So verhindern Sie, dass Windows LAN Manager-Hashwerte Ihres Kennworts in Active Directory und der lokalen SAM-Datenbank speichert


Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases
Wichtig Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung

Zusammenfassung


Anstatt Ihr Benutzerkennwort in Klartext zu speichern, erzeugt und speichert Windows Benutzerkennworte in Form von zwei verschiedenen Kennwort-Repräsentanzen, im Allgemeinen bekannt als "Hashes". Wenn Sie das Kennwort für ein Benutzerkonto in ein Kennwort mit weniger als 15 Zeichen festlegen oder ändern, erzeugt Windows sowohl einen LAN Manager-Hashwert (LM Hash) als auch einen Windows NT-Hashwert (NT Hash) für das Kennwort. Diese Hashwerte werden in der lokalen Datenbank der Sicherheitskontenverwaltung (SAM) oder in Active Directory gespeichert.

Der LM-Hashwert ist im Vergleich zum NT-Hashwert relativ schwach, und ist daher anfällig für schnelle Brute-Force-Angriffe. Daher wird empfohlen, dass Sie verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert. Dieser Artikel beschreibt, wie Sie dies tun können, so dass Windows nur den stärkeren NT-Hashwert Ihres Kennworts speichert.

Weitere Informationen


Windows 2000- und Windows Server 2003-basierte Server, können Benutzer authentifizieren, die sich von Computern aus anmelden, auf denen frühere Versionen von Windows ausgeführt werden. Windows-Versionen, die älter sind als Windows 2000 verwenden Kerberos jedoch nicht zur Authentifizierung. Um die Kompatibilität mit früheren Versionen zu gewährleisten, unterstützen Windows 2000 und Windows Server 2003 LAN Manager (LM)-Authentifizierung, Windows NT (NTLM)-Authentifizierung und NTLM Version 2 (NTLMv2)-Authentifizierung. NTLM, TNLMv2 und Kerberos verwenden den NT-Hash, der auch als Unicode-Hash bekannt ist. Das LM-Authentifizierungsprotokoll verwendet den LM-Hashwert.

Wenn Sie den LM-Hashwert nicht für die Kompatibilität mit früheren Versionen benötigen, speichern Sie ihn am besten nicht. Wenn in Ihrem Netzwerk Windows 95-, Windows 98- oder Macintosh-Clients vorhanden sind, können die folgenden Probleme auftreten, wenn Sie verhindern, dass LM-Hashwerte für Ihre Domäne gespeichert werden:
  • Benutzer ohne einen LM-Hashwert können sich nicht bei einem Windows 95- oder Windows 98-Computer anmelden, der als Server agiert, es sei denn der Client für Verzeichnisdienste für Windows 95 und Windows 98 ist auf dem Server installiert.
  • Benutzer von Windows 95- und Windows 98-Computern können sich nicht mit Ihrem Domänenkonto bei Servern authentifizieren, es sei denn Sie haben den Client für Verzeichnisdienste auf Ihren Computern installiert.
  • Benutzer von Windows 95- oder Windows 98-Computern können sich nicht mit ihrem lokalen Konto bei einem Server authentifizieren, wenn der Server LM-Hashwerte deaktiviert hat, es sei denn sie haben den Client für Verzeichnisdienste auf ihren Computern installiert.
  • Benutzer können möglicherweise Ihre Domänenpasswörter von einem Windows 95- oder Windows 98-Computer aus nicht ändern, oder es treten Probleme mit der Kontosperrung auf, wenn sie versuchen, Ihre Passwörter von Clients von diesen frühen Windows-Versionen aus zu ändern.
  • Benutzer von Macintosh Outlook 2001-Clients können möglicherweise nicht auf ihr Postfach auf Microsoft Exchange-Servern zugreifen. Eventuell wird die folgende Fehlermeldung in Outlook angezeigt:
    Die Anmeldeinformationen sind ungültig. Überprüfen Sie Benutzernamen und Domäne, und geben Sie das Kennwort erneut ein.
Um zu verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert, verwenden Sie eine der folgenden Methoden:

Methode 1: Implementieren Sie eine Gruppenrichtlinie für die Richtlinie "NoLMHash".

Gehen Sie folgendermaßen vor, um die Speicherung des LM-Hashwerts von Benutzerkennwörter in der SAM-Datenbank eines lokalen Computers mithilfe einer lokalen Gruppenrichtlinie (Windows XP oder Windows Server 2003) oder in einer Windows 2000 Server Active Directory-Umgebung mithilfe der Gruppenrichtlinie in Active Directory (Windows Server 2003), zu verhindern.
  1. Erweitern Sie in der Gruppenrichtlinie
    Computerkonfiguration, erweitern Sie
    Windows-Einstellungen, erweitern Sie
    Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf
    Sicherheitsoptionen.
  2. In der Liste der verfügbaren Richtlinien doppelklicken Sie auf Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern.
  3. Klicken Sie auf Aktiviert und anschließend auf OK.

Methode 2: Implementieren Sie die Richtlinie NoLMHash, indem Sie die Registrierung bearbeiten

Verwenden Sie unter 2000 Service Pack 2 (SP2) oder höher eine der folgenden Prozeduren, um zu verhindern, dass Windows einen Hash-Wert speichert, wenn Sie das nächste Mal Ihr Kennwort ändern.

Windows 2000 SP2 und höher

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Wichtig: Der Registrierungsschlüssel
NoLMHash und seine Funktionalitäten wurden nicht getestet oder dokumentiert. Bis zur Veröffentlichung von Windows 2000 SP2 sollte dieser in einer Produktionsumgebung als unsicher angesehen werden.

Um diesen Schlüssel mithilfe des Registrierungseditors hinzuzufügen, gehen Sie folgendermaßen vor:
  1. Starten Sie den Registrierungseditor (Regedt32.exe).
  2. Klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Klicken Sie im Menü Bearbeiten auf
    Schlüssel hinzufügen, geben Sie
    NoLmHash ein, und drücken Sie anschließend die [EINGABETASTE].
  4. Beenden Sie den Registrierungseditor.
  5. Starten Sie den Computer neu, und ändern Sie dann das Kennwort, damit die Einstellungen aktiv werden.
Hinweise
  • Diese Änderungen am Registrierungsschlüssel müssen auf allen Windows 2000-Domänencontrollern vorgenommen werden, um die Speicherung von LM-Hashwerten von Benutzerkennworten in einer Windows 2000 Active Directory-Umgebung zu deaktivieren.
  • Dieser Registrierungsschlüssel verhindert die Erstellung von neuen LM-Hashwerten auf Computern, auf denen Windows 2000 ausgeführt wird. Er löscht aber nicht den Verlauf der vorangegangenen LM-Hashwerte, die gespeichert sind. Gespeicherte LM-Hashwerte werden gelöscht, wenn Sie das Kennwort ändern.

Windows XP und Windows Server 2003

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Um diesen DWORD-Wert mithilfe des Registrierungseditors hinzuzufügen, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start und auf
    Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Zeigen Sie im Menü Bearbeiten auf
    Neu, und klicken Sie anschließend auf
    DWORD-Wert.
  4. Geben Sie NoLMHash ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie im Menü Bearbeiten auf
    Ändern.
  6. Geben Sie 1 ein, und klicken Sie auf
    OK.
  7. Starten Sie Ihren Computer neu und ändern Sie Ihr Kennwort.
Hinweise
  • Diese Änderungen an der Registrierung müssen auf allen Windows Server 2003-Domänencontrollern vorgenommen werden, um die Speicherung von LM-Hashwerten von Benutzerkennworten in einer Windows 2003 Active Directory-Umgebung zu deaktivieren. Wenn Sie ein Domänenadministrator sind, können Sie die Microsoft Management Console (MMC) für Active Directory-Benutzer und -Computer verwenden, um diese Richtlinie auf allen Domänencontrollern oder allen Computern in einer Domäne bereitzustellen, wie in Methode 1 beschrieben (Implementieren Sie eine Gruppenrichtlinie für die Richtlinie "NoLMHash").
  • Dieser DWORD-Wert verhindert, dass auf Computern, auf denen Windows XP oder Windows Server 2003 ausgeführt wird, neue LM-Hashwerte erzeugt werden. Der Verlauf aller vorangehenden LM-Hashwerte wird gelöscht, wenn Sie diese Schritte ausführen.
Wichtig Wenn Sie eine benutzerdefinierte Richtlinienvorlage erstellen, die sowohl auf Windows 2000, Windows XP als auch auf Windows Server 2003 verwendet werden soll, können Sie sowohl den Schlüssel als auch den Wert erzeugen. Der Wert befindet sich an der gleichen Stelle wie der Schlüssel. Ein Wert von 1 deaktiviert die Erstellung eines LM-Hashwertes. Der Schlüssel wird aktualisiert, wenn ein Windows 2000-System auf Windows Server 2003 aktualisiert wird. Es ist aber auch möglich, beide Einstellungen in der Registrierung zu belassen.

Methode 3: Verwenden Sie ein Kennwort, das mindestens 15 Zeichen lang ist.

Der einfachste Weg zu verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert, ist die Verwendung eines Kennworts, das mindestens 15 Zeichen lang ist. In diesem Fall speichert Windows einen LM-Hashwert, der nicht zur Authentifizierung des Benutzers verwendet werden kann.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.