Windows'un parolanızın LAN Manager sağlama değerini Active Directory ve yerel SAM veritabanlarında depolaması nasıl engellenir

Makale çevirileri Makale çevirileri
Makale numarası: 299656 - Bu makalenin geçerli olduğu ürünleri görün.
Önemli Bu makale, kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce, yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini nasıl geri yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986 Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

Kullanıcı hesabı parolanızı düz metin olarak depolamak yerine, Windows kullanıcı hesabı parolalarını genel olarak "sağlama" adıyla bilinen iki farklı parola temsili kullanarak üretir ve depolar. Bir kullanıcı hesabının parolasını 15'ten daha az sayıda karakter içeren bir parolaya ayarladığınızda veya değiştirdiğinizde, Windows parolanın hem bir LAN Manager sağlamasını (LM sağlaması) hem de bir Windows NT sağlamasını (NT sağlaması) üretir. Bu sağlamalar yerel Güvenlik Hesapları Yöneticisi (SAM) veritabanında veya Active Directory'de depolanır.

LM sağlaması NT sağlamasına göre daha zayıftır ve bu nedenle hızlı kaba kuvvet saldırılarına açıktır. Bu nedenle, Windows'un parolanızın LM sağlamasını depolamasını önlemek isteyebilirsiniz. Bu makalede, bunun nasıl yapılacağı ve Windows'un parolanız için yalnızca daha güçlü olan NT sağlamasını depolamasının nasıl sağlanacağı anlatılmaktadır.

Daha fazla bilgi

Windows 2000 tabanlı sunucular ile Windows Server 2003 tabanlı sunucular, Windows'un tüm önceki sürümlerini çalıştıran bilgisayardan bağlanan kullanıcıların kimliğini doğrulayabilir. Ancak, Windows 2000'den önceki Windows sürümleri kimlik doğrulama için Kerberos kullanmaz. Geriye dönük uyumluluk için, Windows 2000 ve Windows Server 2003 sürümleri LAN Manager (LM) kimlik doğrulamasını, Windows NT (NTLM) kimlik doğrulamasını ve NTLM sürüm 2 (NTLMv2) kimlik doğrulamasını destekler. NTLM, NTLMv2 ve Kerberos, Unicode sağlaması olarak da bilinen NT sağlamasını kullanır. LM kimlik doğrulaması protokolü LM sağlamasını kullanır.

Geriye dönük uyumluluk için LM sağlamasına gereksiniminiz yoksa bunun depolanmasını engellemek en iyisidir. Ağınızda Windows 95, Windows 98 veya Macintosh istemcileri varsa, etki alanınızda LM sağlamalarının depolanmasını engellerseniz aşağıdaki sorunlarla karşılaşabilirsiniz:
  • LM sağlaması olmayan kullanıcılar, sunucu görevi gören Windows 95 tabanlı veya Windows 98 tabanlı bir bilgisayara, sunucuya Windows 95 ve Windows 98 için Dizin Hizmetleri İstemcisi yüklenmedikçe bağlanamaz.
  • Windows 95 tabanlı veya Windows 98 tabanlı bilgisayarlardaki kullanıcılar, bilgisayarlarına Dizin Hizmetleri İstemcisi yüklenmedikçe etki alanı hesaplarını kullanarak sunucularda kimlik doğrulayamaz.
  • Windows 95 tabanlı veya Windows 98 tabanlı bilgisayarlardaki kullanıcılar, LM sağlamalarının devre dışı bırakıldığı bir sunucuda, bilgisayarlarına Dizin Hizmetleri İstemcisi yüklenmedikçe yerel bir hesap kullanarak kimlik doğrulayamazlar.
  • Kullanıcılar Windows 95 tabanlı veya Windows 98 tabanlı bir bilgisayardan etki alanı parolalarını değiştiremeyebilir veya bu eski istemcilerden parolalarını değiştirmeye çalıştıklarında hesap kilitlenmesi sorunlarıyla karşılaşabilirler.
  • Macintosh Outlook 2001 istemcileri kullanıcıları Microsoft Exchange sunucularındaki posta kutularına erişemeyebilir. Kullanıcılar Outlook'ta aşağıdaki hatayı görebilir:
    Girilen oturum açma bilgileri geçersiz. Kullanıcı adınızın ve etki alanınızın doğru olmasını sağlayıp parolanızı yeniden girin.
Windows'un parolanızın LM sağlamasını depolamasını önlemek için, aşağıdaki yöntemlerden herhangi birini kullanın.

Yöntem 1: Grup İlkesi Kullanarak NoLMHash İlkesini Uygulama

Kullanıcının parolalarının LM sağlamalarının yerel bilgisayarın SAM veritabanında depolanmasını Yerel Grup İlkesi (Windows XP veya Windows Server 2003) kullanarak veya Windows Server 2003 Active Directory ortamında Active Directory'de Grup İlkesi (Windows Server 2003) kullanarak devre dışı bırakmak için şu adımları izleyin:
  1. Grup İlkesi'nde Bilgisayar Yapılandırması'nı genişletin, Windows Ayarları'nı genişletin, Güvenlik Ayarları'nı genişletin, Yerel İlkeler'i genişletin ve sonra Güvenlik Seçeneklerini'ni tıklatın.
  2. Kullanılabilir ilkeler listesinde Ağ güvenliği: Sonraki parola değişikliğinde LAN Manager sağlama değerini depolama'yı çift tıklatın.
  3. Etkin'i ve sonra Tamam'ı tıklatın.

Yöntem 2: Kayıt Defterini Düzenleyerek NoLMHash İlkesini Uygulama

Windows 2000 Service Pack 2 (SP2) ve üstü sürümlerde, Windows'un bir sonraki parola değişikliğinizde LM sağlama değerini depolamasını engellemek için aşağıdaki yordamlardan birini kullanın.

Windows 2000 SP2 ve üstü

Uyarı Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluğunuzdadır.
Önemli
NoLMHash
kayıt defteri anahtarı ve işlevselliği sınanmamış ve belgelenmemiştir ve Windows 2000 SP2'den önceki üretim ortamlarında güvensiz kabul edilmelidir.

Bu anahtarı Kayıt Defteri Düzenleyicisi'ni kullanarak eklemek için şu adımları izleyin:
  1. Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın.
  2. Aşağıdaki anahtarı bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Düzen menüsünde Anahtar Ekle'yi tıklatın, NoLMHash yazın ve Enter tuşuna basın.
  4. Kayıt Defteri Düzenleyicisi'nden çıkın.
  5. Bilgisayarınızı yeniden başlatın ve ayarın etkinleşmesi için parolanızı değiştirin.
Notlar
  • Bir Windows 2000 Active Directory ortamında kullanıcılarının parolalarının LM sağlamalarının depolanmasını devre dışı bırakmak için, bu kayıt defteri anahtarı değişikliğinin tüm Windows 2000 etki alanı denetleyicilerinde yapılması gerekir.
  • Bu kayıt defteri anahtarı Windows 2000 tabanlı bilgisayarlarda yeni LM sağlamaları oluşturulmasını engeller, ancak depolanan önceki LM sağlamaları geçmişini temizlemez. Depolanmakta olan LM sağlamaları siz parolaları değiştirdikçe kaldırılır.

Windows XP ve Windows Server 2003

Uyarı Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluğunuzdadır.UYARI: Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluğunuzdadır.
Bu DWORD değerini Kayıt Defteri Düzenleyicisi'ni kullanarak eklemek için şu adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
  2. Kayıt defterinde, aşağıdaki anahtarı bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Düzen menüsünde Yeni'nin üzerine gidin ve DWORD Değeri'ni tıklatın.
  4. NoLMHash yazın ve ENTER tuşuna basın.
  5. Düzen menüsünde Değiştir'i tıklatın.
  6. 1 yazın ve Tamam'ı tıklatın.
  7. Bilgisayarınızı yeniden başlatın ve parolanızı değiştirin.
Notlar
  • Bir Windows 2003 Active Directory ortamında kullanıcılarının parolalarının LM sağlamalarının depolanmasını devre dışı bırakmak için, bu kayıt defteri değişikliğinin tüm Windows Server 2003 etki alanı denetleyicilerinde yapılması gerekir. Etki alanı yöneticisiyseniz, Yöntem 1'de (Grup İlkesi Kullanarak NoLMHash İlkesini Uygulama) anlatıldığı gibi bu ilkeyi tüm etki alanı denetleyicilerine veya etki alanındaki tüm bilgisayarlara dağıtmak amacıyla Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu'nu (MMC) kullanabilirsiniz.
  • Bu DWORD değeri, Windows XP tabanlı bilgisayarlarda ve Windows Server 2003 tabanlı bilgisayarlarda LM sağlamalarının oluşturulmasını engeller. Bu adımları tamamladığınızda önceki tüm LM sağlamaları geçmişi temizlenir.
Önemli Windows 2000 ve Windows XP veya Windows Server 2003 üzerinde kullanılabilen bir özel ilke şablonu oluşturuyorsanız, hem anahtarı hem de değeri oluşturabilirsiniz. Değer anahtar ile aynı yerdedir ve 1 değeri LM sağlaması oluşturmayı devre dışı bırakır. Bir Windows 2000 sistemi Windows Server 2003'e yükseltildiğinde anahtar yükseltilir. Ancak, her iki ayarın da kayıt defterinde bulunması sorun oluşturmaz.

Yöntem 3: En Az 15 Karakter Uzunluğunda Bir Parola Kullanma

Windows'un parolanızın LM sağlamasını depolamasını engellemenin en basit yolu, en az 15 karakter uzunluğunda bir parola kullanmaktadır. Bu durumda Windows, kullanıcının kimliğini doğrulamak için kullanılabilen bir LM sağlama değeri depolamaz.

Özellikler

Makale numarası: 299656 - Last Review: 3 Aralık 2007 Pazartesi - Gözden geçirme: 9.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Anahtar Kelimeler: 
kbinfo kbenv kbnetwork KB299656

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com