores, o Windows 2000 e o Windows Server 2003 são compatíveis com a autenticação LM (LAN Manager), a autenticação NTLM (Windows NT) e a autenticação NTLMv2 (NTLM versão 2). O NTLM, o NTLMv2 e o Kerberos todos usam o NT hash, também conhecido como o hash Unicode. O protocolo de autenticação LM usa o LM hash.

É melhor evitar o armazenamento do LM hash se você não precisar dele para compatibilidade com as versões anteriores. Se a rede contiver clientes com o Windows 95, com o Windows 98 ou com o Macintosh, será possível perceber os seguintes problemas se impedir o armazenamento dos LM hashes para o seu domínio:
  • Usuários sem um LM hash não serão capazes de se conectar a um computador com o Windows 95 ou com o Windows 98 que está agindo como um servidor, a menos que os Directory Services Client para o Windows 95 e para o Windows 98 esteja instalado no servidor.
  • Usuários em computadores com o Windows 95 ou com o Windows 98 não serão capazes de se autenticar em servidores usando suas contas de domínio, a menos que tenham o Directory Services Client instalado em seus computadores.
  • Usuários em computadores com o Windows 95 ou com o Windows 98 não serão capazes de se autenticar usando uma conta local em um servidor se o servidor tiver os hashes LM desabilitados, a menos que eles tenham o Directory Services Client instalado em seus computadores.
  • Os usuários podem não ser capazes de alterar suas senhas de domínio por um computador com o Windows 95 ou com o Windows 98, ou poderão perceber problemas de bloqueio de conta quando tentarem alterar suas senhas por estes clientes mais antigos.
  • Usuários de clientes Macintosh Outlook 2001 podem não ser capazes de acessar suas caixas de correio em servidores com o Microsoft Exchange. Os usuários podem ver o seguinte erro no Outlook:
    As credenciais de logon fornecidas estavam incorretas. Verifique se o nome do usuário e o domínio estão corretos e digite sua senha novamente.
Para obter mais informações sobre como obter o Directory Services Client para o Windows 95 e para o Windows 98, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
323466 Disponibilidade de atualização de extensão de cliente do Active Directory para o Windows 98
Para impedir que o Windows armazene um LM hash de sua senha, use qualquer um dos seguintes métodos.

Método 1: Implementar a diretiva NoLMHash usando a diretiva de grupo

Para desabilitar o armazenamento dos LM hashes da senha de um usuário no banco de dados SAM do computador local usando a Diretiva de grupo local (Windows XP ou Windows Server 2003) ou em um ambiente do Windows Server 2003 Active Directory, usando a diretiva de grupo no Active Directory (Windows Server 2003), execute as seguintes etapas:
  1. Na diretiva de grupo, expanda Configuração do computador, Configurações do Windows, expanda Configurações de segurança, Diretivas locais e clique em Opções de segurança.
  2. Na lista de diretivas disponíveis, clique duas vezes em Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
  3. Clique em Ativada e em OK.

Método 2: Implementar a diretiva NoLMHash editando o Registro

No Windows 2000 Service Pack 2 (SP2) e versões posteriores, use um dos seguintes procedimentos para impedir que o Windows armazene um valor do LM hash na sua próxima alteração de senha.

Windows 2000 SP2 e versões posteriores

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Importante A chave do Registro
NoLMHash
e sua funcionalidade não foi testada ou documentada e deve ser considerada insegura para usar em um ambiente de produção anterior ao Windows 2000 SP2.

Para adicionar esta chave usando o Editor do Registro, execute as seguintes etapas:
  1. Inicie o Editor do Registro (Regedt32.exe).
  2. Localize e clique na seguinte chave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. No menu Editar, clique em Adicionar chave, digite NoLMHash e pressione ENTER.
  4. Feche o Editor do Registro.
  5. Reinicie o computador e altere sua senha para ativar a configuração.
Observações
  • Esta alteração da chave do Registro deve ser feita em todos os controladores de domínio do Windows 2000 para desabilitar o armazenamento dos LM hashes das senhas de usuários em um ambiente com o Windows 2000 Active Directory.
  • Esta chave do Registro impede que novos LM hashes sejam criados em computadores com o Windows 2000, mas não limpa o histórico de LM hashes anteriores que foram armazenados. LM hashes existentes armazenados serão removidos à medida que você altera as senhas.

Windows XP e Windows Server 2003

AVISO: O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Para adicionar este valor DWORD usando o Editor do Registro, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Digite NoLMHash e pressione ENTER.
  5. No menu Editar, clique em Modificar.
  6. Digite 1 e clique em OK.
  7. Reinicie o computador e altere a senha.
Observações
  • Esta alteração do Registro deve ser feita em todos os controladores de domínio do Windows Server 2003 para desabilitar o armazenamento dos LM hashes das senhas de usuários em um ambiente com o Windows 2003 Active Directory. Se você for um administrador de domínio, será possível poderá usar o MMC (Console de gerenciamento da Microsoft) dos Usuários e computadores do Active Directory para implantar essa diretiva em todos os controladores de domínio ou em todos os computadores no domínio conforme descrito no Método 1 (Implementar a diretiva NoLMHash usando a Diretiva de grupo).
  • Este valor DWORD impede que novos LM hashes sejam criados em computadores com o Windows XP e em computadores com o Windows Server 2003. O histórico de todos os LM hashes anteriores é limpado ao concluir estas etapas.
Importante Se você estiver criando um modelo de diretiva personalizada que pode ser usada no Windows 2000 e no Windows XP ou no Windows Server 2003, será possível criar a chave e o valor. O valor está no mesmo local que a chave e um valor de 1 desabilita a criação do LM hash. A chave é atualizada quando um sistema com o Windows 2000 é atualizado para o Windows Server 2003. No entanto, não tem problema se ambas as configurações estiverem no Registro.

Método 3: Usar uma senha que tenha pelo menos 15 caracteres

A maneira mais simples de impedir que o Windows armazene um LM hash da sua senha é usar uma senha que tenha pelo menos 15 caracteres. Nesse caso, o Windows armazena um valor de LM hash que não pode ser usado para autenticar o usuário.

Propriedades

ID do artigo: 299656 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 9.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbinfo kbenv kbnetwork KB299656

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com