Jak zapobiec przechowywaniu przez system Windows wartości mieszania programu LAN Manager dla hasła użytkownika w usłudze Active Directory i w lokalnych bazach danych SAM

Ważne: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące tworzenia kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

Streszczenie

Zamiast przechowywać hasło konta użytkownika w postaci zwykłego tekstu, system Windows generuje i przechowuje hasła kont użytkowników za pomocą dwóch różnych reprezentacji hasła, nazywanych powszechnie „wartościami mieszania” (hash). W przypadku ustawienia lub zmiany hasła dla konta użytkownika na hasło zawierające mniej niż 15 znaków system Windows generuje zarówno wartość mieszania programu LAN Manager (wartość mieszania LM), jak i wartość mieszania systemu Windows NT (wartość mieszania NT) dla hasła. Te wartości mieszania są przechowywane w lokalnej bazie danych SAM (Security Accounts Manager) lub w usłudze Active Directory.

Wartość mieszania LM jest stosunkowo słaba w porównaniu z wartością mieszania NT i dlatego jest podatna na szybki atak „siłowy”. Z tego powodu celowe może być wyłączenie przechowywania przez system Windows wartości mieszania LM hasła. W tym artykule opisano, co zrobić, aby system Windows przechowywał wyłącznie silniejszą wartość mieszania NT hasła użytkownika.

Więcej informacji

Serwery z systemem Windows 2000 i serwery z systemem Windows Server 2003 mogą uwierzytelniać użytkowników, którzy łączą się z komputerów ze starszymi wersjami systemu Windows. Jednak wersje systemu Windows starsze niż Windows 2000 nie używają do uwierzytelniania protokołu Kerberos. Ze względu na zgodność ze starszymi wersjami systemy Windows 2000 i Windows Server 2003 obsługują uwierzytelnianie programu LAN Manager (LM), uwierzytelnianie systemu Windows NT (NTLM) oraz uwierzytelnianie NTLM w wersji 2 (NTLMv2). W przypadku uwierzytelniania NTLM, NTLMv2 i Kerberos jest używana wartość mieszania NT, nazywana również wartością mieszania Unicode. Protokół uwierzytelniania LM używa wartości mieszania LM.

Jeśli zgodność ze starszymi wersjami nie jest wymagana, najlepiej jest wyłączyć przechowywanie wartości mieszania LM. Jeśli sieć obejmuje klientów systemu Windows 95, Windows 98 lub Macintosh, to po wyłączeniu przechowywania wartości mieszania LM dla danej domeny mogą występować następujące problemy:
 • Użytkownicy bez wartości mieszania LM nie będą w stanie połączyć się z komputerem z systemem Windows 95 lub z komputerem z systemem Windows 98 działającym jako serwer, o ile na tym serwerze nie zostanie zainstalowany program Directory Services Client dla systemów Windows 95 i Windows 98.
 • Użytkownicy komputerów z systemem Windows 95 lub komputerów z systemem Windows 98 nie będą w stanie uwierzytelnić się przed serwerami za pomocą swoich kont domeny, o ile na ich komputerach nie zostanie zainstalowany program Directory Services Client.
 • Użytkownicy komputerów z systemem Windows 95 lub komputerów z systemem Windows 98 nie będą w stanie uwierzytelnić się za pomocą konta lokalnego na serwerze, jeśli serwer ma wyłączone wartości mieszania LM, o ile na ich komputerach nie zostanie zainstalowany program Directory Services Client.
 • Użytkownicy mogą nie być w stanie zmienić swoich haseł domeny z komputera z systemem Windows 95 lub z komputera z systemem Windows 98 lub mogą napotykać problemy blokowania konta przy próbie zmiany swoich haseł z tych starszych klientów.
 • Użytkownicy klientów programu Macintosh Outlook 2001 mogą nie być w stanie uzyskać dostępu do swoich skrzynek pocztowych na serwerach Microsoft Exchange. Użytkownicy mogą napotykać następujący błąd w programie Outlook:
  Podane poświadczenia logowania były nieprawidłowe. Upewnij się, czy nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.
Aby zapobiec przechowywaniu przez system Windows wartości mieszania LM własnego hasła, zastosuj jedną z następujących metod:

Metoda 1: Zaimplementuj zasadę NoLMHash za pomocą zasad grupy

Aby wyłączyć przechowywanie wartości mieszania LM haseł użytkownika w bazie danych SAM komputera lokalnego za pomocą lokalnych zasad grupy (system Windows XP lub Windows Server 2003) lub w środowisku usługi Windows Server 2003 Active Directory za pomocą zasad grupy w usłudze Active Directory (system Windows Server 2003), wykonaj następujące kroki:
 1. W przystawce Zasady grupy rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł
  Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
 2. Na liście dostępnych zasad kliknij dwukrotnie pozycję
  Zabezpieczenia sieciowe: nie przechowuj wartości mieszania (hash) programu LAN Manager dla następnej zmiany hasła.
 3. Kliknij opcję Włączone, a następnie kliknij przycisk OK.

Metoda 2: Zaimplementuj zasadę NoLMHash za pomocą Edytora rejestru

W systemie Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszej wersji systemu Windows wykonaj jedną z następujących procedur, aby system Windows nie przechowywał wartości mieszania LM po następnej zmianie hasła.

System Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowsza wersja systemu Windows

Ostrzeżenie: Nieprawidłowe wykorzystanie Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru. Możesz używać Edytora rejestru na własną odpowiedzialność.
Ważne: Klucz rejestru NoLMHash i jego funkcje nie były testowane ani dokumentowane i powinny być uważane za niepewne w środowiskach użytkowych z systemem starszym niż Windows 2000 z dodatkiem SP2.

Aby dodać ten klucz za pomocą Edytora rejestru, wykonaj następujące kroki:
 1. Uruchom Edytor rejestru (Regedt32.exe).
 2. Zlokalizuj i kliknij następujący klucz rejestru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
 3. Kliknij menu Edycja, kliknij polecenie
  Dodaj klucz, wpisz NoLMHash, a następnie naciśnij klawisz ENTER.
 4. Zamknij Edytor rejestru.
 5. Uruchom ponownie komputer, a następnie zmień swoje hasło, aby uaktywnić nowe ustawienie.
Uwagi:
 • Aby wyłączyć przechowywanie wartości mieszania LM haseł użytkowników w środowisku usługi Windows 2000 Active Directory, tej zmiany klucza rejestru trzeba dokonać na wszystkich kontrolerach domeny z systemem Windows 2000.
 • Ten klucz rejestru zapobiega tworzeniu nowych wartości mieszania LM na komputerach z systemem Windows 2000, ale nie czyści historii poprzednich wartości mieszania LM, które są przechowywane. Istniejące wartości mieszania LM, które są przechowywane, zostaną usunięte po zmianie haseł.

Systemy Windows XP i Windows Server 2003

Ostrzeżenie: Nieprawidłowe wykorzystanie Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru. Możesz używać Edytora rejestru na własną odpowiedzialność.:
Aby dodać tę wartość DWORD za pomocą Edytora rejestru, wykonaj następujące kroki:
 1. Kliknij przycisk Start, kliknij polecenie
  Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
 2. Zlokalizuj, a następnie kliknij następujący klucz w rejestrze:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
 3. W menu Edycja wskaż polecenie
  Nowy, a następnie kliknij polecenie Wartość DWORD.
 4. Wpisz NoLMHash, a następnie naciśnij klawisz ENTER.
 5. W menu Edycja kliknij polecenie
  Modyfikuj.
 6. Wpisz wartość 1, a następnie kliknij przycisk OK.
 7. Uruchom ponownie komputer, a następnie zmień swoje hasło.
Uwagi:
 • Aby wyłączyć przechowywanie wartości mieszania LM haseł użytkowników w środowisku usługi Windows 2003 Active Directory, tej zmiany rejestru trzeba dokonać na wszystkich kontrolerach domeny z systemem Windows Server 2003. Jeśli jesteś administratorem domeny, możesz użyć przystawki Użytkownicy i komputery usługi Active Directory programu Microsoft Management Console (MMC) w celu wdrożenia tej zasady na wszystkich kontrolerach domeny lub na wszystkich komputerach w domenie w sposób opisany w metodzie 1 (Zaimplementuj zasadę NoLMHash za pomocą zasad grupy).
 • Ta wartość DWORD zapobiega tworzeniu nowych wartości mieszania LM na komputerach z systemem Windows XP i na komputerach z systemem Windows Server 2003. Wykonanie tych kroków powoduje, że historia wszystkich poprzednich wartości mieszania LM zostaje wyczyszczona.
Ważne: Jeśli tworzysz niestandardowy szablon zasad, który może być używany zarówno w systemach Windows 2000 i Windows XP, jak i w systemie Windows Server 2003, możesz utworzyć klucz i wartość. Wartość znajduje się w tym samym miejscu, co klucz, i wartość 1 wyłącza tworzenie wartości mieszania LM. Klucz jest uaktualniany w przypadku uaktualnienia systemu Windows 2000 do systemu Windows Server 2003. Jednak nic nie stoi na przeszkodzie, aby oba te ustawienia znajdowały się w rejestrze.

Metoda 3: Użyj hasła zawierającego przynajmniej 15 znaków

Najprostszym sposobem wyłączenia przechowywania przez system Windows wartości mieszania LM hasła jest użycie hasła zawierającego przynajmniej 15 znaków. W takim przypadku system Windows przechowuje wartość mieszania LM, która nie może zostać użyta do uwierzytelnienia użytkownika.
Właściwości

Identyfikator artykułu: 299656 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia