Miként akadályozható meg, hogy a Windows a jelszó LAN-kezelő által létrehozott üzenetkivonatát az Active Directory címtárban és a helyi SAM-adatbázisokban tárolja

Fontos! Ebben a cikkben a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosításával kapcsolatos tudnivalók olvashatók. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése

Összefoglaló

A Windows a felhasználói fiókok jelszavait nem egyszerű szöveges formátumban tárolja, hanem két eltérő jelszóformátummá, ismertebb néven „kivonatokká” alakítja át azokat. A felhasználói jelszavak beállításakor vagy módosításakor a Windows a 15 karakternél rövidebb jelszavak esetében egyaránt létrehozza a jelszó LAN Manager-kivonatát (LM-kivonat) és Windows NT-kivonatát (NT-kivonat). Ezeket a kivonatokat a helyi Biztonsági fiókkezelő (SAM) szolgáltatás adatbázisában vagy az Active Directory címtárban tárolja.

Az LM-kivonat az NT-kivonathoz képest gyenge titkosításnak számít, ezért kevésbé védett a gyors jelszófeltörő programokkal szemben, ezért célszerű lehet megakadályozni azt, hogy a Windows LM-kivonatban tárolja a jelszót. Ez a cikk ezt az eljárást ismerteti, amelynek eredményeképpen a Windows csak az erősebb titkosítású NT-kivonatban fogja tárolni a jelszót.

További információ

A Windows 2000- és Windows Server 2003-alapú kiszolgálók képesek a Windows korábbi verzióit futtató számítógépekről kapcsolódó felhasználók hitelesítésére. A Windows 2000 rendszernél korábbi verziójú Windows rendszerek azonban nem használnak Kerberos-hitelesítést. A visszamenőleges kompatibilitás érdekében a Windows 2000 és a Windows Server 2003 támogatja az LM-, az NTLM- és az NTLMv2-hitelesítést. Az NTLM, az NTLMv2 és a Kerberos mind az NT-kivonatot használja, amelyet Unicode-kivonatnak is neveznek. Az LM-hitelesítési protokoll az LM-kivonatot használja.

Az LM-kivonat tárolását célszerű megakadályozni, kivéve, ha a visszamenőleges kompatibilitás miatt szükség van rá. Ha a hálózathoz Windows 95-, Windows 98- vagy Macintosh-alapú ügyfélszámítógépek is csatlakoznak, a következő problémák jelentkezhetnek az LM-kivonatok tartományban történő tárolásának megakadályozása esetén:
  • Az LM-kivonattal nem rendelkező felhasználók csak abban az esetben tudnak Windows 95- vagy Windows 98-alapú, kiszolgálóként működő számítógépekhez csatlakozni, ha a Windows 95 és Windows 98 rendszerhez készült Címszolgáltatások ügyfélprogram telepítve van a kiszolgálón.
  • A Windows 95- vagy Windows 98-alapú számítógépet használókat csak abban az esetben tudják hitelesíteni a kiszolgálók a tartományi fiókjuk alapján, ha e számítógépeken telepítve van a Címszolgáltatások ügyfélprogram.
  • A Windows 95- vagy Windows 98-alapú számítógépet használókat a helyi fiókjuk alapján csak abban az esetben tudják hitelesíteni az LM-kivonatok használatát letiltó kiszolgálók, ha e számítógépeken telepítve van a Címszolgáltatások ügyfélprogram.
  • Előfordulhat, hogy a felhasználók nem tudják módosítani tartományi jelszavukat Windows 95- vagy Windows 98-alapú számítógépről, illetve ilyen esetekben fiókzárolási problémák felléphetnek.
  • Előfordulhat, hogy a Macintosh Outlook 2001-ügyfelek nem férnek hozzá a Microsoft Exchange-kiszolgálókon lévő postafiókjukhoz. Az Outlook programban a következőhöz hasonló hibaüzenet jelenhet meg:
    A megadott bejelentkezési hitelesítő adatok nem megfelelőek. Ellenőrizze, hogy helyes felhasználónevet és tartományt adott-e meg, majd írja be ismét a jelszavát.
A Windows 95 és Windows 98 rendszerhez készült Címtárszolgáltatások ügyfélprogram beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

323455 A Windows 98 rendszer frissítése a Címtárszolgáltatások ügyfélprogrammal (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A következő módszerek bármelyikével megakadályozhatja, hogy a Windows a jelszó LM-kivonatát tárolja.

1. módszer: A NoLMHash házirend engedélyezése a csoportházirend használatával

Ha le szeretné tiltani a felhasználói jelszavak LM-kivonatainak a helyi számítógép SAM-adatbázisaiban történő tárolását a helyi csoportházirend használatával (Windows XP vagy Windows Server 2003 rendszerben), illetve Windows Server 2003 Active Directory-környezetben az Active Directory csoportházirendjének használatával (Windows Server 2003 rendszerben), kövesse az alábbi lépéseket:
  1. A Csoportháziren ablakban bontsa ki a Számítógép konfigurációja, a Windows beállításai, a Biztonsági beállítások, és végül a Helyi házirendek csomópontot, majd kattintson a Biztonsági lehetőségek elemre.
  2. Az elérhető házirendek listájában kattintson duplán a Hálózati biztonság: A következő jelszómódosításkor ne tárolja a LAN-kezelő üzenetkivonatát elemre.
  3. Kattintson az Engedélyezve elemre, majd az OK gombra.

2. módszer: A NoLMHash házirend engedélyezése a beállításjegyzék módosításával

Windows 2000 Service Pack 2 (SP2) és újabb rendszerben a következő eljárásokkal akadályozhatja meg, hogy a Windows a következő jelszómódosításkor tárolja a jelszó LM-kivonatát.

Windows 2000 SP2 és újabb rendszer esetén

Figyelem! A Beállításszerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Beállításszerkesztőt csak saját felelősségére használhatja.
Fontos: A NoLMHash beállításkulcsot és annak működését nem tesztelték és nem dokumentálták, ezért nem tekinthető biztonságosnak a Windows 2000 SP2 rendszernél korábbi rendszert használó munkakörnyezetekben.

A kulcs Beállításszerkesztővel történő hozzáadásához kövesse az alábbi lépéseket:
  1. Indítsa el a Beállításszerkesztőt (korábbi nevén Rendszerleíróadatbázis-szerkesztő) (Regedt32.exe).
  2. Keresse meg, majd kattintson a következő kulcsra:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára, és írja be a NoLMHash értéket, majd nyomja le az ENTER billentyűt.
  4. Lépjen ki a Beállításszerkesztőből.
  5. Indítsa újra a számítógépet, majd módosítsa a jelszót a beállítás aktiválásához.
Megjegyzések
  • Ezt a beállításkulcsot Windows 2000 Active Directory-környezetben az összes Windows 2000-alapú tartományvezérlőn módosítani kell ahhoz, hogy a felhasználói jelszavak LM-kivonatának tárolása le legyen tiltva.
  • Ez a beállításkulcs megakadályozza az új LM-kivonatok létrehozását a Windows 2000-alapú számítógépeken, de nem törli a számítógépeken tárolt korábbi LM-kivonatok előzményeit. A számítógépeken tárolt meglévő LM-kivonatokat a jelszavak módosításakor távolítja el a rendszer.

Windows XP és Windows Server 2003 rendszer esetén

Figyelem: A Beállításszerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Beállításszerkesztőt csak saját felelősségére használhatja.Figyelem: A Beállításszerkesztő (Rendszerleíróadatbázis-szerkesztő) helytelen használata az operációs rendszer újratelepítését is szükségessé tehető, komoly problémákat is okozhat. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a Beállításszerkesztőt csak saját felelősségére használhatja.
E duplaszóérték Beállításszerkesztővel történő hozzáadásához kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot (korábbi nevén rendszerleíró kulcs), majd kattintson rá:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be a NoLMHash értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a Szerkesztés menü Módosítás parancsára.
  6. Írja be az 1 értéket, majd kattintson az OK gombra.
  7. Indítsa újra a számítógépet, majd módosítsa a jelszót.
Megjegyzések
  • A beállításjegyzék e módosítását Windows 2003 Active Directory-környezetben az összes Windows Server 2003-alapú tartományvezérlőn módosítani kell ahhoz, hogy a felhasználói jelszavak LM-kivonatának tárolása le legyen tiltva. A rendszergazdák az Active Directory – Felhasználók és számítógépek MMC-konzol használatával helyezhetik üzembe ezt a házirendet a tartomány összes tartományvezérlőjén és számítógépén az 1. módszer útmutatása szerint (A NoLMHash házirend engedélyezése a csoportházirend használatával).
  • Ezzel a duplaszóértékkel megakadályozható az új LM-kivonatok létrehozása Windows XP- és Windows Server 2003-alapú számítógépeken. Az összes korábbi LM-kivonat előzménye e lépések végrehajtása után törlődik.
Fontos: Ha létrehoz egy egyéni házirendsablont, amely Windows 2000, Windows XP és Windows Server 2003 rendszerben is használható, a kulcsot és az értéket egyaránt létrehozhatja. Az érték ugyanott található, ahol a kulcs, és az 1 érték letiltja az LM-kivonatok létrehozását. A Windows 2000 rendszer Windows Server 2003 rendszerre történő frissítése a kulcsot is frissíti. Célszerű azonban mindkét beállítást megadni a beállításjegyzékben.

3. módszer: Legalább 15 karaktert tartalmazó jelszó megadása

A legegyszerűbben úgy akadályozhatja meg, hogy a Windows tárolja a jelszavak LM-kivonatát, hogy legalább 15 karakter hosszúságú jelszót használ. Ebben az esetben a Windows által tárolt LM-kivonat nem alkalmas a felhasználó hitelesítésére.
Tulajdonságok

Cikkazonosító: 299656 - Utolsó ellenőrzés: 2008. jan. 13. - Verziószám: 1

Visszajelzés