Как запретить Windows хранить хэш вашего пароля диспетчера локальной сети в Active Directory и локальных базах данных SAM

  • Статья

В этой статье приведены три метода, чтобы предотвратить хранение хэша локальной сети диспетчера (LM) пароля в Active Directory и локальных базах данных диспетчера учетных записей безопасности (SAM).

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 299656

Сводка

Windows не сохраняет пароль учетной записи пользователя в виде ясного текста. Вместо этого он создает и сохраняет пароли учетных записей пользователей с помощью двух разных представлений паролей, известных как хэши. При установке или изменении пароля для учетной записи пользователя на пароль, содержащий менее 15 символов, Windows создает хэш LM и хэш Windows NT (NT-хэш) пароля. Эти хэши хранятся в локальной базе данных SAM или Active Directory.

Хэш LM относительно слаб по сравнению с хэшом NT, и он подвержен быстрой атаке методом подбора. Таким образом, вы можете запретить Windows хранить хэш LM вашего пароля. В этой статье описывается, как заставить Windows хранить только более надежный хэш NT пароля.

Дополнительная информация

Серверы Windows 2000 и Windows Server 2003 могут проверять подлинность пользователей, подключающихся с компьютеров под управлением более ранних версий Windows. Однако версии Windows, предшествующие Windows 2000, не используют Kerberos для проверки подлинности. Для обратной совместимости Windows 2000 и Windows Server 2003 поддерживают:

  • Проверка подлинности LM
  • проверка подлинности Windows NT (NTLM)
  • Проверка подлинности NTLM версии 2 (NTLMv2)

NTLM, NTLMv2 и Kerberos используют хэш NT, также известный как хэш Юникода. Протокол проверки подлинности LM использует хэш LM.

Следует запретить хранение хэша LM, если он не нужен для обратной совместимости. Если ваша сеть содержит клиенты Windows 95, Windows 98 или Macintosh, при запрете хранения хэшей LM для домена могут возникнуть следующие проблемы:

  • Пользователи без хэша LM не могут подключаться к компьютеру с Windows 95 или Windows 98, который выступает в качестве сервера. Эта проблема не возникает, если на сервере установлен клиент служб каталогов для Windows 95 и Windows 98.
  • Пользователи на компьютерах с Windows 95 или Windows 98 не могут проходить проверку подлинности на серверах с помощью учетной записи домена. Эта проблема не возникает, если на компьютерах пользователей установлен клиент служб каталогов.
  • Пользователи на компьютерах с Windows 95 или Windows 98 не могут пройти проверку подлинности с помощью локальной учетной записи на сервере с отключенными хэшами LM. Эта проблема не возникает, если на компьютерах пользователей установлен клиент служб каталогов.
  • Пользователи не могут изменять пароли домена на компьютерах с Windows 95 или Windows 98. Кроме того, пользователи могут столкнуться с проблемами с блокировкой учетных записей при попытке изменить пароли от предыдущих клиентов.
  • Пользователи клиентов Macintosh Outlook 2001 не могут получить доступ к своим почтовым ящикам на серверах Microsoft Exchange. Пользователи могут увидеть следующую ошибку в Outlook:

    Указанные учетные данные для входа были неверными. Убедитесь, что имя пользователя и домен заданы правильно, а затем введите пароль еще раз.

Чтобы предотвратить хранение хэша LM пароля в Windows, используйте любой из следующих методов.

Способ 1. Реализация политики NoLMHash с помощью групповая политика

Чтобы отключить хранение хэшей LM паролей пользователя в базе данных SAM локального компьютера в Windows XP или Windows Server 2003, используйте локальный групповая политика. Чтобы отключить хранение хэшей LM паролей пользователя в среде Active Directory Windows Server 2003, используйте групповая политика в Active Directory. Выполните следующие действия:

  1. В групповая политика разверните узел Конфигурация> компьютераПараметры>Windows Параметры> безопасностиЛокальные политики, а затем выберите Параметры безопасности.
  2. В списке доступных политик дважды щелкните Безопасность сети: не сохранять хэш-значение LAN Manager при следующем изменении пароля.
  3. Выберите Включено>ОК.

Способ 2. Реализация политики NoLMHash путем изменения реестра

В Windows 2000 с пакетом обновления 2 (SP2) и более поздних версиях используйте одну из следующих процедур, чтобы предотвратить сохранение хэш-значения LM при следующем изменении пароля.

Windows 2000 с пакетом обновления 2 (SP2) и более поздние версии

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:

322756 Создание резервной копии и восстановление реестра Windows

Раздел реестра NoLMHash и его функциональные возможности не тестировались и не были задокументированы и должны считаться небезопасными для использования в рабочих средах до Windows 2000 с пакетом обновления 2 (SP2).

Чтобы добавить этот раздел с помощью Редактор реестра, выполните следующие действия.

  1. Запустите редактор реестра (Regedt32.exe).

  2. Найдите и выберите следующий ключ:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. В меню Правка щелкните Добавить ключ, введите NoLMHashи нажмите клавишу ВВОД.

  4. Закройте редактор реестра.

  5. Перезагрузите компьютер, а затем измените пароль, чтобы сделать параметр активным.

Примечание.

  • Это изменение раздела реестра необходимо внести на всех контроллерах домена Windows 2000, чтобы отключить хранение хэшей LM паролей пользователей в среде Windows 2000 Active Directory.
  • Этот раздел реестра предотвращает создание новых хэшей LM на компьютерах с Windows 2000. Но он не очищает историю предыдущих хэшей LM, которые хранятся. Существующие хэши LM, которые хранятся, будут удалены при смене паролей.

Windows XP и Windows Server 2003

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:

322756 Создание резервной копии и восстановление реестра Windows

Чтобы добавить это значение DWORD с помощью Редактор реестра, выполните следующие действия.

  1. Выберите Запустить>запуск, введите regedit и нажмите кнопку ОК.

  2. Найдите и выберите следующий раздел в реестре:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.

  4. Введите NoLMHash, затем нажмите клавишу ВВОД.

  5. В меню Правка щелкните команду Изменить.

  6. Введите 1 и нажмите кнопку ОК.

  7. Перезагрузите компьютер, а затем измените пароль.

Примечание.

  • Это изменение реестра необходимо внести на всех контроллерах домена Windows Server 2003, чтобы отключить хранение хэшей LM паролей пользователей в среде Windows 2003 Active Directory. Если вы являетесь администратором домена, вы можете использовать Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC), чтобы развернуть эту политику на всех контроллерах домена или на всех компьютерах в домене, как описано в методе 1 (Реализация политики NoLMHash с помощью групповая политика).
  • Это значение DWORD предотвращает создание новых хэшей LM на компьютерах под управлением Windows XP и Windows Server 2003. Журнал всех предыдущих хэшей LM очищается при выполнении этих действий.

Важно!

Если вы создаете пользовательский шаблон политики, который может использоваться как в Windows 2000, так и в Windows XP или Windows Server 2003, можно создать как ключ, так и значение. Значение находится в том же месте, что и ключ, а значение 1 отключает создание хэша LM. Ключ обновляется при обновлении системы Windows 2000 до Windows Server 2003. Однако это нормально, если оба параметра находятся в реестре.

Метод 3. Используйте пароль длиной не менее 15 символов

Самый простой способ — использовать пароль длиной не менее 15 символов. В этом случае Windows сохраняет хэш-значение LM, которое не может использоваться для проверки подлинности пользователя.