Làm th? nào đ? ngăn ch?n c?a s? lưu tr? m?t m?ng LAN qu?n l? băm c?a m?t kh?u trong Active Directory và cơ s? d? li?u đ?a phương SAM

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 299656 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Thay v? lưu gi? c?a b?n m?t kh?u trương m?c ngư?i dùng trong văn b?n r? ràng, Windows t?o ra và lưu tr? m?t kh?u tài kho?n ngư?i dùng b?ng cách s? d?ng hai kh?u khác đ?i di?n, nói chung đư?c g?i là "hashes." Khi b?n thi?t l?p ho?c thay đ?i m?t kh?u cho tài kho?n ngư?i s? d?ng m?t kh?u có ch?a ít hơn 15 k? t?, Windows t?o ra m?t m?ng LAN qu?n l? băm (LM băm) và m?t Windows NT băm (NT băm) c?a m?t kh?u. Các hashes đư?c lưu tr? trong cơ s? d? li?u b?o m?t tài kho?n qu?n l? (SAM) đ?a phương ho?c trong Active Directory.

B?ng băm LM là tương đ?i y?u so v?i b?ng băm NT, và đó là do đó d? b? t?n công s?c m?nh v? phu nhanh. V? v?y, b?n có th? ngăn ch?n c?a s? lưu tr? m?t LM băm m?t kh?u c?a b?n. Bài vi?t này mô t? cách đ? làm đi?u này v? v?y đó Windows ch? lưu tr? các m?nh m? hơn NT hash m?t kh?u c?a b?n.

THÔNG TIN THÊM

Các máy ch? d?a trên Windows 2000 và Windows Server 2003 d?a trên các máy ch? có th? xác th?c ngư?i s? d?ng k?t n?i t? máy tính đang ch?y t?t c? các phiên b?n trư?c c?a Windows. Tuy nhiên, các phiên b?n Windows trư?c đó hơn Windows 2000 không s? d?ng Kerberos cho xác th?c. Cho tương thích ngư?c, Windows 2000 và Windows Server 2003 h? tr? m?ng LAN Manager (LM) xác th?c, Windows NT (NTLM) xác th?c, và NTLM Phiên b?n 2 (NTLMv2) xác th?c. NTLM, NTLMv2 và Kerberos t?t c? s? d?ng NT băm, c?n đư?c g?i là băm Unicode. Giao th?c xác th?c LM s? d?ng băm LM.

It's t?t nh?t đ? ngăn ch?n lưu tr? b?ng băm LM n?u b?n không c?n nó cho tương thích ngư?c. N?u m?ng c?a b?n có Windows 95, Windows 98 ho?c Macintosh khách hàng, b?n có th? g?p v?n đ? sau n?u b?n ngăn ch?n vi?c lưu tr? LM băm cho tên mi?n c?a b?n:
  • Ngư?i s? d?ng mà không có m?t băm LM s? không th? k?t n?i v?i m?t máy tính d?a trên Windows 95 ho?c Windows 98 d?a trên máy tính là hành đ?ng như m?t máy ch? tr? khi Directory d?ch v? khách hàng cho Windows 95 và Windows 98 đư?c cài đ?t trên máy ch?.
  • Ngư?i dùng trên máy tính d?a trên Windows 95 ho?c Windows 98 d?a trên các máy tính s? không th? xác th?c t?i máy ch? b?ng cách s? d?ng tài kho?n tên mi?n c?a h?, tr? khi h? có khách hàng d?ch v? thư m?c đư?c cài đ?t trên máy tính c?a h?.
  • Ngư?i dùng trên máy tính d?a trên Windows 95 ho?c Windows 98 d?a trên các máy tính s? không th? xác th?c b?ng cách s? d?ng m?t tài kho?n đ?a phương trên m?t máy ch? n?u các máy ch? đ? vô hi?u hoá LM hashes tr? khi h? có khách hàng d?ch v? thư m?c đư?c cài đ?t trên máy tính c?a h?.
  • Ngư?i dùng có th? không th? thay đ?i m?t kh?u vùng c?a h? t? m?t máy tính d?a trên Windows 95 ho?c Windows 98 d?a trên máy tính, ho?c h? có th? g?p các v?n đ? khóa tài kho?n khi h? c? g?ng đ? thay đ?i m?t kh?u c?a h? t? các khách hàng trư?c đó.
  • Ngư?i s? d?ng c?a khách hàng Macintosh Outlook 2001 có th? không th? truy c?p vào h?p thư c?a h? trên các máy ch? Microsoft Exchange. Ngư?i dùng có th? nh?n th?y l?i sau trong Outlook:
    ?y nhi?m đăng nh?p đư?c cung c?p là không chính xác. H?y ch?c ch?n c?a b?n tên ngư?i dùng và vùng là đúng, r?i g? l?i m?t kh?u.
Đ? ngăn ch?n Windows t? lưu tr? m?t LM băm m?t kh?u c?a b?n, s? d?ng b?t k? phương pháp sau đây.

Phương pháp 1: Th?c hi?n các chính sách NoLMHash b?ng cách s? d?ng chính sách nhóm

Đ? vô hi?u hóa vi?c lưu tr? LM băm c?a m?t kh?u c?a ngư?i dùng trong máy tính c?c b? SAM cơ s? d? li?u b?ng cách s? d?ng chính sách nhóm c?c b? (Windows XP ho?c Windows Server 2003) ho?c trong m?t môi trư?ng Windows Server 2003 Active Directory b?ng cách s? d?ng chính sách nhóm trong Active Directory (Windows Server 2003), h?y làm theo các bư?c sau:
  1. Trong chính sách nhóm, m? r?ng C?u h?nh máy tính, m? r?ng Thi?t đ?t Windows, m? r?ng Thi?t đ?t b?o m?t, m? r?ng Chính sách đ?a phương, sau đó b?m Tùy ch?n b?o m?t.
  2. Trong danh sách các chính sách có s?n, b?m đúp vào An ninh m?ng: không lưu tr? giá tr? băm LAN Manager ngày ti?p theo s? thay đ?i m?t kh?u.
  3. Nh?p vào Được kích hoạt, sau đó b?m Ok.

Cách 2: Th?c hi?n các chính sách NoLMHash b?ng cách ch?nh s?a Registry

Trong Windows 2000 Service Pack 2 (SP2) và sau đó, s? d?ng m?t trong các th? t?c sau đây đ? ngăn ch?n c?a s? lưu tr? m?t giá tr? băm LM ngày thay đ?i m?t kh?u ti?p theo c?a b?n.

Windows 2000 SP2 và sau đó

Quan tr?ng Ph?n, phương pháp ho?c nhi?m v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? s?a đ?i registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows

Quan tr?ng Các
NoLMHash
khóa s? đăng k? và ch?c năng c?a nó đ? không đư?c th? nghi?m ho?c tài li?u và nên đư?c xem là không an toàn đ? s? d?ng trong s?n xu?t môi trư?ng trư?c khi Windows 2000 SP2.

Thêm phím này b?ng cách s? d?ng k? biên so?n, h?y làm theo các bư?c sau:
  1. Khởi động Registry Editor (Regedt32.exe).
  2. Xác đ?nh v? trí và sau đó b?m phím sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Trên các Ch?nh s?a tr?nh đơn, nh?p vào Thêm Key, lo?i NoLMHash, vaø sau ñoù baám NH?P.
  4. Thoát kh?i Registry Editor.
  5. Kh?i đ?ng l?i máy tính, và sau đó thay đ?i m?t kh?u c?a b?n đ? làm cho các thi?t l?p ho?t đ?ng.
Chú ý
  • Cơ quan đăng k? thay đ?i quan tr?ng này ph?i đư?c th?c hi?n trên t?t c? các tên mi?n Windows 2000 b? đi?u khi?n đ? vô hi?u hóa vi?c lưu tr? LM băm c?a ngư?i s? d?ng m?t kh?u trong m?t môi trư?ng Windows 2000 Active Directory.
  • Khóa s? đăng k? này ngăn m?i LM hashes đư?c t?o ra trên máy tính d?a trên Windows 2000, nhưng nó không r? ràng l?ch s? trư?c LM hashes đư?c lưu tr?. Hi?n có LM hashes đư?c lưu tr? s? b? xóa khi b?n thay đ?i m?t kh?u.

Windows XP và Windows Server 2003

Quan tr?ng Ph?n, phương pháp ho?c nhi?m v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? s?a đ?i registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows
Quan tr?ng Ph?n, phương pháp ho?c nhi?m v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? s?a đ?i registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows
Đ? thêm giá tr? DWORD này b?ng cách s? d?ng k? biên so?n, h?y làm theo các bư?c sau:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i regedit, sau đó b?m Ok.
  2. Định vị rồi bấm vào khoá sau trong sổ đăng ký:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Trên các Ch?nh s?a tr?nh đơn, đi?m đ?n M?i, sau đó b?m Giá trị DWORD.
  4. Lo?i NoLMHash, sau đó nh?n ENTER.
  5. Trên các Ch?nh s?a tr?nh đơn, nh?p vào S?a đ?i.
  6. Lo?i 1, và sau đó b?m OK.
  7. Kh?i đ?ng l?i máy tính c?a b?n, và sau đó thay đ?i m?t kh?u c?a b?n.
Chú ý
  • Thay đ?i đăng k? này ph?i đư?c th?c hi?n trên t?t c? các b? ki?m soát mi?n Windows Server 2003 đ? vô hi?u hóa vi?c lưu tr? LM băm c?a ngư?i s? d?ng m?t kh?u trong m?t môi trư?ng Windows 2003 Active Directory. N?u b?n là m?t ngư?i qu?n tr? vùng, b?n có th? dùng các ho?t đ?ng thư m?c ngư?i s? d?ng và máy vi tính Microsoft Management Console (MMC) đ? tri?n khai các chính sách này đ? t?t c? các b? đi?u khi?n vùng ho?c t?t c? các máy tính trên tên mi?n như mô t? trong phương pháp 1 (th?c hi?n chính sách NoLMHash b?ng cách s? d?ng chính sách nhóm).
  • Giá tr? DWORD này ngăn m?i LM hashes đư?c t?o ra trên máy tính d?a trên Windows XP và Windows Server 2003 d?a trên máy tính. L?ch s? c?a t?t c? các trang trư?c LM băm b? xóa khi b?n hoàn t?t các bư?c sau.
Quan tr?ng N?u b?n đang t?o m?t m?u tu? ch?nh chính sách mà có th? đư?c s? d?ng trên c? Windows 2000 và Windows XP ho?c Windows Server 2003, b?n có th? t?o ra c? hai đi?u quan tr?ng và giá tr?. Giá tr? là trong cùng m?t v? trí như ch?a khóa, và giá tr? là 1 vô hi?u hóa LM băm t?o ra. Đi?u quan tr?ng nâng c?p khi m?t h? th?ng Windows 2000 đư?c nâng c?p lên Windows Server 2003. Tuy nhiên, nó không quan tr?ng n?u c? hai thi?t đ?t trong s? đăng k?.

Cách 3: S? d?ng m?t m?t kh?u là ít nh?t 15 k? t? dài

Cách đơn gi?n đ? ngăn ch?n c?a s? lưu tr? m?t LM băm m?t kh?u c?a b?n là s? d?ng m?t m?t kh?u là ít nh?t 15 k? t?. Trong trư?ng h?p này, c?a s? c?a hàng m?t giá tr? băm LM có th? không đư?c s? d?ng đ? xác th?c ngư?i dùng.

Thu?c tính

ID c?a bài: 299656 - L?n xem xét sau cùng: 26 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
T? khóa: 
kbenv kbinfo kbnetwork kbmt KB299656 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:299656

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com