Windows'un active directory ve yerel SAM veritabanlarında parolanızın LAN yöneticisi karmasını depolamasını önleme

  • Makale

Bu makalede, Windows'un Active Directory ve yerel Güvenlik Hesapları Yöneticisi (SAM) veritabanlarında parolanızın LAN Manager (LM) karmasını depolamasını önlemeye yönelik üç yöntem sağlanır.

Şunlar için geçerlidir: Windows 10 - tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 299656

Özet

Windows, kullanıcı hesabı parolanızı düz metin olarak depolamaz. Bunun yerine, karma olarak bilinen iki farklı parola gösterimini kullanarak kullanıcı hesabı parolaları oluşturur ve depolar. Kullanıcı hesabının parolasını 15 karakterden az karakter içeren bir parola olarak ayarladığınızda veya değiştirdiğinizde, Windows parolanın hem LM karması hem de Windows NT karması (NT karması) oluşturur. Bu karmalar yerel SAM veritabanında veya Active Directory'de depolanır.

LM karması NT karması ile karşılaştırıldığında nispeten zayıftır ve hızlı deneme yanılma saldırısına eğilimlidir. Bu nedenle Windows'un parolanızın LM karmasını depolamasını engellemek isteyebilirsiniz. Bu makalede, Windows'un parolanızın yalnızca daha güçlü NT karması depolamasını nasıl sağlayacağınız açıklanmaktadır.

Daha fazla bilgi

Windows 2000 ve Windows Server 2003 sunucuları, Windows'un önceki sürümlerini çalıştıran bilgisayarlardan bağlanan kullanıcıların kimliğini doğrulayabilir. Ancak, Windows 2000'den önceki Windows sürümleri kimlik doğrulaması için Kerberos kullanmaz. Geriye dönük uyumluluk için Windows 2000 ve Windows Server 2003 desteği:

  • LM kimlik doğrulaması
  • Windows NT (NTLM) kimlik doğrulaması
  • NTLM sürüm 2 (NTLMv2) kimlik doğrulaması

NTLM, NTLMv2 ve Kerberos'un tümü Unicode karması olarak da bilinen NT karması kullanır. LM kimlik doğrulama protokolü LM karması kullanır.

Geriye dönük uyumluluk için ihtiyacınız yoksa LM karmasının depolanmasını engellemeniz gerekir. Ağınızda Windows 95, Windows 98 veya Macintosh istemcileri varsa, etki alanınız için LM karmalarının depolanmasını engellediğinizde aşağıdaki sorunlarla karşılaşabilirsiniz:

  • LM karması olmayan kullanıcılar sunucu gibi davranan bir Windows 95 veya Windows 98 bilgisayarına bağlanamaz. Sunucuda Windows 95 ve Windows 98 için Dizin Hizmetleri İstemcisi yüklüyse bu sorun oluşmaz.
  • Windows 95 veya Windows 98 bilgisayarlarındaki kullanıcılar, etki alanı hesabını kullanarak sunucularda kimlik doğrulaması yapamaz. Kullanıcıların bilgisayarlarında Dizin Hizmetleri İstemcisi yüklüyse bu sorun oluşmaz.
  • Windows 95 veya Windows 98 bilgisayarlardaki kullanıcılar, LM karmalarını devre dışı bırakmış bir sunucuda yerel bir hesap kullanarak kimlik doğrulaması yapamaz. Kullanıcıların bilgisayarlarında Dizin Hizmetleri İstemcisi yüklüyse bu sorun oluşmaz.
  • Kullanıcılar bir Windows 95 veya Windows 98 bilgisayarından etki alanı parolalarını değiştiremez. Veya kullanıcılar, önceki istemcilerden parolaları değiştirmeye çalıştıklarında hesap kilitleme sorunlarıyla karşılaşabilir.
  • Macintosh Outlook 2001 istemcileri kullanıcıları Microsoft Exchange sunucularındaki posta kutularına erişemez. Kullanıcılar Outlook'ta aşağıdaki hatayı görebilir:

    Sağlanan oturum açma kimlik bilgileri yanlıştı. Kullanıcı adınızın ve etki alanınızın doğru olduğundan emin olun ve parolanızı yeniden yazın.

Windows'un parolanızın LM karmasını depolamasını önlemek için aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: grup ilkesi kullanarak NoLMHash ilkesini uygulama

Windows XP veya Windows Server 2003'te yerel bilgisayarın SAM veritabanında kullanıcının parolalarının LM karmalarının depolanmasını devre dışı bırakmak için Yerel grup ilkesi kullanın. Windows Server 2003 Active Directory ortamında kullanıcının parolalarının LM karmalarının depolanmasını devre dışı bırakmak için Active Directory'de grup ilkesi kullanın. Şu adımları izleyin:

  1. grup ilkesi'da Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Yerel İlkeler'i genişletin ve güvenlik seçenekleri'ni seçin.
  2. Kullanılabilir ilkeler listesinde Ağ güvenliği: Sonraki parola değişikliğinde LAN Manager karma değerini depolama'ya çift tıklayın.
  3. Etkin Tamam'ı> seçin.

Yöntem 2: Kayıt defterini düzenleyerek NoLMHash ilkesini uygulama

Windows 2000 Service Pack 2 (SP2) ve sonraki sürümlerinde, Windows'un bir sonraki parola değişikliğinizde LM karma değerini depolamasını önlemek için aşağıdaki yordamlardan birini kullanın.

Windows 2000 SP2 ve Üzeri

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

322756 Windows'da kayıt defterini yedekleme ve geri yükleme

NoLMHash kayıt defteri anahtarı ve işlevselliği test edilmemiş veya belgelenmemiştir ve Windows 2000 SP2 öncesinde üretim ortamlarında kullanılması güvenli olmadığı düşünülmelidir.

Kayıt Defteri Düzenleyici kullanarak bu anahtarı eklemek için şu adımları izleyin:

  1. Kayıt Defteri Düzenleyici (Regedt32.exe) başlatın.

  2. Aşağıdaki anahtarı bulun ve seçin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Düzenle menüsünde Anahtar Ekle'ye tıklayın, yazın NoLMHashve Enter tuşuna basın.

  4. Kayıt Defteri Düzenleyicisi'nden çıkın.

  5. Bilgisayarı yeniden başlatın ve ardından ayarı etkin hale getirmek için parolanızı değiştirin.

Not

  • Bir Windows 2000 Active Directory ortamında kullanıcıların parolalarının LM karmalarının depolanmasını devre dışı bırakmak için bu kayıt defteri anahtarı değişikliğinin tüm Windows 2000 etki alanı denetleyicilerinde yapılması gerekir.
  • Bu kayıt defteri anahtarı, Windows 2000 bilgisayarlarda yeni LM karmalarının oluşturulmasını engeller. Ancak depolanan önceki LM karmalarının geçmişini temizlemez. Siz parolaları değiştirdiğinizde depolanan mevcut LM karmaları kaldırılır.

Windows XP ve Windows Server 2003

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

322756 Windows'da kayıt defterini yedekleme ve geri yükleme

Kayıt Defteri Düzenleyici kullanarak bu DWORD değerini eklemek için şu adımları izleyin:

  1. Çalıştırmayı Başlat'ı> seçin, regedit yazın ve Tamam'a tıklayın.

  2. Kayıt defterinde aşağıdaki anahtarı bulun ve seçin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.

  4. NoLMHash yazın ve ardından ENTER tuşuna basın.

  5. Düzen menüsünde, Değiştir'i seçin.

  6. 1 yazın ve Tamam'ı seçin.

  7. Bilgisayarınızı yeniden başlatın ve parolanızı değiştirin.

Not

  • Kullanıcıların parolalarının LM karmalarının Windows 2003 Active Directory ortamında depolanmasını devre dışı bırakmak için bu kayıt defteri değişikliğinin tüm Windows Server 2003 etki alanı denetleyicilerinde yapılması gerekir. Etki alanı yöneticisiyseniz, Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu'nu (MMC) kullanarak bu ilkeyi Yöntem 1'de açıklandığı gibi tüm etki alanı denetleyicilerine veya etki alanındaki tüm bilgisayarlara dağıtabilirsiniz (grup ilkesi Kullanarak NoLMHash İlkesini Uygulama).
  • Bu DWORD değeri, Windows XP tabanlı bilgisayarlarda ve Windows Server 2003 tabanlı bilgisayarlarda yeni LM karmalarının oluşturulmasını engeller. Bu adımları tamamladığınızda önceki tüm LM karmalarının geçmişi temizlenir.

Önemli

Hem Windows 2000 hem de Windows XP veya Windows Server 2003'te kullanılabilecek özel bir ilke şablonu oluşturuyorsanız, hem anahtarı hem de değeri oluşturabilirsiniz. Değer anahtarla aynı yerdedir ve 1 değeri LM karması oluşturmayı devre dışı bırakır. Windows 2000 sistemi Windows Server 2003'e yükseltildiğinde anahtar yükseltilir. Ancak, her iki ayarın da kayıt defterinde olması sorun değildir.

Yöntem 3: En az 15 karakter uzunluğunda bir parola kullanın

En basit yol, en az 15 karakter uzunluğunda bir parola kullanmaktır. Bu durumda, Windows kullanıcının kimliğini doğrulamak için kullanılamayabilecek bir LM karma değeri depolar.