Cómo evitar que Windows almacene un hash de administrador de LAN de la contraseña en Active Directory y bases de datos SAM locales

  • Artículo

En este artículo se proporcionan tres métodos para evitar que Windows almacene un hash del Administrador de LAN (LM) de la contraseña en Active Directory y bases de datos locales del Administrador de cuentas de seguridad (SAM).

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 299656

Resumen

Windows no almacena la contraseña de la cuenta de usuario en texto no cifrado. En su lugar, genera y almacena contraseñas de cuenta de usuario mediante dos representaciones de contraseña diferentes, conocidas como hashes. Al establecer o cambiar la contraseña de una cuenta de usuario a una contraseña que contiene menos de 15 caracteres, Windows genera un hash LM y un hash de Windows NT (hash NT) de la contraseña. Estos hashes se almacenan en la base de datos SAM local o Active Directory.

El hash LM es relativamente débil en comparación con el hash NT y es propenso a un ataque rápido por fuerza bruta. Por lo tanto, es posible que quiera evitar que Windows almacene un hash LM de la contraseña. En este artículo se describe cómo hacer que Windows solo almacene el hash NT más seguro de la contraseña.

Más información

Los servidores de Windows 2000 y Windows Server 2003 pueden autenticar a los usuarios que se conectan desde equipos que ejecutan versiones anteriores de Windows. Sin embargo, las versiones de Windows anteriores a Windows 2000 no usan Kerberos para la autenticación. Por compatibilidad con versiones anteriores, windows 2000 y Windows Server 2003 admiten:

  • Autenticación LM
  • Autenticación de Windows NT (NTLM)
  • Autenticación NTLM versión 2 (NTLMv2)

NTLM, NTLMv2 y Kerberos usan el hash NT, también conocido como hash Unicode. El protocolo de autenticación LM usa el hash LM.

Debe evitar el almacenamiento del hash lm si no lo necesita para la compatibilidad con versiones anteriores. Si la red contiene clientes de Windows 95, Windows 98 o Macintosh, puede experimentar los siguientes problemas al impedir el almacenamiento de hash lm para su dominio:

  • Los usuarios sin un hash LM no pueden conectarse a un equipo con Windows 95 o Windows 98 que actúe como servidor. Este problema no se produce si el cliente de Servicios de directorio para Windows 95 y Windows 98 está instalado en el servidor.
  • Los usuarios de equipos con Windows 95 o Windows 98 no pueden autenticarse en los servidores mediante su cuenta de dominio. Este problema no se produce si los usuarios tienen instalado el cliente de Servicios de directorio en sus equipos.
  • Los usuarios de equipos con Windows 95 o Windows 98 no pueden autenticarse mediante una cuenta local en un servidor que haya deshabilitado los hashes LM. Este problema no se produce si los usuarios tienen instalado el cliente de Servicios de directorio en sus equipos.
  • Los usuarios no pueden cambiar sus contraseñas de dominio desde un equipo Con Windows 95 o Windows 98. O bien, los usuarios pueden experimentar problemas de bloqueo de cuentas cuando intentan cambiar las contraseñas de estos clientes anteriores.
  • Los usuarios de los clientes de Macintosh Outlook 2001 no pueden acceder a sus buzones en servidores de Microsoft Exchange. Los usuarios pueden ver el siguiente error en Outlook:

    Las credenciales de inicio de sesión proporcionadas eran incorrectas. Asegúrese de que el nombre de usuario y el dominio son correctos y vuelva a escribir la contraseña.

Para evitar que Windows almacene un hash LM de la contraseña, use cualquiera de los métodos siguientes.

Método 1: Implementar la directiva NoLMHash mediante directiva de grupo

Para deshabilitar el almacenamiento de hashes LM de las contraseñas de un usuario en la base de datos SAM del equipo local en Windows XP o Windows Server 2003, use directiva de grupo local. Para deshabilitar el almacenamiento de hash lm de las contraseñas de un usuario en un entorno de Active Directory de Windows Server 2003, use directiva de grupo en Active Directory. Siga estos pasos:

  1. En directiva de grupo, expanda Configuración> del equipoConfiguración de Windows Configuración>de seguridad Directivas>locales y, a continuación, seleccione Opciones de seguridad.
  2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacene el valor hash del Administrador de LAN en el siguiente cambio de contraseña.
  3. Seleccione Habilitado>Aceptar.

Método 2: Implementar la directiva NoLMHash editando el Registro

En Windows 2000 Service Pack 2 (SP2) y versiones posteriores, use uno de los procedimientos siguientes para evitar que Windows almacene un valor hash LM en el siguiente cambio de contraseña.

Windows 2000 SP2 y versiones posteriores

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

La clave del Registro NoLMHash y su funcionalidad no se probaron ni documentaron y deben considerarse no seguras para su uso en entornos de producción antes de Windows 2000 SP2.

Para agregar esta clave mediante Editor del Registro, siga estos pasos:

  1. Inicie el editor del Registro (Regedt32.exe).

  2. Busque y seleccione la clave siguiente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. En el menú Editar , haga clic en Agregar clave, escriba NoLMHashy, a continuación, presione Entrar.

  4. Salga del Editor del Registro.

  5. Reinicie el equipo y, a continuación, cambie la contraseña para activar la configuración.

Nota:

  • Este cambio de clave del Registro debe realizarse en todos los controladores de dominio de Windows 2000 para deshabilitar el almacenamiento de hash lm de las contraseñas de los usuarios en un entorno de Windows 2000 Active Directory.
  • Esta clave del Registro impide que se creen nuevos hash lm en equipos Windows 2000. Pero no borra el historial de hash lm anteriores que se almacenan. Los hash lm existentes que se almacenan se quitarán a medida que cambie las contraseñas.

Windows XP y Windows Server 2003

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

Para agregar este valor DWORD mediante Editor del Registro, siga estos pasos:

  1. Seleccione Iniciar>ejecución, escriba regedit y haga clic en Aceptar.

  2. Busque y seleccione la siguiente clave en el Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.

  4. Escriba NoLMHash y presione ENTRAR.

  5. En el menú Edición, seleccione Modificar.

  6. Escriba 1 y, a continuación, seleccione Aceptar.

  7. Reinicie el equipo y cambie la contraseña.

Nota:

  • Este cambio del Registro debe realizarse en todos los controladores de dominio de Windows Server 2003 para deshabilitar el almacenamiento de hash lm de las contraseñas de los usuarios en un entorno de Active Directory de Windows 2003. Si es administrador de dominio, puede usar Usuarios y equipos de Active Directory Microsoft Management Console (MMC) para implementar esta directiva en todos los controladores de dominio o en todos los equipos del dominio, como se describe en método 1 (Implementar la directiva NoLMHash mediante directiva de grupo).
  • Este valor DWORD impide que se creen nuevos hash lm en equipos basados en Windows XP y equipos basados en Windows Server 2003. El historial de todos los hashes LM anteriores se borra cuando se completan estos pasos.

Importante

Si va a crear una plantilla de directiva personalizada que se puede usar en Windows 2000 y Windows XP o Windows Server 2003, puede crear la clave y el valor. El valor está en el mismo lugar que la clave y un valor de 1 deshabilita la creación de hash LM. La clave se actualiza cuando un sistema windows 2000 se actualiza a Windows Server 2003. Sin embargo, está bien si ambas configuraciones están en el registro.

Método 3: Usar una contraseña de al menos 15 caracteres

La manera más sencilla es usar una contraseña de al menos 15 caracteres. En este caso, Windows almacena un valor hash LM que no se puede usar para autenticar al usuario.