Como impedir que o Windows armazene um hash LAN manager da sua senha no Active Directory e nos bancos de dados SAM locais

Em vez de armazenar a senha da sua conta de usuário em texto sem formatação, o Windows gera e armazena as senhas de conta de usuário usando duas representações de senha diferentes, geralmente conhecidas como "hashes". Ao definir ou alterar a senha de uma conta de usuário para uma senha que contém menos de 15 caracteres, o Windows gera um hash do LM hash (LAN Manager) e um NT hash (hash do Windows NT) da senha. Estes hashes são armazenados no banco de dados SAM (Gerenciador de contas de segurança) local ou no Active Directory.

O LM hash é relativamente fraco se comparado ao NT hash e, por isso, tende ao ataque forçado rápido. Portanto, é possível impedir que o Windows armazene um LM hash da sua senha. Este artigo descreve como fazer isso de modo que o Windows armazene apenas o NT hash mais forte da sua senha.

Servidores com o Windows 2000 e com o Windows Server 2003 podem autenticar usuários que se conectam de computadores executando todas as versões anteriores do Windows. No entanto, as versões do Windows anteriores ao Windows 2000 não usam o Kerberos para autenticação. Para a compatibilidade com versões anteriores, o Windows 2000 e o Windows Server 2003 são compatíveis com a autenticação LM (LAN Manager), a autenticação NTLM (Windows NT) e a autenticação NTLMv2 (NTLM versão 2). O NTLM, o NTLMv2 e o Kerberos todos usam o NT hash, também conhecido como o hash Unicode. O protocolo de autenticação LM usa o LM hash.

É melhor evitar o armazenamento do LM hash se você não precisar dele para compatibilidade com as versões anteriores. Se a rede contiver clientes com o Windows 95, com o Windows 98 ou com o Macintosh, será possível perceber os seguintes problemas se impedir o armazenamento dos LM hashes para o seu domínio:

• Usuários sem um LM hash não serão capazes de se conectar a um computador com o Windows 95 ou com o Windows 98 que está agindo como um servidor, a menos que os Directory Services Client para o Windows 95 e para o Windows 98 esteja instalado no servidor.
• Usuários em computadores com o Windows 95 ou com o Windows 98 não serão capazes de se autenticar em servidores usando suas contas de domínio, a menos que tenham o Directory Services Client instalado em seus computadores.
• Usuários em computadores com o Windows 95 ou com o Windows 98 não serão capazes de se autenticar usando uma conta local em um servidor se o servidor tiver os hashes LM desabilitados, a menos que eles tenham o Directory Services Client instalado em seus computadores.
• Os usuários podem não ser capazes de alterar suas senhas de domínio por um computador com o Windows 95 ou com o Windows 98, ou poderão perceber problemas de bloqueio de conta quando tentarem alterar suas senhas por estes clientes mais antigos.
• Usuários de clientes Macintosh Outlook 2001 podem não ser capazes de acessar suas caixas de correio em servidores com o Microsoft Exchange. Os usuários podem ver o seguinte erro no Outlook:
  As credenciais de logon fornecidas estavam incorretas. Verifique se o nome do usuário e o domínio estão corretos e digite sua senha novamente.

Para obter mais informações sobre como obter o Directory Services Client para o Windows 95 e para o Windows 98, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Para impedir que o Windows armazene um LM hash de sua senha, use qualquer um dos seguintes métodos.

Método 1: Implementar a diretiva NoLMHash usando a diretiva de grupo

Para desabilitar o armazenamento dos LM hashes da senha de um usuário no banco de dados SAM do computador local usando a Diretiva de grupo local (Windows XP ou Windows Server 2003) ou em um ambiente do Windows Server 2003 Active Directory, usando a diretiva de grupo no Active Directory (Windows Server 2003), execute as seguintes etapas:

1. Na diretiva de grupo, expanda Configuração do computador, Configurações do Windows, expanda Configurações de segurança, Diretivas locais e clique em Opções de segurança.
2. Na lista de diretivas disponíveis, clique duas vezes em Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
3. Clique em Ativada e em OK.

Método 2: Implementar a diretiva NoLMHash editando o Registro

No Windows 2000 Service Pack 2 (SP2) e versões posteriores, use um dos seguintes procedimentos para impedir que o Windows armazene um valor do LM hash na sua próxima alteração de senha.

Windows 2000 SP2 e versões posteriores

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Importante A chave do Registro e sua funcionalidade não foi testada ou documentada e deve ser considerada insegura para usar em um ambiente de produção anterior ao Windows 2000 SP2.

Para adicionar esta chave usando o Editor do Registro, execute as seguintes etapas:

1. Inicie o Editor do Registro (Regedt32.exe).
2. Localize e clique na seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. No menu Editar, clique em Adicionar chave, digite NoLMHash e pressione ENTER.
4. Feche o Editor do Registro.
5. Reinicie o computador e altere sua senha para ativar a configuração.

Observações

• Esta alteração da chave do Registro deve ser feita em todos os controladores de domínio do Windows 2000 para desabilitar o armazenamento dos LM hashes das senhas de usuários em um ambiente com o Windows 2000 Active Directory.
• Esta chave do Registro impede que novos LM hashes sejam criados em computadores com o Windows 2000, mas não limpa o histórico de LM hashes anteriores que foram armazenados. LM hashes existentes armazenados serão removidos à medida que você altera as senhas.

Windows XP e Windows Server 2003

AVISO: O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Para adicionar este valor DWORD usando o Editor do Registro, execute as seguintes etapas:

1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
2. Localize e clique na seguinte chave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. No menu Editar, aponte para Novo e clique em Valor DWORD.
4. Digite NoLMHash e pressione ENTER.
5. No menu Editar, clique em Modificar.
6. Digite 1 e clique em OK.
7. Reinicie o computador e altere a senha.

Observações

• Esta alteração do Registro deve ser feita em todos os controladores de domínio do Windows Server 2003 para desabilitar o armazenamento dos LM hashes das senhas de usuários em um ambiente com o Windows 2003 Active Directory. Se você for um administrador de domínio, será possível poderá usar o MMC (Console de gerenciamento da Microsoft) dos Usuários e computadores do Active Directory para implantar essa diretiva em todos os controladores de domínio ou em todos os computadores no domínio conforme descrito no Método 1 (Implementar a diretiva NoLMHash usando a Diretiva de grupo).
• Este valor DWORD impede que novos LM hashes sejam criados em computadores com o Windows XP e em computadores com o Windows Server 2003. O histórico de todos os LM hashes anteriores é limpado ao concluir estas etapas.

Importante Se você estiver criando um modelo de diretiva personalizada que pode ser usada no Windows 2000 e no Windows XP ou no Windows Server 2003, será possível criar a chave e o valor. O valor está no mesmo local que a chave e um valor de 1 desabilita a criação do LM hash. A chave é atualizada quando um sistema com o Windows 2000 é atualizado para o Windows Server 2003. No entanto, não tem problema se ambas as configurações estiverem no Registro.

Método 3: Usar uma senha que tenha pelo menos 15 caracteres

A maneira mais simples de impedir que o Windows armazene um LM hash da sua senha é usar uma senha que tenha pelo menos 15 caracteres. Nesse caso, o Windows armazena um valor de LM hash que não pode ser usado para autenticar o usuário.