Como impedir que o Windows armazene um hash do gerenciador de LAN de sua senha nos bancos de dados SAM locais e do Active Directory

  • Artigo

Este artigo fornece três métodos para impedir que o Windows armazene um hash do LAN Manager (LM) de sua senha nos bancos de dados SAM (Active Directory) e no SAM (Gerenciador de Contas de Segurança local).

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 299656

Resumo

O Windows não armazena a senha da sua conta de usuário em texto limpo. Em vez disso, ele gera e armazena senhas da conta de usuário usando duas representações de senha diferentes, conhecidas como hashes. Quando você define ou altera a senha de uma conta de usuário para uma senha que contém menos de 15 caracteres, o Windows gera um hash LM e um hash Windows NT (hash NT) da senha. Esses hashes são armazenados no banco de dados SAM local ou no Active Directory.

O hash LM é relativamente fraco em comparação com o hash NT, e é propenso a ataques rápidos de força bruta. Portanto, talvez você queira impedir que o Windows armazene um hash LM de sua senha. Este artigo descreve como fazer o Windows armazenar apenas o hash NT mais forte de sua senha.

Mais informações

Os servidores Windows 2000 e Windows Server 2003 podem autenticar usuários que se conectam de computadores que executam versões anteriores do Windows. No entanto, versões do Windows anteriores ao Windows 2000 não usam Kerberos para autenticação. Para compatibilidade com versões anteriores, o Windows 2000 e o Windows Server 2003 dão suporte:

  • Autenticação LM
  • autenticação de Windows NT (NTLM)
  • Autenticação NTLM versão 2 (NTLMv2)

NTLM, NTLMv2 e Kerberos usam o hash NT, também conhecido como hash unicode. O protocolo de autenticação LM usa o hash LM.

Você deve impedir o armazenamento do hash de LM se não precisar dele para compatibilidade com a reversão. Se sua rede contiver clientes Windows 95, Windows 98 ou Macintosh, você poderá enfrentar os seguintes problemas ao impedir o armazenamento de hashes de LM para seu domínio:

  • Usuários sem um hash LM não podem se conectar a um computador Windows 95 ou Windows 98 que está agindo como um servidor. Esse problema não ocorrerá se o Cliente dos Serviços de Diretório para Windows 95 e Windows 98 estiver instalado no servidor.
  • Os usuários em computadores Windows 95 ou Windows 98 não podem se autenticar em servidores usando sua conta de domínio. Esse problema não ocorrerá se os usuários tiverem o Cliente dos Serviços de Diretório instalado em seus computadores.
  • Os usuários em computadores Windows 95 ou Windows 98 não podem se autenticar usando uma conta local em um servidor que desabilitou hashes de LM. Esse problema não ocorrerá se os usuários tiverem o Cliente dos Serviços de Diretório instalado em seus computadores.
  • Os usuários não podem alterar suas senhas de domínio de um computador Windows 95 ou Windows 98. Ou os usuários podem ter problemas de bloqueio de conta quando tentam alterar senhas desses clientes anteriores.
  • Os usuários de clientes do Macintosh Outlook 2001 não podem acessar suas caixas de correio em servidores do Microsoft Exchange. Os usuários podem ver o seguinte erro no Outlook:

    As credenciais de logon fornecidas estavam incorretas. Verifique se o nome de usuário e o domínio estão corretos e digite sua senha novamente.

Para impedir que o Windows armazene um hash LM de sua senha, use qualquer um dos métodos a seguir.

Método 1: implementar a política NoLMHash usando Política de Grupo

Para desabilitar o armazenamento de hashes LM das senhas de um usuário no banco de dados SAM do computador local no Windows XP ou no Windows Server 2003, use o Local Política de Grupo. Para desabilitar o armazenamento de hashes LM das senhas de um usuário em um ambiente do Active Directory do Windows Server 2003, use Política de Grupo no Active Directory. Siga estas etapas:

  1. Em Política de Grupo, expanda Configurações> do ComputadorConfigurações do Windows Configurações>de Segurança Políticas>locais e selecione Opções de segurança.
  2. Na lista de políticas disponíveis, clique duas vezes em Segurança de rede: não armazene o valor de hash do LAN Manager na próxima alteração de senha.
  3. Selecione Habilitado>OK.

Método 2: implementar a política NoLMHash editando o registro

No Windows 2000 Service Pack 2 (SP2) e posterior, use um dos procedimentos a seguir para impedir que o Windows armazene um valor de hash LM na próxima alteração de senha.

Windows 2000 SP2 e Posterior

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer o backup e a restauração do Registro no Windows

A chave do Registro NoLMHash e sua funcionalidade não foram testadas ou documentadas e devem ser consideradas inseguras para uso em ambientes de produção antes do Windows 2000 SP2.

Para adicionar essa chave usando o Registro Editor, siga estas etapas:

  1. Iniciar Editor de Registro (Regedt32.exe).

  2. Localize e selecione a seguinte chave:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. No menu Editar , clique em Adicionar Chave, digite NoLMHashe pressione Enter.

  4. Saia do Editor do Registro.

  5. Reinicie o computador e altere sua senha para tornar a configuração ativa.

Observação

  • Essa alteração de chave de registro deve ser feita em todos os controladores de domínio do Windows 2000 para desabilitar o armazenamento de hashes LM das senhas dos usuários em um ambiente do Windows 2000 Active Directory.
  • Essa chave de registro impede que novos hashes de LM sejam criados em computadores Windows 2000. Mas isso não limpa o histórico de hashes de LM anteriores armazenados. Hashes LM existentes armazenados serão removidos à medida que você alterar senhas.

Windows XP e Windows Server 2003

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer o backup e a restauração do Registro no Windows

Para adicionar esse valor DWORD usando o Registro Editor, siga estas etapas:

  1. Selecione Iniciar>Execução, digite regedit e clique em OK.

  2. Localize e selecione a seguinte chave no registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. No menu Editar, aponte para Novo e clique em Valor DWORD.

  4. Digite NoLMHash e pressione ENTER.

  5. No menu Editar, selecione Modificar.

  6. Digite 1 e selecione OK.

  7. Reinicie seu computador e altere sua senha.

Observação

  • Essa alteração de registro deve ser feita em todos os controladores de domínio do Windows Server 2003 para desabilitar o armazenamento de hashes LM das senhas dos usuários em um ambiente do Windows 2003 Active Directory. Se você for um administrador de domínio, poderá usar Usuários e Computadores do Active Directory MMC (Microsoft Management Console) para implantar essa política em todos os controladores de domínio ou em todos os computadores no domínio, conforme descrito no Método 1 (Implementar a Política noLMHash usando Política de Grupo).
  • Esse valor DWORD impede que novos hashes de LM sejam criados em computadores baseados em Windows XP e computadores baseados no Windows Server 2003. O histórico de todos os hashes de LM anteriores é limpo quando você conclui essas etapas.

Importante

Se você estiver criando um modelo de política personalizado que pode ser usado tanto no Windows 2000 quanto no Windows XP ou no Windows Server 2003, você poderá criar a chave e o valor. O valor está no mesmo lugar que a chave e um valor de 1 desabilita a criação de hash LM. A chave é atualizada quando um sistema Windows 2000 é atualizado para o Windows Server 2003. No entanto, tudo bem se ambas as configurações estiverem no registro.

Método 3: usar uma senha com pelo menos 15 caracteres

A maneira mais simples é usar uma senha com pelo menos 15 caracteres. Nesse caso, o Windows armazena um valor de hash LM que não pode ser usado para autenticar o usuário.