Ako zabrániť systému Windows v ukladanie LAN manager algoritmus hash hesla v Active Directory a miestnej databázy SAM

Preklady článku Preklady článku
ID článku: 299656 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Namiesto ukladania hesla konta používateľa v nešifrované, Windows vytvára a ukladá heslá používate?ských kont s použitím dvoch rôznych heslo zastupiteľstvá, všeobecne známe ako "hash." Keď ste nastaviť alebo zmeniť heslo pre používateľské konto na heslo, ktoré obsahuje menej než 15 znakov, systém Windows vygeneruje hash programu LAN Manager (LM hash) a haš systému Windows NT (NT hash) hesla. Tieto hašov sú uložené v lokálnej databáze bezpečnostné účty Manager (SAM) alebo v službe Active Directory.

LM hash je pomerne slabý v porovnaní s hašu NT a je náchylný na rýchle hrubou silou útoku. Preto možno budete chcieť zabrániť ukladanie LM hash hesla systému Windows. Tento článok popisuje, ako to urobiť tak, že systém Windows ukladá iba silnejší haš NT vášho hesla.

DALSIE INFORMACIE

Servery so systémom Windows 2000 a Windows Server 2003 založené servery môžu autentifikovať používateľov, ktorí sa pripájajú z počítačov, ktoré sú spustené všetky predchádzajúce verzie systému Windows. Avšak, verzie systému Windows staršie ako Windows 2000 nepoužívajte Kerberos pre overovanie. Pre spätnú kompatibilitu, Windows 2000 a Windows Server 2003 podporujú LAN Manager (LM) overovanie systému Windows NT (protokol NTLM) overenie a protokol NTLM verzia 2 (overovanie NTLMv2) overovanie. NTLM, overovanie NTLMv2 a Kerberos všetky pomocou hašu NT, tiež známy ako hašu Unicode. LM overovací protokol používa hašu LM.

Je to najlepšie na zabránenie skladovanie LM hash, ak nie ju budete potrebovať pre spätnú kompatibilitu. Ak sieť obsahuje Windows 95, Windows 98 alebo klientom systému Macintosh, môžu vyskytnúť nasledovné problémy, ak ste bránia skladovanie LM hash pre vašu doménu:
  • Používatelia bez LM hash sa nebude môcť pripojiť k počítaču so systémom Windows 95 alebo po?íta? so systémom Windows 98, ktorý koná ako server, pokiaľ nie je na serveri nainštalovaný adresár služby klient pre Windows 95 a Windows 98.
  • Používateľov na počítačoch so systémom Windows 95 alebo Windows 98 počítače nebude schopný autentifikovať na servery pomocou ich konto domény, pokiaľ nemajú klienta služby Directory Services nainštalovaný na ich počítači.
  • Používateľov na počítačoch so systémom Windows 95 alebo Windows 98 počítače nebude schopný autentifikovať pomocou lokálneho konta na serveri, ak server vypol LM hašov pokiaľ nemajú klienta služby Directory Services nainštalovaný na ich počítači.
  • Používatelia nesmie byť schopní zmeniť heslo domény z počítač so systémom Windows 95 alebo počítač so systémom Windows 98 alebo môžu sa vyskytnúť problémy uzamknutia konta, pri pokuse zmeniť svoje heslá z týchto starších klientov.
  • Používatelia systému Macintosh program Outlook 2001 klientov pravdepodobne nebude mať prístup k ich poštové schránky na serveri Microsoft Exchange. Používatelia môžu vidieť nasledovnú chybu v programe Outlook:
    Prihlasovacie poverenia poskytnuté boli nesprávne. Uistite sa, že vaše užívateľské meno a doménu, a potom zadajte heslo ešte raz.
Zabrániť ukladanie LM hash hesla systému Windows, použite ľubovoľný z nasledujúcich metód.

Metóda 1: Uskutočňovať NoLMHash politiku pomocou politiky skupiny

Ak chcete vypnúť skladovanie LM hash-e hesiel používateľa v lokálnom počítači databáza SAM pomocou lokálnej skupinovej politiky (Windows XP alebo Windows Server 2003) alebo v prostredí Active Directory systému Windows Server 2003 pomocou politiky skupiny v službe Active Directory (Windows Server 2003), postupujte nasledovne:
  1. V skupinovej politike, rozbaľte Konfigurácia počítača, rozbaľte Nastavenie systému Windows, rozbaľte Nastavenia zabezpečenia, rozbaľte Lokálne politiky, a potom kliknite na tlačidlo Možnosti zabezpečenia.
  2. V zozname dostupných politík dvakrát Sieť zabezpečenia: neukladať hodnotu hash programu LAN Manager pri nasledujúcej zmene hesla.
  3. Kliknite na tlačidlo Zapnuté, a potom kliknite na tlačidlo ok.

Metóda 2: Implementovať politiku NoLMHash úpravou databázy Registry

Windows 2000 Service Pack 2 (SP2) a neskôr, použite jeden z nasledujúcich postupov chcete zabrániť systému Windows ukladanie LM hash hodnoty pri nasledujúcej zmene hesla.

Systém Windows 2000 SP2 a neskôr

Dôležité Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu nastať vážne problémy Ak databázu registry upravíte nesprávne. Preto dbajte, aby ste postupujte opatrne. Pridané ochrany, zálohovať register pred úpravou je. Potom môžete obnoviť databázu registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registry nájdete po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy registry v systéme Windows

Dôležité The
NoLMHash
kľúč databázy Registry a jeho funkčnosť neboli testované alebo zdokumentované a mali považovať za bezpečné použitie vo výrobe prostredia pred Windows 2000 SP2.

Ak chcete pridať tento kľúč pomocou editora databázy Registry, postupujte nasledovne:
  1. Spustite Editor databázy Registry (Regedt32.exe).
  2. Vyhľadajte a potom kliknite na nasledujúci kľúč:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Na Upraviť ponuky, kliknite na tlačidlo Pridať Kľúč, typu NoLMHash, a potom stlačte kláves ZADAJTE.
  4. Ukončite Editor databázy Registry.
  5. Reštartujte počítač a potom zmeniť heslo Aktivujte nastavenia.
Poznámky
  • Táto zmena kľúča databázy registry sa musí vykonať na všetkých domén Windows 2000 radiče vypnúť skladovanie LM hash-e hesiel používateľov v prostredí služby Active Directory systému Windows 2000.
  • Tento kľúč databázy registry bráni novým LM hašov vytvorené na počítačoch so systémom Windows 2000, ale nevymaže História predchádzajúcich LM hash, ktoré sú uložené. Po zmene hesiel, odstránia sa existujúce LM hash, ktoré sú uložené.

Systém Windows XP a Windows Server 2003

Dôležité Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu nastať vážne problémy Ak databázu registry upravíte nesprávne. Preto dbajte, aby ste postupujte opatrne. Pridané ochrany, zálohovať register pred úpravou je. Potom môžete obnoviť databázu registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registry nájdete po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy registry v systéme Windows
Dôležité Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu nastať vážne problémy Ak databázu registry upravíte nesprávne. Preto dbajte, aby ste postupujte opatrne. Pridané ochrany, zálohovať register pred úpravou je. Potom môžete obnoviť databázu registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registry nájdete po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy registry v systéme Windows
Chcete pridať túto hodnotu DWORD pomocou editora databázy Registry, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typu regedit, a potom kliknite na tlačidlo ok.
  2. Vyhľadajte a potom kliknite na nasledujúci kľúč databázy registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Na Upraviť ponuku, ukážte na Nové, a potom kliknite na tlačidlo Hodnota DWORD.
  4. Typ NoLMHash, a potom stlačte kláves ENTER.
  5. Na Upraviť ponuky, kliknite na tlačidlo Upraviť.
  6. Typ 1, a potom kliknite na tlačidlo OK.
  7. Reštartujte počítač a potom zmeniť heslo.
Poznámky
  • Táto zmena databázy registry sa musí vykonať na všetkých radičoch domény Windows Server 2003 vypnúť skladovanie LM hash-e hesiel používateľov v prostredí služby Active Directory systému Windows 2003. Ak ste správca domény, nasadiť túto politiku na všetkých radičoch domény alebo všetky počítače v doméne, ako je opísané v metóde 1 (implementovať NoLMHash politiky pomocou politiky skupiny) môžete použiť Active Directory Users a počítače Microsoft Management Console (MMC).
  • Táto hodnota DWORD bráni novým LM hašov vytvorené na počítačoch so systémom Windows XP a Windows Server 2003 počítače. História všetkých predchádzajúcich LM hash sa vymaže, keď dokončíte uvedené kroky.
Dôležité Ak vytvárate šablónu vlastné politiky, ktoré sa môžu použiť na Windows 2000 a Windows XP alebo Windows Server 2003, môžete vytvoriť kľúč a hodnotu. Hodnota je na tom istom mieste ako kľúč a hodnota 1 vypína LM hash vytvorenie. Kľúčom je aktualizovaný, keď systém Windows 2000 inovuje na systém Windows Server 2003. Avšak, je to v poriadku ak sú obidve nastavenia v databáze registry.

Metóda 3: Použiť heslo, je aspoň 15 znakov dlhé

Najjednoduchší spôsob, ako zabrániť systému Windows ukladanie LM hash hesla je použiť heslo, ktoré je aspoň 15 znakov. V tomto prípade systém Windows ukladá LM hash hodnoty, ktoré sa nedajú použiť na overenie používateľa.

Vlastnosti

ID článku: 299656 - Posledná kontrola: 31. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kľúčové slová: 
kbenv kbinfo kbnetwork kbmt KB299656 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:299656

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com