วิธีการป้องกันไม่ให้ Windows เก็บแฮชของการจัดการ LAN ของรหัสผ่านของคุณใน Active Directory และฐานข้อมูล SAM ท้องถิ่น

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 299656 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

แทนการจัดเก็บรหัสผ่านบัญชีผู้ใช้ในข้อความล้างกล่อง Windows สร้าง และจัดเก็บรหัสผ่านของบัญชีผู้ใช้ โดยใช้ ยืนยันรหัสผ่านที่แตกต่างกันสองมักเรียกว่า "hash" เมื่อคุณตั้งค่า หรือเปลี่ยนรหัสผ่านสำหรับบัญชีผู้ใช้รหัสผ่านที่ประกอบด้วยอักขระที่น้อยกว่า 15, Windows สร้างแฮ LAN Manager (LM แฮ) และใน Windows NT แฮ (NT แฮ) ของรหัสผ่าน hashes เหล่านี้จะถูกเก็บไว้ ในฐานข้อมูลภายในของตัวจัดการบัญชีความปลอดภัย (SAM) หรือ ใน Active Directory

แฮ LM อ่อนค่อนข้างเปรียบเทียบกับแฮ NT และจะเป็นดังนั้น prone การโจมตีการบังคับการโจมตีด้วยความเร็ว ดังนั้น คุณอาจต้องการป้องกันไม่ให้ Windows เก็บแฮ LM เป็นของรหัสผ่านของคุณ บทความนี้อธิบายวิธีการดังกล่าวเพื่อที่ Windows เก็บแฮ NT แรงกว่าของรหัสผ่านของคุณเท่านั้น

ข้อมูลเพิ่มเติม

รับรองความถูกเซิร์ฟเวอร์ที่ใช้ windows 2000 และเซิร์ฟเวอร์ที่ใช้ Windows Server 2003 สามารถต้องผู้ใช้เชื่อมต่อจากคอมพิวเตอร์ที่รันเวอร์ชันก่อนหน้านี้ทั้งหมดของ Windows อย่างไรก็ตาม Windows รุ่นก่อนหน้า Windows 2000 ที่ไม่ใช่ไม่ได้ใช้ Kerberos สำหรับการรับรองความถูกต้อง สำหรับความเข้ากันได้ย้อนหลัง Windows 2000 และ Windows Server 2003 สนับสนุน LAN Manager (LM) รับรองความถูกต้อง การรับรองความถูกต้องของ Windows NT (NTLM) และ NTLM รุ่น 2 (NTLMv2) การรับรองความถูกต้อง แบบ NTLM, NTLMv2 และ Kerberos ทั้งหมดใช้แฮ NT เรียกอีกอย่างว่าแฮ Unicode โพรโทคอลการรับรองความถูกต้องของ LM ใช้แฮ LM

เป็นที่ดีที่สุดเพื่อป้องกันการเก็บข้อมูลของแฮ LM ถ้าคุณไม่จำเป็นไว้สำหรับความเข้ากันได้ย้อนหลัง ถ้าเครือข่ายของคุณประกอบด้วย Windows 95, Windows 98 หรือไคลเอนต์ Macintosh คุณอาจพบปัญหาต่อไปนี้หากคุณป้องกันการเก็บข้อมูลของ LM hashes สำหรับโดเมนของคุณ:
  • ผู้ใช้โดยไม่มีแฮ LM จะไม่สามารถเชื่อมต่อกับคอมพิวเตอร์ที่ใช้ Windows 98 ซึ่งทำหน้าที่เป็นเซิร์ฟเวอร์เว้นแต่ว่าไดเรกทอรีของบริการไคลเอ็นต์สำหรับ Windows 95 และ Windows 98 ถูกติดตั้งอยู่บนเซิร์ฟเวอร์ หรือคอมพิวเตอร์ที่ใช้ Windows 95
  • ผู้ใช้บนคอมพิวเตอร์ที่ใช้ Windows 95 หรือคอมพิวเตอร์ที่ใช้ Windows 98 จะไม่สามารถรับรองความถูกต้องไปยังเซิร์ฟเวอร์ โดยใช้บัญชีโดเมนของตนเองถ้าพวกเขาไม่มีไคลเอ็นต์บริการไดเรกทอรีการติดตั้งบนคอมพิวเตอร์ของพวกเขา
  • ผู้ใช้บนคอมพิวเตอร์ที่ใช้ Windows 95 หรือคอมพิวเตอร์ที่ใช้ Windows 98 จะไม่สามารถรับรองความถูกต้อง โดยใช้บัญชีของเครื่องบนเซิร์ฟเวอร์ถ้าเซิร์ฟเวอร์ได้ปิดใช้งาน LM hashes เว้นแต่จะมีไคลเอ็นต์บริการไดเรกทอรีการติดตั้งบนคอมพิวเตอร์ของพวกเขา
  • ผู้ใช้อาจไม่สามารถเปลี่ยนรหัสผ่านโดเมนจากคอมพิวเตอร์ที่ใช้ Windows 98 หรือคอมพิวเตอร์ที่ใช้ Windows 95 หรือพวกเขาอาจพบปัญหาการปิดใช้บัญชีเมื่อพวกเขาพยายามที่จะเปลี่ยนรหัสผ่านจากไคลเอ็นต์เหล่านี้ก่อน
  • ผู้ใช้ของไคลเอนต์ Macintosh Outlook 2001 อาจไม่สามารถเข้าถึงกล่องจดหมายของตนเองในเซิร์ฟเวอร์ Microsoft Exchange ผู้ใช้อาจพบข้อผิดพลาดต่อไปนี้ใน Outlook:
    ข้อมูลประจำตัวการเข้าสู่ระบบให้มาได้ไม่ถูกต้อง Make sure your username and domain are correct, then type your password again.
To prevent Windows from storing an LM hash of your password, use any of the following methods.

Method 1: Implement the NoLMHash Policy by Using Group Policy

To disable the storage of LM hashes of a user's passwords in the local computer's SAM database by using Local Group Policy (Windows XP or Windows Server 2003) or in a Windows Server 2003 Active Directory environment by using Group Policy in Active Directory (Windows Server 2003), follow these steps:
  1. In Group Policy, expandการกำหนดค่าคอมพิวเตอร์ขยายการตั้งค่า windowsขยายการตั้งค่าการรักษาความปลอดภัยขยายนโยบายท้องถิ่นแล้ว คลิกตัวเลือกการรักษาความปลอดภัย.
  2. In the list of available policies, double-clickNetwork security: Do not store LAN Manager hash value on next password change.
  3. คลิกที่เปิดใช้งานแล้ว คลิกตกลง.

Method 2: Implement the NoLMHash Policy by Editing the Registry

In Windows 2000 Service Pack 2 (SP2) and later, use one of the following procedures to prevent Windows from storing an LM hash value on your next password change.

Windows 2000 SP2 and Later

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows

สิ่งสำคัญกระบวนการ
NoLMHash
registry key and its functionality were not tested or documented and should be considered unsafe to use in production environments before Windows 2000 SP2.

To add this key by using Registry Editor, follow these steps:
  1. เริ่มการทำงานของโปรแกรม Registry Editor (Regedt32.exe)
  2. Locate and then click the following key:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. ในการแก้ไขเมนู คลิกAdd Keyประเภท:NoLMHashแล้ว กด ENTER
  4. ออกจากโปรแกรม Registry Editor
  5. Restart the computer, and then change your password to make the setting active.
หมายเหตุ
  • This registry key change must be made on all Windows 2000 domain controllers to disable the storage of LM hashes of users' passwords in a Windows 2000 Active Directory environment.
  • This registry key prevents new LM hashes from being created on Windows 2000-based computers, but it does not clear the history of previous LM hashes that are stored. Existing LM hashes that are stored will be removed as you change passwords.

Windows XP and Windows Server 2003

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
To add this DWORD value by using Registry Editor, follow these steps:
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:regeditแล้ว คลิกตกลง.
  2. ค้นหา และคลิกที่คีย์ต่อไปนี้ในรีจิสตรี::
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. ในการแก้ไขเมนู ให้ชี้ไปที่ใหม่แล้ว คลิกค่า DWORD.
  4. ประเภท:NoLMHashแล้ว กด ENTER
  5. ในการแก้ไขเมนู คลิกปรับเปลี่ยน.
  6. ประเภท:1แล้วclick OK.
  7. Restart your computer, and then change your password.
หมายเหตุ
  • This registry change must be made on all Windows Server 2003 domain controllers to disable the storage of LM hashes of users' passwords in a Windows 2003 Active Directory environment. If you are a domain administrator, you can use Active Directory Users and Computers Microsoft Management Console (MMC) to deploy this policy to all domain controllers or all computers on the domain as described in Method 1 (Implement the NoLMHash Policy by Using Group Policy).
  • This DWORD value prevents new LM hashes from being created on Windows XP-based computers and Windows Server 2003-based computers. The history of all previous LM hashes is cleared when you complete these steps.
สิ่งสำคัญIf you are creating a custom policy template that may be used on both Windows 2000 and Windows XP or Windows Server 2003, you can create both the key and the value. The value is in the same place as the key, and a value of 1 disables LM hash creation. The key is upgraded when a Windows 2000 system is upgraded to Windows Server 2003. However, it is okay if both settings are in the registry.

Method 3: Use a Password That Is at Least 15 Characters Long

The simplest way to prevent Windows from storing an LM hash of your password is to use a password that is at least 15 characters long. In this case, Windows stores an LM hash value that cannot be used to authenticate the user.

คุณสมบัติ

หมายเลขบทความ (Article ID): 299656 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbenv kbinfo kbnetwork kbmt KB299656 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:299656

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com