В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Запрет хранения хеш-значения LAN Мanager для пароля в Active Directory и локальных базах данных SAM

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Аннотация
Вместо того чтобы хранить пароли учетных записей пользователей в виде открытого текста, Windows генерирует и хранит два различных представления паролей (так называемые хеш-значения). При указании или изменении пароля учетной записи пользователя, содержащего менее 15 символов, Windows генерирует для пароля хеш-значение LAN Manager (LM-хеш) и хеш-значение Windows NT (NT-хеш). Эти хеш-значения хранятся в локальной базе данных диспетчера учетных записей безопасности (SAM) или в Active Directory.

Хеш-значение LM является менее надежной и более уязвимой для атаки, чем хеш-значение NT. Поэтому в некоторых случаях рекомендуется запретить хранение хеш-значения LM для пароля. В данной статье рассматриваются действия, после выполнения которых Windows будет хранить для пароля только более надежное хеш-значение NT.
Дополнительная информация
Серверы Windows 2000 и Windows Server 2003 могут выполнять проверку подлинности пользователей, подключающихся с компьютеров под управлением более ранних версий Windows. Однако версии Windows, предшествующие 2000, не поддерживают проверку подлинности Kerberos. В целях обратной совместимости Windows 2000 и Windows Server 2003 поддерживают проверку подлинности LAN Manager (LM), проверку подлинности Windows NT (NTLM) и проверку подлинности NTLM версии 2 (NTLMv2). NTLM, NTLMv2 и Kerberos используют хеш-значение NT, также известное как хеш-значение Unicode. Проверка подлинности LM использует хеш-значение LM.

Если необходимость в обеспечении обратной совместимости отсутствует, хранение хеш-значения LM рекомендуется запретить. При этом, если в сети присутствуют клиенты Windows 95, Windows 98 или Macintosh, в домене могут возникнуть следующие проблемы.
  • Пользователи без хеш-значения LM не смогут подключаться к компьютеру под управлением Windows 95 или Windows 98, выполняющему функции сервера, если на сервере не будет установлен клиент службы каталогов для Windows 95 или Windows 98.
  • Пользователи компьютеров под управлением Windows 95 или Windows 98 не смогут войти в систему серверов с помощью учетной записи домена, если на этих компьютерах не будет установлен клиент службы каталогов.
  • Если на сервере запрещено хранение хеш-значения LM, пользователи компьютеров под управлением Windows 95 или Windows 98 не смогут войти в систему сервера с помощью локальной учетной записи, если на этих компьютерах не будет установлен клиент службы каталогов.
  • Пользователи компьютеров под управлением Windows 95 или Windows 98 не смогут изменить свой доменный пароль либо при попытке изменить пароль с клиентов более ранней версии учетная запись будет блокирована.
  • Пользователи клиентов Macintosh Outlook 2001 не смогут работать с почтовыми ящиками на серверах Microsoft Exchange. В Outlook может появиться следующее сообщение об ошибке:
    Указаны неверные учетные сведения. Проверьте правильность имени пользователя и домена и повторите ввод пароля.
Чтобы запретить хранение хеш-значения LM для пароля, воспользуйтесь одним из следующих способов.

Способ 1. Применение политики NoLMHash с помощью групповой политики

Чтобы отключить хранение хеш-значений LM для паролей пользователей в базе данных SAM локального компьютера с помощью локальной групповой политики (Windows XP или Windows Server 2003) или в среде Active Directory Windows Server 2003 с помощью групповой политики в Active Directory (Windows Server 2003), выполните следующие действия:
  1. В окне групповой политики последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем выберите пункт Параметры безопасности.
  2. В списке доступных политик дважды щелкните на политике Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля.
  3. Установите флажок Включен и нажмите кнопку ОК.

Способ 2. Применение политики NoLMHash с помощью редактора реестра

В пакете обновлений 2 (SP2) для Windows 2000 и боле поздних версиях для запрета хранения хеш-значений LM при следующей смене пароля воспользуйтесь одной из следующих процедур.

Windows 2000 SP2 и более поздние версии

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Внимание! Раздел реестра
NoLMHash
и его работоспособность не были проверены или задокументированы и считаются небезопасными для использования в версиях операционных систем, предшествующих Windows 2000 SP2.

Чтобы создать этот раздел с помощью редактора реестра, выполните следующие действия:
  1. Запустите редактор реестра (Regedit32.exe).
  2. Найдите и выделите следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В меню Правка выберите пункт Добавить раздел, введите NoLMHash и нажмите клавишу ВВОД.
  4. Закройте редактор реестра.
  5. Для активации параметра перезагрузите компьютер и измените пароль.
Примечания.
  • Для отключения хранения хеш-значений LM для паролей пользователей в среде Active Directory Windows 2000 это изменение в разделе реестра необходимо произвести на всех контроллерах домена Windows 2000.
  • Данный раздел реестра запрещает генерацию новых хеш-значений LM на компьютерах под управлением Windows 2000, но не удаляет уже созданные и сохраненные хеш-значения LM. Существующие хеш-значения LM будут удалены после смены паролей.

Windows XP и Windows Server 2003

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Чтобы создать этот параметр DWORD с помощью редактора реестра, выполните следующие действия:
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.
  2. Найдите и выберите раздел реестра
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.
  4. Введите NoLMHash и нажмите клавишу ВВОД.
  5. В меню Правка выберите команду Изменить.
  6. Введите значение 1 и нажмите кнопку ОК.
  7. Перезагрузите компьютер и измените пароль.
Примечания.
  • Для отключения хранения хеш-значений LM для паролей пользователей в среде Active Directory Windows 2003 это изменение в реестре необходимо произвести на всех контроллерах домена Windows Server 2003. Администраторы доменов могут применить эту политику ко всем контроллерам домена, выполнив действия способа 1 (применение политики NoLMHash с помощью групповой политики) с помощью консоли MMC оснастки «Пользователи и компьютеры Active Directory».
  • Этот параметр DWORD запрещает генерацию новых хеш-значений LM на компьютерах под управлением Windows XP и Windows Server 2003. После выполнения этих действий все уже существующие хеш-значения LM удаляются.
Внимание! Для создания пользовательского шаблона политики, который можно будет использовать в Windows 2000 и Windows XP либо в Windows Server 2003, необходимо создать и раздел и параметр. Параметр находится там же, где раздел; значение 1 отключает генерацию хеш-значения LM. Раздел обновляется при обновлении Windows 2000 до уровня Windows Server 2003. При этом в реестре могут безболезненно оставаться обе настройки.

Способ 3. Использование пароля, содержащего 15 и более символов

Самый простой способ избежать сохранения хеш-значения LM для пароля – использовать пароль, содержащий как минимум 15 символов. В данном случае Windows сохраняет хеш-значение LM, которые нельзя использовать для проверки подлинности пользователя.
l0phtcrack
Свойства

Номер статьи: 299656 — последний просмотр: 12/03/2007 07:24:00 — редакция: 9.2

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows XP 64-Bit Edition Version 2002, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Service Pack 4, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Операционная система Microsoft Windows 2000 Professional, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 2, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbenv kbnetwork KB299656
Отзывы и предложения
);