Làm thế nào để ngăn chặn cửa sổ lưu trữ một mạng LAN quản lý băm của mật khẩu trong Active Directory và cơ sở dữ liệu địa phương SAM

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:299656
TÓM TẮT
Thay vì lưu giữ của bạn mật khẩu trương mục người dùng trong văn bản rõ ràng, Windows tạo ra và lưu trữ mật khẩu tài khoản người dùng bằng cách sử dụng hai khẩu khác đại diện, nói chung được gọi là "hashes." Khi bạn thiết lập hoặc thay đổi mật khẩu cho tài khoản người sử dụng mật khẩu có chứa ít hơn 15 ký tự, Windows tạo ra một mạng LAN quản lý băm (LM băm) và một Windows NT băm (NT băm) của mật khẩu. Các hashes được lưu trữ trong cơ sở dữ liệu bảo mật tài khoản quản lý (SAM) địa phương hoặc trong Active Directory.

Bảng băm LM là tương đối yếu so với bảng băm NT, và đó là do đó dễ bị tấn công sức mạnh vũ phu nhanh. Vì vậy, bạn có thể ngăn chặn cửa sổ lưu trữ một LM băm mật khẩu của bạn. Bài viết này mô tả cách để làm điều này vì vậy đó Windows chỉ lưu trữ các mạnh mẽ hơn NT hash mật khẩu của bạn.
THÔNG TIN THÊM
Các máy chủ dựa trên Windows 2000 và Windows Server 2003 dựa trên các máy chủ có thể xác thực người sử dụng kết nối từ máy tính đang chạy tất cả các phiên bản trước của Windows. Tuy nhiên, các phiên bản Windows trước đó hơn Windows 2000 không sử dụng Kerberos cho xác thực. Cho tương thích ngược, Windows 2000 và Windows Server 2003 hỗ trợ mạng LAN Manager (LM) xác thực, Windows NT (NTLM) xác thực, và NTLM Phiên bản 2 (NTLMv2) xác thực. NTLM, NTLMv2 và Kerberos tất cả sử dụng NT băm, còn được gọi là băm Unicode. Giao thức xác thực LM sử dụng băm LM.

It's tốt nhất để ngăn chặn lưu trữ bảng băm LM nếu bạn không cần nó cho tương thích ngược. Nếu mạng của bạn có Windows 95, Windows 98 hoặc Macintosh khách hàng, bạn có thể gặp vấn đề sau nếu bạn ngăn chặn việc lưu trữ LM băm cho tên miền của bạn:
  • Người sử dụng mà không có một băm LM sẽ không thể kết nối với một máy tính dựa trên Windows 95 hoặc Windows 98 dựa trên máy tính là hành động như một máy chủ trừ khi Directory dịch vụ khách hàng cho Windows 95 và Windows 98 được cài đặt trên máy chủ.
  • Người dùng trên máy tính dựa trên Windows 95 hoặc Windows 98 dựa trên các máy tính sẽ không thể xác thực tới máy chủ bằng cách sử dụng tài khoản tên miền của họ, trừ khi họ có khách hàng dịch vụ thư mục được cài đặt trên máy tính của họ.
  • Người dùng trên máy tính dựa trên Windows 95 hoặc Windows 98 dựa trên các máy tính sẽ không thể xác thực bằng cách sử dụng một tài khoản địa phương trên một máy chủ nếu các máy chủ đã vô hiệu hoá LM hashes trừ khi họ có khách hàng dịch vụ thư mục được cài đặt trên máy tính của họ.
  • Người dùng có thể không thể thay đổi mật khẩu vùng của họ từ một máy tính dựa trên Windows 95 hoặc Windows 98 dựa trên máy tính, hoặc họ có thể gặp các vấn đề khóa tài khoản khi họ cố gắng để thay đổi mật khẩu của họ từ các khách hàng trước đó.
  • Người sử dụng của khách hàng Macintosh Outlook 2001 có thể không thể truy cập vào hộp thư của họ trên các máy chủ Microsoft Exchange. Người dùng có thể nhìn thấy lỗi sau trong Outlook:
    Ủy nhiệm đăng nhập được cung cấp là không chính xác. Hãy chắc chắn của bạn tên người dùng và vùng là đúng, rồi gõ lại mật khẩu.
Để ngăn chặn Windows từ lưu trữ một LM băm mật khẩu của bạn, sử dụng bất kỳ phương pháp sau đây.

Phương pháp 1: Thực hiện các chính sách NoLMHash bằng cách sử dụng chính sách nhóm

Để vô hiệu hóa việc lưu trữ LM băm của mật khẩu của người dùng trong máy tính cục bộ SAM cơ sở dữ liệu bằng cách sử dụng chính sách nhóm cục bộ (Windows XP hoặc Windows Server 2003) hoặc trong một môi trường Windows Server 2003 Active Directory bằng cách sử dụng chính sách nhóm trong Active Directory (Windows Server 2003), hãy làm theo các bước sau:
  1. Trong chính sách nhóm, mở rộng Cấu hình máy tính, mở rộng Thiết đặt Windows, mở rộng Thiết đặt bảo mật, mở rộng Chính sách địa phương, sau đó bấm Tùy chọn bảo mật.
  2. Trong danh sách các chính sách có sẵn, bấm đúp vào An ninh mạng: không lưu trữ giá trị băm LAN Manager ngày tiếp theo sự thay đổi mật khẩu.
  3. Nhấp vào Được kích hoạt, sau đó bấm Ok.

Cách 2: Thực hiện các chính sách NoLMHash bằng cách chỉnh sửa Registry

Trong Windows 2000 Service Pack 2 (SP2) và sau đó, sử dụng một trong các thủ tục sau đây để ngăn chặn cửa sổ lưu trữ một giá trị băm LM ngày thay đổi mật khẩu tiếp theo của bạn.

Windows 2000 SP2 và sau đó

Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows

Quan trọng Các
NoLMHash
khóa sổ đăng ký và chức năng của nó đã không được thử nghiệm hoặc tài liệu và nên được xem là không an toàn để sử dụng trong sản xuất môi trường trước khi Windows 2000 SP2.

Thêm phím này bằng cách sử dụng ký biên soạn, hãy làm theo các bước sau:
  1. Khởi động Registry Editor (Regedt32.exe).
  2. Xác định vị trí và sau đó bấm phím sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Trên các Chỉnh sửa trình đơn, nhấp vào Thêm Key, loại NoLMHash, vaø sau ñoù baám NHẬP.
  4. Thoát khỏi Registry Editor.
  5. Khởi động lại máy tính, và sau đó thay đổi mật khẩu của bạn để làm cho các thiết lập hoạt động.
Chú ý
  • Cơ quan đăng ký thay đổi quan trọng này phải được thực hiện trên tất cả các tên miền Windows 2000 bộ điều khiển để vô hiệu hóa việc lưu trữ LM băm của người sử dụng mật khẩu trong một môi trường Windows 2000 Active Directory.
  • Khóa sổ đăng ký này ngăn mới LM hashes được tạo ra trên máy tính dựa trên Windows 2000, nhưng nó không rõ ràng lịch sử trước LM hashes được lưu trữ. Hiện có LM hashes được lưu trữ sẽ bị xóa khi bạn thay đổi mật khẩu.

Windows XP và Windows Server 2003

Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
Để thêm giá trị DWORD này bằng cách sử dụng ký biên soạn, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit, sau đó bấm Ok.
  2. Định vị rồi bấm vào khoá sau trong sổ đăng ký:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Trên các Chỉnh sửa trình đơn, điểm đến Mới, sau đó bấm Giá trị DWORD.
  4. Loại NoLMHash, sau đó nhấn ENTER.
  5. Trên các Chỉnh sửa trình đơn, nhấp vào Sửa đổi.
  6. Loại 1, và sau đó bấm OK.
  7. Khởi động lại máy tính của bạn, và sau đó thay đổi mật khẩu của bạn.
Chú ý
  • Thay đổi đăng ký này phải được thực hiện trên tất cả các bộ kiểm soát miền Windows Server 2003 để vô hiệu hóa việc lưu trữ LM băm của người sử dụng mật khẩu trong một môi trường Windows 2003 Active Directory. Nếu bạn là một người quản trị vùng, bạn có thể dùng các hoạt động thư mục người sử dụng và máy vi tính Microsoft Management Console (MMC) để triển khai các chính sách này để tất cả các bộ điều khiển vùng hoặc tất cả các máy tính trên tên miền như mô tả trong phương pháp 1 (thực hiện chính sách NoLMHash bằng cách sử dụng chính sách nhóm).
  • Giá trị DWORD này ngăn mới LM hashes được tạo ra trên máy tính dựa trên Windows XP và Windows Server 2003 dựa trên máy tính. Lịch sử của tất cả các trang trước LM băm bị xóa khi bạn hoàn tất các bước sau.
Quan trọng Nếu bạn đang tạo một mẫu tuỳ chỉnh chính sách mà có thể được sử dụng trên cả Windows 2000 và Windows XP hoặc Windows Server 2003, bạn có thể tạo ra cả hai điều quan trọng và giá trị. Giá trị là trong cùng một vị trí như chìa khóa, và giá trị là 1 vô hiệu hóa LM băm tạo ra. Điều quan trọng nâng cấp khi một hệ thống Windows 2000 được nâng cấp lên Windows Server 2003. Tuy nhiên, nó không quan trọng nếu cả hai thiết đặt trong sổ đăng ký.

Cách 3: Sử dụng một mật khẩu là ít nhất 15 ký tự dài

Cách đơn giản để ngăn chặn cửa sổ lưu trữ một LM băm mật khẩu của bạn là sử dụng một mật khẩu là ít nhất 15 ký tự. Trong trường hợp này, cửa sổ cửa hàng một giá trị băm LM có thể không được sử dụng để xác thực người dùng.
l0phtcrack

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 299656 - Xem lại Lần cuối: 08/26/2011 12:27:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbenv kbinfo kbnetwork kbmt KB299656 KbMtvi
Phản hồi