Запрет хранения хеш-значения LAN Мanager для пароля в Active Directory и локальных базах данных SAM

Переводы статьи Переводы статьи
Код статьи: 299656 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Вместо того чтобы хранить пароли учетных записей пользователей в виде открытого текста, Windows генерирует и хранит два различных представления паролей (так называемые хеш-значения). При указании или изменении пароля учетной записи пользователя, содержащего менее 15 символов, Windows генерирует для пароля хеш-значение LAN Manager (LM-хеш) и хеш-значение Windows NT (NT-хеш). Эти хеш-значения хранятся в локальной базе данных диспетчера учетных записей безопасности (SAM) или в Active Directory.

Хеш-значение LM является менее надежной и более уязвимой для атаки, чем хеш-значение NT. Поэтому в некоторых случаях рекомендуется запретить хранение хеш-значения LM для пароля. В данной статье рассматриваются действия, после выполнения которых Windows будет хранить для пароля только более надежное хеш-значение NT.

Дополнительная информация

Серверы Windows 2000 и Windows Server 2003 могут выполнять проверку подлинности пользователей, подключающихся с компьютеров под управлением более ранних версий Windows. Однако версии Windows, предшествующие 2000, не поддерживают проверку подлинности Kerberos. В целях обратной совместимости Windows 2000 и Windows Server 2003 поддерживают проверку подлинности LAN Manager (LM), проверку подлинности Windows NT (NTLM) и проверку подлинности NTLM версии 2 (NTLMv2). NTLM, NTLMv2 и Kerberos используют хеш-значение NT, также известное как хеш-значение Unicode. Проверка подлинности LM использует хеш-значение LM.

Если необходимость в обеспечении обратной совместимости отсутствует, хранение хеш-значения LM рекомендуется запретить. При этом, если в сети присутствуют клиенты Windows 95, Windows 98 или Macintosh, в домене могут возникнуть следующие проблемы.
  • Пользователи без хеш-значения LM не смогут подключаться к компьютеру под управлением Windows 95 или Windows 98, выполняющему функции сервера, если на сервере не будет установлен клиент службы каталогов для Windows 95 или Windows 98.
  • Пользователи компьютеров под управлением Windows 95 или Windows 98 не смогут войти в систему серверов с помощью учетной записи домена, если на этих компьютерах не будет установлен клиент службы каталогов.
  • Если на сервере запрещено хранение хеш-значения LM, пользователи компьютеров под управлением Windows 95 или Windows 98 не смогут войти в систему сервера с помощью локальной учетной записи, если на этих компьютерах не будет установлен клиент службы каталогов.
  • Пользователи компьютеров под управлением Windows 95 или Windows 98 не смогут изменить свой доменный пароль либо при попытке изменить пароль с клиентов более ранней версии учетная запись будет блокирована.
  • Пользователи клиентов Macintosh Outlook 2001 не смогут работать с почтовыми ящиками на серверах Microsoft Exchange. В Outlook может появиться следующее сообщение об ошибке:
    Указаны неверные учетные сведения. Проверьте правильность имени пользователя и домена и повторите ввод пароля.
Чтобы запретить хранение хеш-значения LM для пароля, воспользуйтесь одним из следующих способов.

Способ 1. Применение политики NoLMHash с помощью групповой политики

Чтобы отключить хранение хеш-значений LM для паролей пользователей в базе данных SAM локального компьютера с помощью локальной групповой политики (Windows XP или Windows Server 2003) или в среде Active Directory Windows Server 2003 с помощью групповой политики в Active Directory (Windows Server 2003), выполните следующие действия:
  1. В окне групповой политики последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем выберите пункт Параметры безопасности.
  2. В списке доступных политик дважды щелкните на политике Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля.
  3. Установите флажок Включен и нажмите кнопку ОК.

Способ 2. Применение политики NoLMHash с помощью редактора реестра

В пакете обновлений 2 (SP2) для Windows 2000 и боле поздних версиях для запрета хранения хеш-значений LM при следующей смене пароля воспользуйтесь одной из следующих процедур.

Windows 2000 SP2 и более поздние версии

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Внимание! Раздел реестра
NoLMHash
и его работоспособность не были проверены или задокументированы и считаются небезопасными для использования в версиях операционных систем, предшествующих Windows 2000 SP2.

Чтобы создать этот раздел с помощью редактора реестра, выполните следующие действия:
  1. Запустите редактор реестра (Regedit32.exe).
  2. Найдите и выделите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В меню Правка выберите пункт Добавить раздел, введите NoLMHash и нажмите клавишу ВВОД.
  4. Закройте редактор реестра.
  5. Для активации параметра перезагрузите компьютер и измените пароль.
Примечания.
  • Для отключения хранения хеш-значений LM для паролей пользователей в среде Active Directory Windows 2000 это изменение в разделе реестра необходимо произвести на всех контроллерах домена Windows 2000.
  • Данный раздел реестра запрещает генерацию новых хеш-значений LM на компьютерах под управлением Windows 2000, но не удаляет уже созданные и сохраненные хеш-значения LM. Существующие хеш-значения LM будут удалены после смены паролей.

Windows XP и Windows Server 2003

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Чтобы создать этот параметр DWORD с помощью редактора реестра, выполните следующие действия:
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.
  2. Найдите и выберите раздел реестра
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.
  4. Введите NoLMHash и нажмите клавишу ВВОД.
  5. В меню Правка выберите команду Изменить.
  6. Введите значение 1 и нажмите кнопку ОК.
  7. Перезагрузите компьютер и измените пароль.
Примечания.
  • Для отключения хранения хеш-значений LM для паролей пользователей в среде Active Directory Windows 2003 это изменение в реестре необходимо произвести на всех контроллерах домена Windows Server 2003. Администраторы доменов могут применить эту политику ко всем контроллерам домена, выполнив действия способа 1 (применение политики NoLMHash с помощью групповой политики) с помощью консоли MMC оснастки «Пользователи и компьютеры Active Directory».
  • Этот параметр DWORD запрещает генерацию новых хеш-значений LM на компьютерах под управлением Windows XP и Windows Server 2003. После выполнения этих действий все уже существующие хеш-значения LM удаляются.
Внимание! Для создания пользовательского шаблона политики, который можно будет использовать в Windows 2000 и Windows XP либо в Windows Server 2003, необходимо создать и раздел и параметр. Параметр находится там же, где раздел; значение 1 отключает генерацию хеш-значения LM. Раздел обновляется при обновлении Windows 2000 до уровня Windows Server 2003. При этом в реестре могут безболезненно оставаться обе настройки.

Способ 3. Использование пароля, содержащего 15 и более символов

Самый простой способ избежать сохранения хеш-значения LM для пароля – использовать пароль, содержащий как минимум 15 символов. В данном случае Windows сохраняет хеш-значение LM, которые нельзя использовать для проверки подлинности пользователя.

Свойства

Код статьи: 299656 - Последний отзыв: 3 декабря 2007 г. - Revision: 9.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbinfo kbenv kbnetwork KB299656

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com