Voorkomen dat Windows een LAN Manager-hash van uw wachtwoord opslaat in Active Directory en lokale SAM-databases

  • Artikel

Dit artikel bevat drie methoden om te voorkomen dat Windows een LM-hash (LAN Manager) van uw wachtwoord opslaat in Active Directory en lokale SAM-databases (Security Accounts Manager).

Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 299656

Samenvatting

Windows slaat het wachtwoord van uw gebruikersaccount niet op in clear-text. In plaats daarvan worden gebruikersaccountwachtwoorden gegenereerd en opgeslagen met behulp van twee verschillende wachtwoordweergaven, ook wel hashes genoemd. Wanneer u het wachtwoord voor een gebruikersaccount instelt of wijzigt in een wachtwoord dat minder dan 15 tekens bevat, genereert Windows zowel een LM-hash als een Windows NT-hash (NT-hash) van het wachtwoord. Deze hashes worden opgeslagen in de lokale SAM-database of Active Directory.

De LM-hash is relatief zwak in vergelijking met de NT-hash en is gevoelig voor snelle brute force-aanvallen. U kunt dus voorkomen dat Windows een LM-hash van uw wachtwoord opslaat. In dit artikel wordt beschreven hoe u ervoor kunt zorgen dat Windows alleen de sterkere NT-hash van uw wachtwoord opslaat.

Meer informatie

Windows 2000- en Windows Server 2003-servers kunnen gebruikers verifiëren die verbinding maken vanaf computers met eerdere versies van Windows. Versies van Windows die ouder zijn dan Windows 2000 maken echter geen gebruik van Kerberos voor verificatie. Voor achterwaartse compatibiliteit ondersteunen Windows 2000 en Windows Server 2003:

  • LM-verificatie
  • Windows NT-verificatie (NTLM)
  • NTLM versie 2-verificatie (NTLMv2)

NTLM, NTLMv2 en Kerberos gebruiken allemaal de NT-hash, ook wel de Unicode-hash genoemd. Het LM-verificatieprotocol maakt gebruik van de LM-hash.

U moet de opslag van de LM-hash voorkomen als u deze niet nodig hebt voor achterwaartse compatibiliteit. Als uw netwerk Windows 95-, Windows 98- of Macintosh-clients bevat, kunnen de volgende problemen optreden wanneer u de opslag van LM-hashes voor uw domein verhindert:

  • Gebruikers zonder LM-hash kunnen geen verbinding maken met een Windows 95- of Windows 98-computer die als server fungeert. Dit probleem treedt niet op als de Directory Services-client voor Windows 95 en Windows 98 op de server is geïnstalleerd.
  • Gebruikers op Windows 95- of Windows 98-computers kunnen zich niet verifiëren bij servers met behulp van hun domeinaccount. Dit probleem treedt niet op als de gebruikers de Directory Services-client op hun computers hebben geïnstalleerd.
  • Gebruikers op Windows 95- of Windows 98-computers kunnen zich niet verifiëren met behulp van een lokaal account op een server waarop LM-hashes zijn uitgeschakeld. Dit probleem treedt niet op als de gebruikers de Directory Services-client op hun computers hebben geïnstalleerd.
  • Gebruikers kunnen hun domeinwachtwoorden niet wijzigen vanaf een Windows 95- of Windows 98-computer. Of gebruikers kunnen problemen ondervinden met het vergrendelen van accounts wanneer ze proberen wachtwoorden van deze eerdere clients te wijzigen.
  • Gebruikers van Macintosh Outlook 2001-clients hebben geen toegang tot hun postvakken op Microsoft Exchange-servers. Gebruikers kunnen de volgende fout zien in Outlook:

    De opgegeven aanmeldingsreferenties zijn onjuist. Controleer of uw gebruikersnaam en domein juist zijn en typ uw wachtwoord opnieuw.

Gebruik een van de volgende methoden om te voorkomen dat Windows een LM-hash van uw wachtwoord opslaat.

Methode 1: Het NoLMHash-beleid implementeren met behulp van groepsbeleid

Als u de opslag van LM-hashes van de wachtwoorden van een gebruiker in de SAM-database van de lokale computer in Windows XP of Windows Server 2003 wilt uitschakelen, gebruikt u Lokaal groepsbeleid. Als u de opslag van LM-hashes van de wachtwoorden van een gebruiker in een Windows Server 2003 Active Directory-omgeving wilt uitschakelen, gebruikt u groepsbeleid in Active Directory. Volg deze stappen:

  1. Vouw in groepsbeleid Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid uit en selecteer vervolgens Beveiligingsopties.
  2. Dubbelklik in de lijst met beschikbare beleidsregels op Netwerkbeveiliging: Sla de hash-waarde van LAN Manager niet op bij de volgende wachtwoordwijziging.
  3. Selecteer Ingeschakeld>OK.

Methode 2: Het NoLMHash-beleid implementeren door het register te bewerken

Gebruik in Windows 2000 Service Pack 2 (SP2) en hoger een van de volgende procedures om te voorkomen dat Windows een LM-hash-waarde opslaat bij uw volgende wachtwoordwijziging.

Windows 2000 SP2 en hoger

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:

322756 Een back-up van het register maken en het register terugzetten in Windows

De NoLMHash-registersleutel en de functionaliteit ervan zijn niet getest of gedocumenteerd en moeten als onveilig worden beschouwd voor gebruik in productieomgevingen vóór Windows 2000 SP2.

Voer de volgende stappen uit om deze sleutel toe te voegen met register Editor:

  1. Start register Editor (Regedt32.exe).

  2. Zoek en selecteer vervolgens de volgende sleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Klik in het menu Bewerken op Toets toevoegen, typ NoLMHashen druk op Enter.

  4. Sluit de Register-editor af.

  5. Start de computer opnieuw op en wijzig uw wachtwoord om de instelling actief te maken.

Opmerking

  • Deze registersleutelwijziging moet worden aangebracht op alle Windows 2000-domeincontrollers om de opslag van LM-hashes van wachtwoorden van gebruikers in een Windows 2000 Active Directory-omgeving uit te schakelen.
  • Deze registersleutel voorkomt dat nieuwe LM-hashes worden gemaakt op Windows 2000-computers. Maar de geschiedenis van eerdere LM-hashes die zijn opgeslagen, wordt niet gewist. Bestaande LM-hashes die zijn opgeslagen, worden verwijderd wanneer u wachtwoorden wijzigt.

Windows XP en Windows Server 2003

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:

322756 Een back-up van het register maken en het register terugzetten in Windows

Voer de volgende stappen uit om deze DWORD-waarde toe te voegen met behulp van Register Editor:

  1. Selecteer Start>Run, typ regedit en klik vervolgens op OK.

  2. Zoek en selecteer vervolgens de volgende sleutel in het register:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Open het menu Bewerken, wijs Nieuw aan en klik op DWORD Value.

  4. Typ NoLMHash en druk vervolgens op Enter.

  5. Selecteer in het menu Bewerken de optie Wijzigen.

  6. Typ 1 en selecteer VERVOLGENS OK.

  7. Start de computer opnieuw op en wijzig uw wachtwoord.

Opmerking

  • Deze registerwijziging moet worden aangebracht op alle Windows Server 2003-domeincontrollers om de opslag van LM-hashes van wachtwoorden van gebruikers in een Windows 2003 Active Directory-omgeving uit te schakelen. Als u een domeinbeheerder bent, kunt u Active Directory: gebruikers en computers Microsoft Management Console (MMC) gebruiken om dit beleid te implementeren op alle domeincontrollers of alle computers in het domein, zoals beschreven in methode 1 (Het NoLMHash-beleid implementeren met behulp van groepsbeleid).
  • Deze DWORD-waarde voorkomt dat nieuwe LM-hashes worden gemaakt op Windows XP-computers en Windows Server 2003-computers. De geschiedenis van alle vorige LM-hashes wordt gewist wanneer u deze stappen voltooit.

Belangrijk

Als u een aangepaste beleidssjabloon maakt die kan worden gebruikt in zowel Windows 2000 als Windows XP of Windows Server 2003, kunt u zowel de sleutel als de waarde maken. De waarde bevindt zich op dezelfde plaats als de sleutel en de waarde 1 schakelt het maken van LM-hashs uit. De sleutel wordt bijgewerkt wanneer een Windows 2000-systeem wordt bijgewerkt naar Windows Server 2003. Het is echter geen probleem als beide instellingen zich in het register bevinden.

Methode 3: Gebruik een wachtwoord van ten minste 15 tekens lang

De eenvoudigste manier is om een wachtwoord te gebruiken dat ten minste 15 tekens lang is. In dit geval slaat Windows een LM-hashwaarde op die niet kan worden gebruikt om de gebruiker te verifiëren.