Windows'un parolanýzýn LAN Manager saðlama deðerini Active Directory ve yerel SAM veritabanlarýnda depolamasý nasýl engellenir

Kullanýcý hesabý parolanýzý düz metin olarak depolamak yerine, Windows kullanýcý hesabý parolalarýný genel olarak "saðlama" adýyla bilinen iki farklý parola temsili kullanarak üretir ve depolar. Bir kullanýcý hesabýnýn parolasýný 15'ten daha az sayýda karakter içeren bir parolaya ayarladýðýnýzda veya deðiþtirdiðinizde, Windows parolanýn hem bir LAN Manager saðlamasýný (LM saðlamasý) hem de bir Windows NT saðlamasýný (NT saðlamasý) üretir. Bu saðlamalar yerel Güvenlik Hesaplarý Yöneticisi (SAM) veritabanýnda veya Active Directory'de depolanýr.

LM saðlamasý NT saðlamasýna göre daha zayýftýr ve bu nedenle hýzlý kaba kuvvet saldýrýlarýna açýktýr. Bu nedenle, Windows'un parolanýzýn LM saðlamasýný depolamasýný önlemek isteyebilirsiniz. Bu makalede, bunun nasýl yapýlacaðý ve Windows'un parolanýz için yalnýzca daha güçlü olan NT saðlamasýný depolamasýnýn nasýl saðlanacaðý anlatýlmaktadýr.

Windows 2000 tabanlý sunucular ile Windows Server 2003 tabanlý sunucular, Windows'un tüm önceki sürümlerini çalýþtýran bilgisayardan baðlanan kullanýcýlarýn kimliðini doðrulayabilir. Ancak, Windows 2000'den önceki Windows sürümleri kimlik doðrulama için Kerberos kullanmaz. Geriye dönük uyumluluk için, Windows 2000 ve Windows Server 2003 sürümleri LAN Manager (LM) kimlik doðrulamasýný, Windows NT (NTLM) kimlik doðrulamasýný ve NTLM sürüm 2 (NTLMv2) kimlik doðrulamasýný destekler. NTLM, NTLMv2 ve Kerberos, Unicode saðlamasý olarak da bilinen NT saðlamasýný kullanýr. LM kimlik doðrulamasý protokolü LM saðlamasýný kullanýr.

Geriye dönük uyumluluk için LM saðlamasýna gereksiniminiz yoksa bunun depolanmasýný engellemek en iyisidir. Aðýnýzda Windows 95, Windows 98 veya Macintosh istemcileri varsa, etki alanýnýzda LM saðlamalarýnýn depolanmasýný engellerseniz aþaðýdaki sorunlarla karþýlaþabilirsiniz:

• LM saðlamasý olmayan kullanýcýlar, sunucu görevi gören Windows 95 tabanlý veya Windows 98 tabanlý bir bilgisayara, sunucuya Windows 95 ve Windows 98 için Dizin Hizmetleri Ýstemcisi yüklenmedikçe baðlanamaz.
• Windows 95 tabanlý veya Windows 98 tabanlý bilgisayarlardaki kullanýcýlar, bilgisayarlarýna Dizin Hizmetleri Ýstemcisi yüklenmedikçe etki alaný hesaplarýný kullanarak sunucularda kimlik doðrulayamaz.
• Windows 95 tabanlý veya Windows 98 tabanlý bilgisayarlardaki kullanýcýlar, LM saðlamalarýnýn devre dýþý býrakýldýðý bir sunucuda, bilgisayarlarýna Dizin Hizmetleri Ýstemcisi yüklenmedikçe yerel bir hesap kullanarak kimlik doðrulayamazlar.
• Kullanýcýlar Windows 95 tabanlý veya Windows 98 tabanlý bir bilgisayardan etki alaný parolalarýný deðiþtiremeyebilir veya bu eski istemcilerden parolalarýný deðiþtirmeye çalýþtýklarýnda hesap kilitlenmesi sorunlarýyla karþýlaþabilirler.
• Macintosh Outlook 2001 istemcileri kullanýcýlarý Microsoft Exchange sunucularýndaki posta kutularýna eriþemeyebilir. Kullanýcýlar Outlook'ta aþaðýdaki hatayý görebilir:
  Girilen oturum açma bilgileri geçersiz. Kullanýcý adýnýzýn ve etki alanýnýzýn doðru olmasýný saðlayýp parolanýzý yeniden girin.

Windows'un parolanýzýn LM saðlamasýný depolamasýný önlemek için, aþaðýdaki yöntemlerden herhangi birini kullanýn.

Yöntem 1: Grup Ýlkesi Kullanarak NoLMHash Ýlkesini Uygulama

Kullanýcýnýn parolalarýnýn LM saðlamalarýnýn yerel bilgisayarýn SAM veritabanýnda depolanmasýný Yerel Grup Ýlkesi (Windows XP veya Windows Server 2003) kullanarak veya Windows Server 2003 Active Directory ortamýnda Active Directory'de Grup Ýlkesi (Windows Server 2003) kullanarak devre dýþý býrakmak için þu adýmlarý izleyin:

1. Grup Ýlkesi'nde Bilgisayar Yapýlandýrmasý'ný geniþletin, Windows Ayarlarý'ný geniþletin, Güvenlik Ayarlarý'ný geniþletin, Yerel Ýlkeler'i geniþletin ve sonra Güvenlik Seçeneklerini'ni týklatýn.
2. Kullanýlabilir ilkeler listesinde Að güvenliði: Sonraki parola deðiþikliðinde LAN Manager saðlama deðerini depolama'yý çift týklatýn.
3. Etkin'i ve sonra Tamam'ý týklatýn.

Yöntem 2: Kayýt Defterini Düzenleyerek NoLMHash Ýlkesini Uygulama

Windows 2000 Service Pack 2 (SP2) ve üstü sürümlerde, Windows'un bir sonraki parola deðiþikliðinizde LM saðlama deðerini depolamasýný engellemek için aþaðýdaki yordamlardan birini kullanýn.

Windows 2000 SP2 ve üstü

Uyarý Kayýt Defteri Düzenleyicisi'ni yanlýþ kullanýrsanýz, iþletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayýt Defteri Düzenleyicisi'nin yanlýþ kullanýmý sonucunda ortaya çýkan sorunlarý çözebileceðiniz konusunda garanti vermez. Kayýt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluðunuzdadýr.
Önemli kayýt defteri anahtarý ve iþlevselliði sýnanmamýþ ve belgelenmemiþtir ve Windows 2000 SP2'den önceki üretim ortamlarýnda güvensiz kabul edilmelidir.

Bu anahtarý Kayýt Defteri Düzenleyicisi'ni kullanarak eklemek için þu adýmlarý izleyin:

1. Kayýt Defteri Düzenleyicisi'ni (Regedt32.exe) baþlatýn.
2. Aþaðýdaki anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Düzen menüsünde Anahtar Ekle'yi týklatýn, NoLMHash yazýn ve Enter tuþuna basýn.
4. Kayýt Defteri Düzenleyicisi'nden çýkýn.
5. Bilgisayarýnýzý yeniden baþlatýn ve ayarýn etkinleþmesi için parolanýzý deðiþtirin.

Notlar

• Bir Windows 2000 Active Directory ortamýnda kullanýcýlarýnýn parolalarýnýn LM saðlamalarýnýn depolanmasýný devre dýþý býrakmak için, bu kayýt defteri anahtarý deðiþikliðinin tüm Windows 2000 etki alaný denetleyicilerinde yapýlmasý gerekir.
• Bu kayýt defteri anahtarý Windows 2000 tabanlý bilgisayarlarda yeni LM saðlamalarý oluþturulmasýný engeller, ancak depolanan önceki LM saðlamalarý geçmiþini temizlemez. Depolanmakta olan LM saðlamalarý siz parolalarý deðiþtirdikçe kaldýrýlýr.

Windows XP ve Windows Server 2003

Uyarý Kayýt Defteri Düzenleyicisi'ni yanlýþ kullanýrsanýz, iþletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayýt Defteri Düzenleyicisi'nin yanlýþ kullanýmý sonucunda ortaya çýkan sorunlarý çözebileceðiniz konusunda garanti vermez. Kayýt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluðunuzdadýr.UYARI: Kayýt Defteri Düzenleyicisi'ni yanlýþ kullanýrsanýz, iþletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayýt Defteri Düzenleyicisi'nin yanlýþ kullanýmý sonucunda ortaya çýkan sorunlarý çözebileceðiniz konusunda garanti vermez. Kayýt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluðunuzdadýr.
Bu DWORD deðerini Kayýt Defteri Düzenleyicisi'ni kullanarak eklemek için þu adýmlarý izleyin:

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, regedit yazýn ve Tamam'ý týklatýn.
2. Kayýt defterinde, aþaðýdaki anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Düzen menüsünde Yeni'nin üzerine gidin ve DWORD Deðeri'ni týklatýn.
4. NoLMHash yazýn ve ENTER tuþuna basýn.
5. Düzen menüsünde Deðiþtir'i týklatýn.
6. 1 yazýn ve Tamam'ý týklatýn.
7. Bilgisayarýnýzý yeniden baþlatýn ve parolanýzý deðiþtirin.

Notlar

• Bir Windows 2003 Active Directory ortamýnda kullanýcýlarýnýn parolalarýnýn LM saðlamalarýnýn depolanmasýný devre dýþý býrakmak için, bu kayýt defteri deðiþikliðinin tüm Windows Server 2003 etki alaný denetleyicilerinde yapýlmasý gerekir. Etki alaný yöneticisiyseniz, Yöntem 1'de (Grup Ýlkesi Kullanarak NoLMHash Ýlkesini Uygulama) anlatýldýðý gibi bu ilkeyi tüm etki alaný denetleyicilerine veya etki alanýndaki tüm bilgisayarlara daðýtmak amacýyla Active Directory Kullanýcýlarý ve Bilgisayarlarý Microsoft Yönetim Konsolu'nu (MMC) kullanabilirsiniz.
• Bu DWORD deðeri, Windows XP tabanlý bilgisayarlarda ve Windows Server 2003 tabanlý bilgisayarlarda LM saðlamalarýnýn oluþturulmasýný engeller. Bu adýmlarý tamamladýðýnýzda önceki tüm LM saðlamalarý geçmiþi temizlenir.

Önemli Windows 2000 ve Windows XP veya Windows Server 2003 üzerinde kullanýlabilen bir özel ilke þablonu oluþturuyorsanýz, hem anahtarý hem de deðeri oluþturabilirsiniz. Deðer anahtar ile ayný yerdedir ve 1 deðeri LM saðlamasý oluþturmayý devre dýþý býrakýr. Bir Windows 2000 sistemi Windows Server 2003'e yükseltildiðinde anahtar yükseltilir. Ancak, her iki ayarýn da kayýt defterinde bulunmasý sorun oluþturmaz.

Yöntem 3: En Az 15 Karakter Uzunluðunda Bir Parola Kullanma

Windows'un parolanýzýn LM saðlamasýný depolamasýný engellemenin en basit yolu, en az 15 karakter uzunluðunda bir parola kullanmaktadýr. Bu durumda Windows, kullanýcýnýn kimliðini doðrulamak için kullanýlabilen bir LM saðlama deðeri depolamaz.