Jak uniemożliwić systemowi Windows przechowywanie skrótu hasła menedżera SIECI LAN w usłudze Active Directory i lokalnych bazach danych SAM

  • Artykuł

Ten artykuł zawiera trzy metody uniemożliwiające systemowi Windows przechowywanie skrótu hasła w usłudze Lan Manager (LM) w bazach danych usługi Active Directory i lokalnych bazach danych Menedżera kont zabezpieczeń (SAM).

Dotyczy: Windows 10 — wszystkie wersje, Windows Server 2012 R2
Oryginalny numer KB: 299656

Podsumowanie

System Windows nie przechowuje hasła konta użytkownika w formie zwykłego tekstu. Zamiast tego generuje i przechowuje hasła kont użytkowników przy użyciu dwóch różnych reprezentacji haseł, znanych jako skróty. Po ustawieniu lub zmianie hasła konta użytkownika na hasło zawierające mniej niż 15 znaków system Windows generuje zarówno skrót LM, jak i skrót SYSTEMU Windows NT (skrót NT) hasła. Te skróty są przechowywane w lokalnej bazie danych SAM lub usłudze Active Directory.

Skrót LM jest stosunkowo słaby w porównaniu do skrótu NT i jest podatny na szybki atak siłowy. Dlatego warto uniemożliwić systemowi Windows przechowywanie skrótu LM hasła. W tym artykule opisano sposób, w jaki system Windows przechowuje tylko silniejszy skrót NT hasła.

Więcej informacji

Serwery z systemami Windows 2000 i Windows Server 2003 mogą uwierzytelniać użytkowników, którzy nawiązują połączenie z komputerów z wcześniejszymi wersjami systemu Windows. Jednak wersje systemu Windows starsze niż Windows 2000 nie używają protokołu Kerberos do uwierzytelniania. Aby uzyskać zgodność z poprzednimi wersjami, obsługa systemów Windows 2000 i Windows Server 2003:

  • Uwierzytelnianie LM
  • Uwierzytelnianie systemu Windows NT (NTLM)
  • Uwierzytelnianie NTLM w wersji 2 (NTLMv2)

NTLM, NTLMv2 i Kerberos używają skrótu NT, znanego również jako skrót Unicode. Protokół uwierzytelniania LM używa skrótu LM.

Należy uniemożliwić przechowywanie skrótu LM, jeśli nie jest on potrzebny do zapewnienia zgodności z poprzednimi wersjami. Jeśli sieć zawiera klientów z systemem Windows 95, Windows 98 lub Macintosh, podczas zapobiegania przechowywaniu skrótów LM dla domeny mogą wystąpić następujące problemy:

  • Użytkownicy bez skrótu LM nie mogą nawiązać połączenia z komputerem z systemem Windows 95 lub Windows 98 działającym jako serwer. Ten problem nie występuje, jeśli klient usług katalogowych dla systemów Windows 95 i Windows 98 jest zainstalowany na serwerze.
  • Użytkownicy na komputerach z systemem Windows 95 lub Windows 98 nie mogą uwierzytelniać się na serwerach przy użyciu konta domeny. Ten problem nie występuje, jeśli użytkownicy mają zainstalowanego klienta usług katalogowych na swoich komputerach.
  • Użytkownicy na komputerach z systemem Windows 95 lub Windows 98 nie mogą uwierzytelniać się przy użyciu konta lokalnego na serwerze, który wyłączył skróty LM. Ten problem nie występuje, jeśli użytkownicy mają zainstalowanego klienta usług katalogowych na swoich komputerach.
  • Użytkownicy nie mogą zmieniać swoich haseł domeny z komputera z systemem Windows 95 lub Windows 98. Użytkownicy mogą również napotkać problemy z blokadą konta podczas próby zmiany haseł z tych wcześniejszych klientów.
  • Użytkownicy klientów programu Outlook 2001 dla komputerów Macintosh nie mogą uzyskiwać dostępu do swoich skrzynek pocztowych na serwerach Microsoft Exchange. Użytkownicy mogą zobaczyć następujący błąd w programie Outlook:

    Podane poświadczenia logowania były nieprawidłowe. Upewnij się, że nazwa użytkownika i domena są poprawne, a następnie wpisz hasło ponownie.

Aby uniemożliwić systemowi Windows przechowywanie skrótu LM hasła, użyj dowolnej z następujących metod.

Metoda 1. Implementowanie zasad NoLMHash przy użyciu zasady grupy

Aby wyłączyć przechowywanie skrótów LM haseł użytkownika w bazie danych SAM komputera lokalnego w systemie Windows XP lub Windows Server 2003, użyj lokalnego zasady grupy. Aby wyłączyć przechowywanie skrótów LM haseł użytkownika w środowisku usługi Active Directory systemu Windows Server 2003, użyj zasady grupy w usłudze Active Directory. Wykonaj następujące czynności:

  1. W zasady grupy rozwiń pozycję Konfiguracja> komputeraUstawienia>systemu Windows Ustawienia> zabezpieczeńZasady lokalne, a następnie wybierz pozycję Opcje zabezpieczeń.
  2. Na liście dostępnych zasad kliknij dwukrotnie pozycję Zabezpieczenia sieci: Nie przechowuj wartości skrótu programu LAN Manager przy następnej zmianie hasła.
  3. Wybierz pozycję Włączone>OK.

Metoda 2. Implementowanie zasad NoLMHash przez edytowanie rejestru

W systemie Windows 2000 z dodatkiem Service Pack 2 (SP2) lub nowszym użyj jednej z poniższych procedur, aby uniemożliwić systemowi Windows przechowywanie wartości skrótu LM podczas następnej zmiany hasła.

Windows 2000 SP2 i nowsze

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Klucz rejestru NoLMHash i jego funkcje nie zostały przetestowane ani udokumentowane i należy je uznać za niebezpieczne do użycia w środowiskach produkcyjnych przed systemem Windows 2000 z dodatkiem SP2.

Aby dodać ten klucz przy użyciu Redaktor rejestru, wykonaj następujące kroki:

  1. Uruchom Redaktor rejestru (Regedt32.exe).

  2. Znajdź, a następnie wybierz następujący klucz:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. W menu Edytuj kliknij pozycję Dodaj klucz, wpisz NoLMHash, a następnie naciśnij klawisz Enter.

  4. Zamknij Edytor rejestru.

  5. Uruchom ponownie komputer, a następnie zmień hasło, aby uaktywnić to ustawienie.

Uwaga

  • Ta zmiana klucza rejestru musi zostać wprowadzona na wszystkich kontrolerach domeny systemu Windows 2000, aby wyłączyć przechowywanie skrótów LM haseł użytkowników w środowisku usługi Active Directory systemu Windows 2000.
  • Ten klucz rejestru uniemożliwia tworzenie nowych skrótów LM na komputerach z systemem Windows 2000. Ale nie czyści historii poprzednich skrótów LM, które są przechowywane. Istniejące skróty LM, które są przechowywane, zostaną usunięte podczas zmiany haseł.

Windows XP i Windows Server 2003

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Aby dodać tę wartość DWORD przy użyciu Redaktor rejestru, wykonaj następujące kroki:

  1. Wybierz pozycję Uruchom,> wpisz regedit, a następnie kliknij przycisk OK.

  2. Znajdź, a następnie wybierz następujący klucz w rejestrze:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

  4. Wpisz ciąg NoLMHash, a następnie naciśnij klawisz Enter.

  5. W menu Edycja wybierz polecenie Modyfikuj.

  6. Wpisz 1, a następnie wybierz przycisk OK.

  7. Uruchom ponownie komputer, a następnie zmień hasło.

Uwaga

  • Ta zmiana rejestru musi zostać wprowadzona na wszystkich kontrolerach domeny systemu Windows Server 2003, aby wyłączyć przechowywanie skrótów LM haseł użytkowników w środowisku usługi Active Directory systemu Windows 2003. Jeśli jesteś administratorem domeny, możesz użyć Użytkownicy i komputery usługi Active Directory programu Microsoft Management Console (MMC) do wdrożenia tych zasad na wszystkich kontrolerach domeny lub na wszystkich komputerach w domenie zgodnie z opisem w metodzie 1 (Implementowanie zasad NoLMHash przy użyciu zasady grupy).
  • Ta wartość DWORD uniemożliwia tworzenie nowych skrótów LM na komputerach z systemem Windows XP i komputerach z systemem Windows Server 2003. Historia wszystkich poprzednich skrótów LM jest czyszczona po wykonaniu tych kroków.

Ważna

Jeśli tworzysz niestandardowy szablon zasad, który może być używany zarówno w systemie Windows 2000, jak i Windows XP lub Windows Server 2003, możesz utworzyć klucz i wartość. Wartość znajduje się w tym samym miejscu co klucz, a wartość 1 wyłącza tworzenie skrótu LM. Klucz jest uaktualniony po uaktualnieniu systemu Windows 2000 do systemu Windows Server 2003. Jednak jeśli oba ustawienia znajdują się w rejestrze, jest w porządku.

Metoda 3. Używanie hasła o długości co najmniej 15 znaków

Najprostszym sposobem jest użycie hasła o długości co najmniej 15 znaków. W takim przypadku system Windows przechowuje wartość skrótu LM, której nie można użyć do uwierzytelnienia użytkownika.