Comment empêcher Windows de stocker un hachage du gestionnaire LAN de votre mot de passe dans Active Directory et des bases de données SAM locales

  • Article

Cet article fournit trois méthodes pour empêcher Windows de stocker un hachage LAN Manager (LM) de votre mot de passe dans Active Directory et les bases de données du Gestionnaire de comptes de sécurité (SAM) locales.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 299656

Résumé

Windows ne stocke pas le mot de passe de votre compte d’utilisateur en texte clair. Au lieu de cela, il génère et stocke les mots de passe de compte d’utilisateur à l’aide de deux représentations de mot de passe différentes, appelées hachages. Lorsque vous définissez ou remplacez le mot de passe d’un compte d’utilisateur par un mot de passe contenant moins de 15 caractères, Windows génère à la fois un hachage LM et un hachage Windows NT (hachage NT) du mot de passe. Ces hachages sont stockés dans la base de données SAM locale ou Active Directory.

Le hachage LM est relativement faible par rapport au hachage NT, et il est sujet à une attaque par force brute rapide. Vous souhaiterez donc peut-être empêcher Windows de stocker un hachage LM de votre mot de passe. Cet article explique comment faire en sorte que Windows stocke uniquement le hachage NT le plus fort de votre mot de passe.

Plus d’informations

Les serveurs Windows 2000 et Windows Server 2003 peuvent authentifier les utilisateurs qui se connectent à partir d’ordinateurs exécutant des versions antérieures de Windows. Toutefois, les versions de Windows antérieures à Windows 2000 n’utilisent pas Kerberos pour l’authentification. Pour la compatibilité descendante, Windows 2000 et Windows Server 2003 prennent en charge :

  • Authentification LM
  • Authentification Windows NT (NTLM)
  • Authentification NTLM version 2 (NTLMv2)

NTLM, NTLMv2 et Kerberos utilisent tous le hachage NT, également appelé hachage Unicode. Le protocole d’authentification LM utilise le hachage LM.

Vous devez empêcher le stockage du hachage LM si vous n’en avez pas besoin pour la compatibilité descendante. Si votre réseau contient des clients Windows 95, Windows 98 ou Macintosh, vous pouvez rencontrer les problèmes suivants lorsque vous empêchez le stockage des hachages LM pour votre domaine :

  • Les utilisateurs sans hachage LM ne peuvent pas se connecter à un ordinateur Windows 95 ou Windows 98 qui fait office de serveur. Ce problème ne se produit pas si le client services d’annuaire pour Windows 95 et Windows 98 est installé sur le serveur.
  • Les utilisateurs sur des ordinateurs Windows 95 ou Windows 98 ne peuvent pas s’authentifier auprès des serveurs à l’aide de leur compte de domaine. Ce problème ne se produit pas si le client des services d’annuaire est installé sur leurs ordinateurs par les utilisateurs.
  • Les utilisateurs sur des ordinateurs Windows 95 ou Windows 98 ne peuvent pas s’authentifier à l’aide d’un compte local sur un serveur qui a désactivé les hachages LM. Ce problème ne se produit pas si le client des services d’annuaire est installé sur leurs ordinateurs par les utilisateurs.
  • Les utilisateurs ne peuvent pas modifier leurs mots de passe de domaine à partir d’un ordinateur Windows 95 ou Windows 98. Ou bien, les utilisateurs peuvent rencontrer des problèmes de verrouillage de compte lorsqu’ils tentent de modifier les mots de passe de ces clients antérieurs.
  • Les utilisateurs des clients Macintosh Outlook 2001 ne peuvent pas accéder à leurs boîtes aux lettres sur les serveurs Microsoft Exchange. Les utilisateurs peuvent voir l’erreur suivante dans Outlook :

    Les informations d’identification d’ouverture de session fournies étaient incorrectes. Vérifiez que votre nom d’utilisateur et votre domaine sont corrects, puis tapez à nouveau votre mot de passe.

Pour empêcher Windows de stocker un hachage LM de votre mot de passe, utilisez l’une des méthodes suivantes.

Méthode 1 : Implémenter la stratégie NoLMHash à l’aide de stratégie de groupe

Pour désactiver le stockage des hachages LM des mots de passe d’un utilisateur dans la base de données SAM de l’ordinateur local dans Windows XP ou Windows Server 2003, utilisez local stratégie de groupe. Pour désactiver le stockage des hachages LM des mots de passe d’un utilisateur dans un environnement Windows Server 2003 Active Directory, utilisez stratégie de groupe dans Active Directory. Procédez comme suit :

  1. Dans stratégie de groupe, développez Configuration> ordinateurParamètres> WindowsParamètres> de sécuritéStratégies locales, puis sélectionnez Options de sécurité.
  2. Dans la liste des stratégies disponibles, double-cliquez sur Sécurité réseau : ne stockez pas la valeur de hachage du gestionnaire de réseau local lors de la prochaine modification du mot de passe.
  3. Sélectionnez Activé>OK.

Méthode 2 : Implémenter la stratégie NoLMHash en modifiant le Registre

Dans Windows 2000 Service Pack 2 (SP2) et versions ultérieures, utilisez l’une des procédures suivantes pour empêcher Windows de stocker une valeur de hachage LM lors de votre prochaine modification de mot de passe.

Windows 2000 SP2 et versions ultérieures

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

La clé de Registre NoLMHash et ses fonctionnalités n’ont pas été testées ou documentées et doivent être considérées comme dangereuses pour une utilisation dans les environnements de production avant Windows 2000 SP2.

Pour ajouter cette clé à l’aide du Registre Rédacteur, procédez comme suit :

  1. Lancez un Éditeur du Registre (Regedt32.exe).

  2. Recherchez et sélectionnez la clé suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Dans le menu Modifier , cliquez sur Ajouter une clé, tapez NoLMHash, puis appuyez sur Entrée.

  4. Fermez l’Éditeur du Registre.

  5. Redémarrez l’ordinateur, puis modifiez votre mot de passe pour activer le paramètre.

Remarque

  • Cette modification de clé de Registre doit être effectuée sur tous les contrôleurs de domaine Windows 2000 pour désactiver le stockage des hachages LM des mots de passe des utilisateurs dans un environnement Windows 2000 Active Directory.
  • Cette clé de Registre empêche la création de nouveaux hachages LM sur les ordinateurs Windows 2000. Mais il n’efface pas l’historique des hachages LM précédents qui sont stockés. Les hachages LM existants qui sont stockés sont supprimés à mesure que vous modifiez les mots de passe.

Windows XP et Windows Server 2003

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour ajouter cette valeur DWORD à l’aide du Registre Rédacteur, procédez comme suit :

  1. Sélectionnez Démarrer>l’exécution, tapez regedit, puis cliquez sur OK.

  2. Recherchez et sélectionnez la clé suivante dans le Registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Tapez NoLMHash, puis appuyez sur ENTRÉE.

  5. Dans le menu Edition, sélectionnez Modifier.

  6. Tapez 1, puis sélectionnez OK.

  7. Redémarrez votre ordinateur, puis modifiez votre mot de passe.

Remarque

  • Cette modification du Registre doit être effectuée sur tous les contrôleurs de domaine Windows Server 2003 pour désactiver le stockage des hachages LM des mots de passe des utilisateurs dans un environnement Windows 2003 Active Directory. Si vous êtes administrateur de domaine, vous pouvez utiliser Utilisateurs et ordinateurs Active Directory Console de gestion Microsoft (MMC) pour déployer cette stratégie sur tous les contrôleurs de domaine ou tous les ordinateurs du domaine, comme décrit dans la méthode 1 (Implémenter la stratégie NoLMHash à l’aide de stratégie de groupe).
  • Cette valeur DWORD empêche la création de nouveaux hachages LM sur les ordinateurs Windows XP et Windows Server 2003. L’historique de tous les hachages LM précédents est effacé lorsque vous effectuez ces étapes.

Importante

Si vous créez un modèle de stratégie personnalisé qui peut être utilisé sur Windows 2000 et Windows XP ou Windows Server 2003, vous pouvez créer la clé et la valeur. La valeur se trouve au même endroit que la clé, et la valeur 1 désactive la création de hachage LM. La clé est mise à niveau lorsqu’un système Windows 2000 est mis à niveau vers Windows Server 2003. Toutefois, il est acceptable que les deux paramètres se trouvent dans le Registre.

Méthode 3 : utiliser un mot de passe d’au moins 15 caractères

Le moyen le plus simple consiste à utiliser un mot de passe d’au moins 15 caractères. Dans ce cas, Windows stocke une valeur de hachage LM qui ne peut pas être utilisée pour authentifier l’utilisateur.