用來將 LM 雜湊從 Active Directory 及安全性帳戶管理員中移除的新登錄機碼

文章翻譯 文章翻譯
文章編號: 299656 - 檢視此文章適用的產品。
本文曾發行於 CHT299656
重要:本文包含修改登錄的資訊。在修改登錄之前,請將其備份,並且確定在萬一發生問題時,您知道如何復原登錄。如需如何備份、還原與編輯登錄的詳細資訊,請按一下以下的文件編號,檢視 Microsoft Knowledge Base 中的文件:
256986 Description of the Microsoft Windows Registry
全部展開 | 全部摺疊

結論

某些網際網路電子報描述 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 中名為 NoLmHash 的登錄機碼,以避免在Active Directory 和本地電腦 SAM 資料庫中的區域網路管理員雜湊上的儲存。當侵入者嘗試找出帳戶的密碼時,這些雜湊容易受到攻擊。

在 Service Pack 2 之前,尚未完全測試這個機碼所控制的功能。

其他相關資訊

警告:不當使用「登錄編輯器」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您一定可以解決因不當修改登錄所造成的問題。請自行承擔使用「登錄編輯器」的風險。

在 Windows 2000 發行之前,即加入登錄機碼及其功能,且尚未進行測試。因此,文件中未記載這個數值,且在 Windows 2000 Service Pack 2 之前的實際執行環境中應視為不安全的用法。

若要新增這個機碼,請執行下列步驟:
  1. 啟動「登錄編輯程式」(Regedt32.exe)。
  2. 在以下登錄中找出這個機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. [編輯] 功能表上,按一下 [新增機碼],輸入 NoLMHash,然後按一下 [確定]
  4. 結束「登錄編輯程式」。
  5. 重新啟動電腦,讓新設定生效。
注意:所有網域控制站都需要這個登錄機碼。

設定這個機碼後,在使用者下次變更密碼前,使用者帳戶的 LM 雜湊都不會移除。因此,除了設定這個機碼之外,還必須確定所有使用者都變更了他們的密碼。

在 Windows 2000 未來的版本中,群組原則預計將會包含移除 LAN 管理員雜湊的完整支援和已測試的功能。

屬性

文章編號: 299656 - 上次校閱: 2008年1月30日 - 版次: 3.1
這篇文章中的資訊適用於:
  • Microsoft Passport 1.4 Software Development Kit
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 2
關鍵字:?
kbenv kbinfo kbnetwork KB299656
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com