Så här förhindrar du att Windows lagrar en LAN Manager-hash för ditt lösenord i Active Directory och lokala SAM-databaser

  • Artikel

Den här artikeln innehåller tre metoder för att förhindra att Windows lagrar en LAN Manager-hash (LM) av ditt lösenord i Active Directory och lokala SAM-databaser (Security Accounts Manager).

Gäller för: Windows 10 – alla utgåvor, Windows Server 2012 R2
Ursprungligt KB-nummer: 299656

Sammanfattning

Lösenordet för ditt användarkonto lagras inte i klartext i Windows. I stället genererar och lagrar den lösenord för användarkonton med hjälp av två olika lösenordsrepresentationer, så kallade hashvärden. När du anger eller ändrar lösenordet för ett användarkonto till ett lösenord som innehåller färre än 15 tecken genererar Windows både en LM-hash och en Windows NT-hash (NT-hash) för lösenordet. Dessa hashvärden lagras i den lokala SAM-databasen eller Active Directory.

LM-hashen är relativt svag jämfört med NT-hashen, och den är benägen för snabb brute force-attack. Därför kanske du vill förhindra att Windows lagrar en LM-hash för ditt lösenord. Den här artikeln beskriver hur du gör så att Windows bara lagrar den starkare NT-hashen för ditt lösenord.

Mer information

Windows 2000- och Windows Server 2003-servrar kan autentisera användare som ansluter från datorer som kör tidigare versioner av Windows. Versioner av Windows tidigare än Windows 2000 använder dock inte Kerberos för autentisering. Stöd för bakåtkompatibilitet, Windows 2000 och Windows Server 2003:

  • LM-autentisering
  • Windows NTLM-autentisering (NTLM)
  • NTLM version 2-autentisering (NTLMv2)

NTLM, NTLMv2 och Kerberos använder alla NT-hashen, även kallad Unicode-hash. LM-autentiseringsprotokollet använder LM-hashen.

Du bör förhindra lagring av LM-hashen om du inte behöver den för bakåtkompatibilitet. Om nätverket innehåller Windows 95-, Windows 98- eller Macintosh-klienter kan det uppstå följande problem när du förhindrar lagring av LM-hashar för din domän:

  • Användare utan LM-hash kan inte ansluta till en Windows 95- eller Windows 98-dator som fungerar som en server. Det här problemet uppstår inte om Directory Services-klienten för Windows 95 och Windows 98 är installerad på servern.
  • Användare på Windows 95- eller Windows 98-datorer kan inte autentisera till servrar med sitt domänkonto. Det här problemet uppstår inte om användarna har Directory Services-klienten installerad på sina datorer.
  • Användare på Windows 95- eller Windows 98-datorer kan inte autentisera med hjälp av ett lokalt konto på en server som har inaktiverat LM-hashvärden. Det här problemet uppstår inte om användarna har Directory Services-klienten installerad på sina datorer.
  • Användare kan inte ändra sina domänlösenord från en Windows 95- eller Windows 98-dator. Eller så kan användare drabbas av problem med kontoutelåsning när de försöker ändra lösenord från dessa tidigare klienter.
  • Användare av Macintosh Outlook 2001-klienter kan inte komma åt sina postlådor på Microsoft Exchange-servrar. Användare kan se följande fel i Outlook:

    De angivna inloggningsuppgifterna var felaktiga. Kontrollera att användarnamnet och domänen är korrekta och skriv sedan lösenordet igen.

Om du vill förhindra att Windows lagrar en LM-hash av ditt lösenord använder du någon av följande metoder.

Metod 1: Implementera NoLMHash-principen med hjälp av grupprincip

Om du vill inaktivera lagring av LM-hashar för en användares lösenord i den lokala datorns SAM-databas i Windows XP eller Windows Server 2003 använder du Lokala grupprincip. Om du vill inaktivera lagring av LM-hashar för en användares lösenord i en Windows Server 2003 Active Directory-miljö använder du grupprincip i Active Directory. Gör så här:

  1. I grupprincip expanderar du Datorkonfiguration>Windows-inställningar>Säkerhetsinställningar>Lokala principer och väljer sedan Säkerhetsalternativ.
  2. Dubbelklicka på Nätverkssäkerhet i listan över tillgängliga principer : Lagra inte LAN Manager-hashvärdet vid nästa lösenordsändring.
  3. Välj Aktiverad>OK.

Metod 2: Implementera NoLMHash-principen genom att redigera registret

I Windows 2000 Service Pack 2 (SP2) och senare använder du någon av följande procedurer för att förhindra att Windows lagrar ett LM-hashvärde vid nästa lösenordsändring.

Windows 2000 SP2 och senare

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

322756 Hur man säkerhetskopierar och återställer registret i Windows

Registernyckeln NoLMHash och dess funktioner har inte testats eller dokumenterats och bör anses vara osäkra att använda i produktionsmiljöer före Windows 2000 SP2.

Följ dessa steg för att lägga till den här nyckeln med hjälp av Registry Editor:

  1. Starta registry Editor (Regedt32.exe).

  2. Leta upp och välj sedan följande nyckel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. redigera-menyn klickar du på Lägg till nyckel, skriver NoLMHashoch trycker sedan på Retur.

  4. Avsluta Registereditorn.

  5. Starta om datorn och ändra sedan lösenordet för att aktivera inställningen.

Obs!

  • Den här registernyckeländringen måste göras på alla Windows 2000-domänkontrollanter för att inaktivera lagring av LM-hashar för användarnas lösenord i en Windows 2000 Active Directory-miljö.
  • Den här registernyckeln förhindrar att nya LM-hashar skapas på Windows 2000-datorer. Men det rensar inte historiken för tidigare LM-hashar som lagras. Befintliga LM-hashar som lagras tas bort när du ändrar lösenord.

Windows XP och Windows Server 2003

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

322756 Hur man säkerhetskopierar och återställer registret i Windows

Följ dessa steg om du vill lägga till det här DWORD-värdet med hjälp av Registry Editor:

  1. Välj Starta>körning, skriv regedit och klicka sedan på OK.

  2. Leta upp och välj sedan följande nyckel i registret:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Peka på Nytt i Redigera-menyn och klicka sedan på DWORD-värde.

  4. Skriv NoLMHash och tryck sedan på Retur.

  5. På menyn Redigera väljer du Ändra.

  6. Skriv 1 och välj sedan OK.

  7. Starta om datorn och ändra sedan lösenordet.

Obs!

  • Den här registerändringen måste göras på alla Windows Server 2003-domänkontrollanter för att inaktivera lagring av LM-hashar för användarnas lösenord i en Windows 2003 Active Directory-miljö. Om du är domänadministratör kan du använda Active Directory - användare och datorer Microsoft Management Console (MMC) för att distribuera den här principen till alla domänkontrollanter eller alla datorer i domänen enligt beskrivningen i Metod 1 (Implementera NoLMHash-principen med hjälp av grupprincip).
  • Det här DWORD-värdet förhindrar att nya LM-hashar skapas på Windows XP-baserade datorer och Windows Server 2003-baserade datorer. Historiken för alla tidigare LM-hashar rensas när du slutför de här stegen.

Viktigt

Om du skapar en anpassad principmall som kan användas på både Windows 2000 och Windows XP eller Windows Server 2003 kan du skapa både nyckeln och värdet. Värdet finns på samma plats som nyckeln och värdet 1 inaktiverar LM-hashskapande. Nyckeln uppgraderas när ett Windows 2000-system uppgraderas till Windows Server 2003. Det är dock okej om båda inställningarna finns i registret.

Metod 3: Använd ett lösenord som är minst 15 tecken långt

Det enklaste sättet är att använda ett lösenord som är minst 15 tecken långt. I det här fallet lagrar Windows ett LM-hashvärde som inte kan användas för att autentisera användaren.