Como impedir o Windows de armazenar um valor hash do LAN Manager da sua palavra-passe no Active Directory e em bases de dados locais do SAM

Em vez de guardar a palavra-passe da sua conta de utilizador em texto simples, o Windows gera e guarda palavras-passe de contas de utilizador utilizando duas representações de palavras-passe diferentes, geralmente conhecidas por "hashes". Quando o utilizador define ou altera a palavra-passe de uma conta de utilizador para uma que contenha menos de 15 caracteres, o Windows gera um hash do LAN Manager (hash de LM) e um hash do Windows NT (hash de NT) da palavra-passe. Estes hashes são armazenados na base de dados local do gestor de contas de segurança (SAM, Security Accounts Manager) ou no Active Directory.

O hash de LM é relativamente pouco seguro em comparação com o hash de NT e é, por este motivo, muito susceptível a ataques. Assim, poderá pretender impedir o Windows de armazenar um hash de LM da sua palavra-passe. Este artigo descreve com fazê-lo por forma a que o Windows apenas armazene o hash de NT, mais seguro, da sua palavra-passe.

Os servidores baseados no Windows 2000 e no Windows Server 2003 podem autenticar utilizadores que liguem a partir de computadores com todas as versões anteriores do Windows. No entanto, as versões do Windows anteriores ao Windows 2000 não utilizam Kerberos para autenticação. Para compatibilidade com versões anteriores, o Windows 2000 e o Windows Server 2003 suportam a autenticação via LAN Manager (LM), a autenticação do Windows NT (NTLM) e a autenticação NTLM versão 2 (NTLMv2). As autenticações NTLM, NTLMv2 e Kerberos utilizam o hash de NT, também conhecido como hash Unicode. O protocolo de autenticação LM utiliza o hash de LM.

É aconselhável impedir o armazenamento de hash de LM se não necessitar do mesmo para compatibilidade com versões anteriores. Se a rede contiver clientes Windows 95, Windows 98 ou Macintosh, poderá detectar os seguintes problemas se impedir o armazenamento de hashes de LM do domínio:

• Os utilizadores que não tiverem um hash de LM não conseguirão ligar a um computador baseado no Windows 95 ou no Windows 98 que funcione como servidor, a não ser que o cliente de serviços de directório para Windows 95 e Windows 98 esteja instalado no servidor.
• Os utilizadores de computadores baseados no Windows 95 ou no Windows 98 não conseguirão obter autenticação em servidores utilizando a respectiva conta de domínio, a não ser que tenham o cliente de serviços de directório instalado no computador.
• Os utilizadores de computadores baseados no Windows 95 ou no Windows 98 não conseguirão obter autenticação utilizando uma conta local num servidor se este tiver desactivado os hashes de LM, a não ser que tenham o cliente de serviços de directório instalado no computador.
• Os utilizadores poderão não conseguir alterar as respectivas palavras-passe de domínio a partir de um computador baseado no Windows 95 ou no Windows 98, ou poderão ter problemas de bloqueio de conta quando tentarem alterar as respectivas palavras-passe a partir destes clientes antigos.
• Os utilizadores de clientes Macintosh Outlook 2001 poderão não conseguir aceder às respectivas caixas de correio em servidores de Microsoft Exchange. Os utilizadores poderão ver o seguinte erro no Outlook:
  The logon credentials supplied were incorrect. Make sure your username and domain are correct, then type your password again.

Para impedir o Windows de armazenar um hash de LM da sua palavra-passe, utilize qualquer dos seguintes métodos.

Método 1: Implementar a política NoLMHash utilizando a política de grupo

Para desactivar o armazenamento de hashes de LM de palavras-passe de um utilizador na base de dados do computador local utilizando a política de grupo local (Windows XP ou Windows Server 2003) ou, num ambiente do Active Directory do Windows Server 2003, utilizando a política de grupo no Active Directory (Windows Server 2003), siga estes passos:

1. Na política de grupo, expanda Configuração do computador (Computer Configuration), expanda Definições do Windows (Windows Settings), expanda Definições de segurança (Security Settings), expanda Políticas locais (Local Policies) e clique em Opções de segurança (Security Options).
2. Na lista de políticas disponíveis, faça duplo clique em Segurança de rede: Não armazenar o valor hash do LAN Manager na alteração seguinte da palavra-passe (Network security: Do not store LAN Manager hash value on next password change).
3. Clique em Activado (Enabled) e clique em OK.

Método 2: Implementar a política NoLMHash editando o registo

No Windows 2000 Service Pack 2 (SP2) e posteriores, utilize um dos seguintes procedimentos para impedir o Windows de armazenar um valor hash de LM na próxima alteração da palavra-passe.

Windows 2000 SP2 e posteriores

Aviso: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.
Importante: a chave de registo e a respectiva funcionalidade não foram testadas nem documentadas e a sua utilização em ambientes de produção anteriores ao Windows 2000 SP2 deverá ser considerada não segura.

Para adicionar esta chave utilizando o Editor de registo (Registry Editor), siga estes passos:

1. Inicie o Editor de registo (Registry Editor, Regedt32.exe).
2. Localize e clique na seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. No menu Editar (Edit), clique em Adicionar chave (Add Key), escreva NoLMHash e prima ENTER.
4. Saia do Editor de registo (Registry Editor).
5. Reinicie o computador e altere a palavra-passe para activar a definição.

Notas

• A alteração desta chave de registo tem de ser efectuada em todos os controladores de domínio do Windows 2000 para desactivar o armazenamento de hashes de LM de palavras-passe de utilizadores num ambiente do Active Directory do Windows 2000.
• Esta chave de registo impede a criação de novos hashes de LM em computadores baseados no Windows 2000, mas não limpa o histórico de hashes de LM anteriores que estejam armazenados. Hashes de LM existentes que estejam armazenados serão removidos à medida que alterar palavras-passe.

Windows XP e Windows Server 2003

Aviso: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.Para adicionar este valor DWORD utilizando o Editor de registo (Registry Editor), siga estes passos:

1. Clique em Iniciar (Start), clique em Executar (Run), escreva regedit e clique em OK.
2. Localize e clique na seguinte chave do registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. No menu Editar (Edit), aponte para Novo (New) e clique em Valor DWORD (DWORD Value).
4. Escreva NoLMHash e prima ENTER.
5. No menu Editar (Edit), clique em Modificar (Modify).
6. Escreva 1 e clique em OK.
7. Reinicie o computador e altere a palavra-passe.

Notas

• A alteração do registo tem de ser efectuada em todos os controladores de domínio do Windows Server 2003 para desactivar o armazenamento de hashes de LM de palavras-passe de utilizadores num ambiente do Active Directory do Windows 2003. Caso seja um administrador de domínio, pode utilizar o snap-in Utilizadores e computadores do Active Directory (Active Directory Users and Computers) da consola de gestão da Microsoft (MMC, Microsoft Management Console) para implementar esta política em todos os controladores de domínio ou todos os computadores do domínio, conforme descrito no método 1 (Implementar a política NoLMHash utilizando a política de grupo).
• Este valor DWORD impede a criação de novos hashes de LM em computadores baseados no Windows XP e no Windows Server 2003. O histórico de todos os hashes de LM anteriores será limpo quando concluir estes passos.

Importante: se estiver a criar um modelo de política personalizado que possa ser utilizado no Windows 2000 e Windows XP ou no Windows Server 2003, poderá criar a chave e o valor. O valor encontra-se na mesma localização que a chave, e um valor de 1 desactiva a criação de hashes de LM. A chave é actualizada quando um sistema com o Windows 2000 é actualizado para o Windows Server 2003. No entanto, a coexistência de ambas as definições no registo não constitui um problema.

Método 3: Utilizar uma palavra-passe com pelo menos 15 caracteres

A forma mais simples de impedir o Windows de armazenar um hash de LM da sua palavra-passe consiste em utilizar uma palavra-passe com pelo menos 15 caracteres. Neste caso, o Windows armazena um valor hash de LM que não pode ser utilizado para autenticar o utilizador.