Você está offline; aguardando reconexão

Como impedir que o Windows armazene um hash LAN manager da sua senha no Active Directory e nos bancos de dados SAM locais

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Sumário
Em vez de armazenar a senha da sua conta de usuário em texto sem formatação, o Windows gera e armazena as senhas de conta de usuário usando duas representações de senha diferentes, geralmente conhecidas como "hashes". Ao definir ou alterar a senha de uma conta de usuário para uma senha que contém menos de 15 caracteres, o Windows gera um hash do LM hash (LAN Manager) e um NT hash (hash do Windows NT) da senha. Estes hashes são armazenados no banco de dados SAM (Gerenciador de contas de segurança) local ou no Active Directory.

O LM hash é relativamente fraco se comparado ao NT hash e, por isso, tende ao ataque forçado rápido. Portanto, é possível impedir que o Windows armazene um LM hash da sua senha. Este artigo descreve como fazer isso de modo que o Windows armazene apenas o NT hash mais forte da sua senha.
Mais Informações
Servidores com o Windows 2000 e com o Windows Server 2003 podem autenticar usuários que se conectam de computadores executando todas as versões anteriores do Windows. No entanto, as versões do Windows anteriores ao Windows 2000 não usam o Kerberos para autenticação. Para a compatibilidade com versões anteriores, o Windows 2000 e o Windows Server 2003 são compatíveis com a autenticação LM (LAN Manager), a autenticação NTLM (Windows NT) e a autenticação NTLMv2 (NTLM versão 2). O NTLM, o NTLMv2 e o Kerberos todos usam o NT hash, também conhecido como o hash Unicode. O protocolo de autenticação LM usa o LM hash.

É melhor evitar o armazenamento do LM hash se você não precisar dele para compatibilidade com as versões anteriores. Se a rede contiver clientes com o Windows 95, com o Windows 98 ou com o Macintosh, será possível perceber os seguintes problemas se impedir o armazenamento dos LM hashes para o seu domínio:
  • Usuários sem um LM hash não serão capazes de se conectar a um computador com o Windows 95 ou com o Windows 98 que está agindo como um servidor, a menos que os Directory Services Client para o Windows 95 e para o Windows 98 esteja instalado no servidor.
  • Usuários em computadores com o Windows 95 ou com o Windows 98 não serão capazes de se autenticar em servidores usando suas contas de domínio, a menos que tenham o Directory Services Client instalado em seus computadores.
  • Usuários em computadores com o Windows 95 ou com o Windows 98 não serão capazes de se autenticar usando uma conta local em um servidor se o servidor tiver os hashes LM desabilitados, a menos que eles tenham o Directory Services Client instalado em seus computadores.
  • Os usuários podem não ser capazes de alterar suas senhas de domínio por um computador com o Windows 95 ou com o Windows 98, ou poderão perceber problemas de bloqueio de conta quando tentarem alterar suas senhas por estes clientes mais antigos.
  • Usuários de clientes Macintosh Outlook 2001 podem não ser capazes de acessar suas caixas de correio em servidores com o Microsoft Exchange. Os usuários podem ver o seguinte erro no Outlook:
    As credenciais de logon fornecidas estavam incorretas. Verifique se o nome do usuário e o domínio estão corretos e digite sua senha novamente.
Para obter mais informações sobre como obter o Directory Services Client para o Windows 95 e para o Windows 98, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
323466 Disponibilidade de atualização de extensão de cliente do Active Directory para o Windows 98
Para impedir que o Windows armazene um LM hash de sua senha, use qualquer um dos seguintes métodos.

Método 1: Implementar a diretiva NoLMHash usando a diretiva de grupo

Para desabilitar o armazenamento dos LM hashes da senha de um usuário no banco de dados SAM do computador local usando a Diretiva de grupo local (Windows XP ou Windows Server 2003) ou em um ambiente do Windows Server 2003 Active Directory, usando a diretiva de grupo no Active Directory (Windows Server 2003), execute as seguintes etapas:
  1. Na diretiva de grupo, expanda Configuração do computador, Configurações do Windows, expanda Configurações de segurança, Diretivas locais e clique em Opções de segurança.
  2. Na lista de diretivas disponíveis, clique duas vezes em Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
  3. Clique em Ativada e em OK.

Método 2: Implementar a diretiva NoLMHash editando o Registro

No Windows 2000 Service Pack 2 (SP2) e versões posteriores, use um dos seguintes procedimentos para impedir que o Windows armazene um valor do LM hash na sua próxima alteração de senha.

Windows 2000 SP2 e versões posteriores

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Importante A chave do Registro
NoLMHash
e sua funcionalidade não foi testada ou documentada e deve ser considerada insegura para usar em um ambiente de produção anterior ao Windows 2000 SP2.

Para adicionar esta chave usando o Editor do Registro, execute as seguintes etapas:
  1. Inicie o Editor do Registro (Regedt32.exe).
  2. Localize e clique na seguinte chave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. No menu Editar, clique em Adicionar chave, digite NoLMHash e pressione ENTER.
  4. Feche o Editor do Registro.
  5. Reinicie o computador e altere sua senha para ativar a configuração.
Observações
  • Esta alteração da chave do Registro deve ser feita em todos os controladores de domínio do Windows 2000 para desabilitar o armazenamento dos LM hashes das senhas de usuários em um ambiente com o Windows 2000 Active Directory.
  • Esta chave do Registro impede que novos LM hashes sejam criados em computadores com o Windows 2000, mas não limpa o histórico de LM hashes anteriores que foram armazenados. LM hashes existentes armazenados serão removidos à medida que você altera as senhas.

Windows XP e Windows Server 2003

AVISO: O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Para adicionar este valor DWORD usando o Editor do Registro, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
  2. Localize e clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Digite NoLMHash e pressione ENTER.
  5. No menu Editar, clique em Modificar.
  6. Digite 1 e clique em OK.
  7. Reinicie o computador e altere a senha.
Observações
  • Esta alteração do Registro deve ser feita em todos os controladores de domínio do Windows Server 2003 para desabilitar o armazenamento dos LM hashes das senhas de usuários em um ambiente com o Windows 2003 Active Directory. Se você for um administrador de domínio, será possível poderá usar o MMC (Console de gerenciamento da Microsoft) dos Usuários e computadores do Active Directory para implantar essa diretiva em todos os controladores de domínio ou em todos os computadores no domínio conforme descrito no Método 1 (Implementar a diretiva NoLMHash usando a Diretiva de grupo).
  • Este valor DWORD impede que novos LM hashes sejam criados em computadores com o Windows XP e em computadores com o Windows Server 2003. O histórico de todos os LM hashes anteriores é limpado ao concluir estas etapas.
Importante Se você estiver criando um modelo de diretiva personalizada que pode ser usada no Windows 2000 e no Windows XP ou no Windows Server 2003, será possível criar a chave e o valor. O valor está no mesmo local que a chave e um valor de 1 desabilita a criação do LM hash. A chave é atualizada quando um sistema com o Windows 2000 é atualizado para o Windows Server 2003. No entanto, não tem problema se ambas as configurações estiverem no Registro.

Método 3: Usar uma senha que tenha pelo menos 15 caracteres

A maneira mais simples de impedir que o Windows armazene um LM hash da sua senha é usar uma senha que tenha pelo menos 15 caracteres. Nesse caso, o Windows armazena um valor de LM hash que não pode ser usado para autenticar o usuário.
l0phtcrack
Propriedades

ID do Artigo: 299656 - Última Revisão: 12/03/2007 07:54:00 - Revisão: 9.2

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows XP 64-Bit Edition Version 2002, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Service Pack 4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbenv kbnetwork KB299656
Comentários
>