كيفية منع Windows من تخزين تجزئة إدارة LAN كلمة المرور الخاصة بك في "Active Directory" وقواعد SAM محلية

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية299656
الموجز
بدلاً من تخزين كلمة مرور حساب المستخدم في النص أو ينشئ Windows و بتخزين كلمات مرور حساب المستخدم عن طريق استخدام جهازي تمثيلات مرور مختلفة بشكل عام تُعرف باسم "التجزئات." عند تعيين أو تغيير كلمة المرور لحساب مستخدم إلى كلمة مرور تحتوي على أقل من 15 حرفاً ينشئ Windows كل تجزئة LAN Manager (تجزئة LM) و تجزئة Windows NT (NT التجزئة) كلمة المرور. يتم تخزين هذه التجزئة في قاعدة بيانات إدارة حسابات الأمان (SAM) المحلية أو في "Active Directory".

تم تجزئة LM ضعيفة نسبياً مقارنة تجزئة NT وهو لذلك عرضة لهجوم فرض brute بسرعة. لذلك، قد ترغب في منع Windows من تخزين تجزئة LM على كلمة المرور الخاصة بك. توضح هذه المقالة كيفية القيام بذلك حتى يقوم Windows بتخزين تجزئة NT الأقوى كلمة المرور الخاصة بك فقط.
معلومات أخرى
يمكن المصادقة المستندة إلى نظام التشغيل Windows 2000 وملقمات المستندة إلى Windows Server 2003 للمستخدمين الذين يتصلون من أجهزة الكمبيوتر التي تعمل كافة الإصدارات السابقة من Windows. ومع ذلك، إصدارات Windows السابقة من Windows 2000 لا تستخدم Kerberos للمصادقة. ومن أجل التوافق مع الإصدارات القديمة، فإن Windows 2000 و Windows Server 2003 يعتمد مصادقة إدارة LAN (LM) و مصادقة Windows NT (NTLM) و NTLM الإصدار 2 (NTLMv2) المصادقة. في NTLM وNTLMv2 و Kerberos كافة استخدام التجزئة NT التجزئة Unicode والتي تعرف أيضاً باسم. يستخدم بروتوكول مصادقة LM تجزئة LM.

من الأفضل لمنع تخزين تجزئة LM إذا لم تكن بحاجة به للتوافق مع الإصدارات السابقة. إذا كانت شبكة الاتصال تتضمن Windows 95 أو Windows 98 أو عملاء ماكنتوش, قد تواجهك المشكلات التالية إذا منع التخزين تجزئات LM للمجال الخاص بك:
  • سيتعذر على المستخدمين دون تجزئة LM الاتصال إلى جهاز كمبيوتر يعمل بنظام التشغيل Windows 95 أو جهاز كمبيوتر يستند إلى نظام التشغيل Windows 98 بدور ملقم ما لم يتم تثبيت الدليل خدمات عميل لـ Windows 95 و Windows 98 على الملقم.
  • سيتعذر على المستخدمين الموجودين على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 95 أو أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 98 المصادقة بملقمات باستخدام حساب مجال به ما لم يكن لديهم "عميل خدمات الدليل" مثبتاً على أجهزة الكمبيوتر الخاصة بهم.
  • سيتعذر على المستخدمين الموجودين على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 95 أو أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 98 المصادقة باستخدام حساب محلي على خادم إذا قام الملقم بتعطيل تجزئات LM ما لم يكن لديهم "عميل خدمات الدليل" مثبتاً على أجهزة الكمبيوتر الخاصة بهم.
  • قد لا يكون المستخدمون قادرين على تغيير كلمات المرور الخاصة بهم المجال من جهاز كمبيوتر يعمل بنظام التشغيل Windows 95 أو جهاز كمبيوتر يستند إلى نظام التشغيل Windows 98 أو أنها قد تواجه مشكلات تأمين الحساب عند محاولة تغيير كلمات المرور الخاصة بهم من هذه الأجهزة العميلة السابقة.
  • قد لا تتمكن من الوصول إلى علب البريد الخاصة بهم على ملقمات Microsoft Exchange المستخدمون عملاء "ماكنتوش Outlook يوم". قد يرى المستخدمون الخطأ التالي في Outlook:
    كانت بيانات اعتماد تسجيل الدخول التي تم التزويد بها غير صحيح. تأكد من أن اسم المستخدم والمجال صحيحة ثم اكتب كلمة المرور مرة أخرى.
لمنع تخزين تجزئة LM على كلمة المرور Windows استخدام أي من الطرق التالية.

الطريقة 1: تنفذ نهج NoLMHash عن طريق استخدام نهج المجموعة

لتعطيل التخزين تجزئات LM كلمات مرور المستخدم في قاعدة بيانات SAM الكمبيوتر المحلي باستخدام "نهج المجموعة المحلية" (Windows XP أو Windows Server 2003) أو في بيئة Windows Server 2003 Active عن طريق استخدام "نهج مجموعة" في "Active Directory" (Windows Server 2003) اتبع الخطوات التالية:
  1. في "نهج المجموعة" ، قم بتوسيع تكوين الكمبيوتر و قم بتوسيع إعدادات Windows ، قم بتوسيع إعدادات الأمان, قم بتوسيع النهج المحلية و ثم انقر فوق خيارات الأمان.
  2. في قائمة نُهج المتوفرة, انقر نقراً مزدوجاً فوق أمان شبكة الاتصال: عدم تخزين قيمة تجزئة LAN Manager عند التغيير التالي لكلمة المرور.
  3. انقر فوق ممكّن ثم انقر فوق موافق.

الطريقة 2: تنفذ نهج NoLMHash عن طريق تحرير التسجيل

في Windows 2000 المزود بحزمة الخدمة Service Pack 2 (SP2) والإصدارات الأحدث، يمكنك استخدام أحد الإجراءات التالية لمنع Windows من تخزين قيمة تجزئة LM على الخاص بك التغيير التالي لكلمة المرور.

حزمة الخدمة SP2 لنظام التشغيل Windows 2000 و لاحقاً

هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. لذلك، تأكد من اتبع الخطوات التالية بعناية. للحصول على الحماية المضافة عمل نسخة احتياطية من السجل قبل تعديله. ثم يمكنك استعادة السجل في حالة حدوث مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
322756كيفية عمل نسخة احتياطية و استعادة التسجيل في Windows

هام مفتاح التسجيل
NoLMHash
والوظائف لم يتم اختبارها أو توثيقها و يجب أن تعتبر غير آمنة للاستخدام في بيئات الإنتاج قبل حزمة الخدمة SP2 لنظام التشغيل Windows 2000.

لإضافة هذا المفتاح باستخدام محرر التسجيل، اتبع الخطوات التالية:
  1. بدء تشغيل "محرر التسجيل" (Regedt32.exe).
  2. حدد موقع ثم انقر فوق المفتاح التالي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. من القائمة تحرير ، انقر فوق إضافة مفتاح واكتب NoLMHash ثم ثم اضغط ENTER.
  4. قم بإنهاء "محرر التسجيل".
  5. إعادة تشغيل الكمبيوتر ثم قم بتغيير كلمة المرور الخاصة بك لتنشيط الإعداد.
الملاحظات
  • يجب إجراء هذا التغيير مفتاح التسجيل على كافة وحدات تحكم المجال Windows 2000 لتعطيل التخزين تجزئات LM كلمات مرور المستخدمين في بيئة Windows 2000 نشط الدليل.
  • مفتاح التسجيل هذا يمنع تجزئات LM جديدة من إنشاء على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 ولكن لا إلى مسح محفوظات السابقة تجزئات LM المخزنة. سيتم إزالة تجزئات LM الموجودة التي يتم تخزينها أثناء تغيير كلمات المرور.

Windows XP و Windows Server 2003

هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. لذلك، تأكد من اتبع الخطوات التالية بعناية. للحصول على الحماية المضافة عمل نسخة احتياطية من السجل قبل تعديله. ثم يمكنك استعادة السجل في حالة حدوث مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
322756كيفية عمل نسخة احتياطية و استعادة التسجيل في Windows
هام هذا المقطع أو أسلوب أو المهمة على خطوات إخبارك عن كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. لذلك، تأكد من اتبع الخطوات التالية بعناية. للحصول على الحماية المضافة عمل نسخة احتياطية من السجل قبل تعديله. ثم يمكنك استعادة السجل في حالة حدوث مشكلة. للحصول على مزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
322756كيفية عمل نسخة احتياطية و استعادة التسجيل في Windows
لإضافة قيمة DWORD هذا باستخدام محرر التسجيل، اتبع الخطوات التالية:
  1. انقر فوق ابدأ ثم انقر فوق تشغيل واكتب regedit ثم انقر فوق موافق.
  2. حدد موقع ثم انقر فوق المفتاح التالي في التسجيل:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. من القائمة تحرير ، أشر إلى جديد ثم انقر فوق قيمة DWORD.
  4. اكتب NoLMHash ثم ثم اضغط ENTER.
  5. من القائمة تحرير ، انقر فوق تعديل.
  6. اكتب 1 ، ثم انقر فوق موافق.
  7. إعادة تشغيل الكمبيوتر ثم قم بتغيير كلمة المرور الخاصة بك.
الملاحظات
  • يجب إجراء هذا التغيير التسجيل على كافة وحدات تحكم المجال Windows Server 2003 لتعطيل التخزين تجزئات LM كلمات مرور المستخدمين في بيئة Active نشط 2003 Windows. إذا كنت مسؤول المجال، يمكن استخدام Active Directory Users and Computers Microsoft وحدة التحكم بالإدارة لـ لنشر هذا النهج على كافة وحدات التحكم بالمجال أو أجهزة الكمبيوتر على المجال كما هو موضح في "الطريقة الأولى" (تنفيذ نهج NoLMHash قبل استخدام نهج المجموعة).
  • هذه القيمة DWORD يمنع تجزئات LM جديد يتم إنشاؤه على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows XP و أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows Server 2003. يتم مسح محفوظات كافة تجزئات LM السابقة عند إكمال هذه الخطوات.
هام إذا كنت تقوم بإنشاء قالب نهج مخصص التي يمكن استخدامها على كل نظام التشغيل Windows 2000 و Windows XP أو Windows Server 2003، يمكنك إنشاء المفتاح وقيمة. القيمة في نفس المكان المفتاح ويتم قيمة 1 بتعطيل إنشاء تجزئة LM. تتم ترقية المفتاح عند ترقية نظام Windows 2000 إلى Windows Server 2003. ومع ذلك، إنها ليست هناك مشكلة في تطابق إذا كان كلا الإعدادات في التسجيل.

الطريقة الثالثة: استخدم كلمة مرور التي تم الأحرف في أقل من 15 طويل

إن أبسط طريقة لمنع Windows من تخزين تجزئة LM على كلمة المرور الخاصة بك هي استخدام كلمة مرور تتكون من الأقل من 15 حرفاً. في هذه الحالة، يقوم Windows بتخزين قيمة تجزئة LM لا يمكن استخدام مصادقة المستخدم.
l0phtcrack

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 299656 - آخر مراجعة: 12/03/2007 04:54:19 - المراجعة: 9.6

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows XP 64-Bit Edition Version 2002, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Server SP4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Advanced Server SP3, Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Professional SP2, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Datacenter Server SP2, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbmt kbenv kbinfo kbnetwork KB299656 KbMtar
تعليقات