您目前已離線,請等候您的網際網路重新連線

用來將 LM 雜湊從 Active Directory 及安全性帳戶管理員中移除的新登錄機碼

本文曾發行於 CHT299656
重要:本文包含修改登錄的資訊。在修改登錄之前,請將其備份,並且確定在萬一發生問題時,您知道如何復原登錄。如需如何備份、還原與編輯登錄的詳細資訊,請按一下以下的文件編號,檢視 Microsoft Knowledge Base 中的文件:
256986 Description of the Microsoft Windows Registry
結論
某些網際網路電子報描述 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 中名為 NoLmHash 的登錄機碼,以避免在Active Directory 和本地電腦 SAM 資料庫中的區域網路管理員雜湊上的儲存。當侵入者嘗試找出帳戶的密碼時,這些雜湊容易受到攻擊。

在 Service Pack 2 之前,尚未完全測試這個機碼所控制的功能。
其他相關資訊
警告:不當使用「登錄編輯器」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您一定可以解決因不當修改登錄所造成的問題。請自行承擔使用「登錄編輯器」的風險。

在 Windows 2000 發行之前,即加入登錄機碼及其功能,且尚未進行測試。因此,文件中未記載這個數值,且在 Windows 2000 Service Pack 2 之前的實際執行環境中應視為不安全的用法。

若要新增這個機碼,請執行下列步驟:
  1. 啟動「登錄編輯程式」(Regedt32.exe)。
  2. 在以下登錄中找出這個機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. [編輯] 功能表上,按一下 [新增機碼],輸入 NoLMHash,然後按一下 [確定]
  4. 結束「登錄編輯程式」。
  5. 重新啟動電腦,讓新設定生效。
注意:所有網域控制站都需要這個登錄機碼。

設定這個機碼後,在使用者下次變更密碼前,使用者帳戶的 LM 雜湊都不會移除。因此,除了設定這個機碼之外,還必須確定所有使用者都變更了他們的密碼。

在 Windows 2000 未來的版本中,群組原則預計將會包含移除 LAN 管理員雜湊的完整支援和已測試的功能。
本文件是根據「Microsoft 知識庫」文件編號 Q299656 所翻譯。若要參考原始英文文件內容,請至以下網址:
內容

文章識別碼:299656 - 最後檢閱時間:01/30/2008 22:29:15 - 修訂: 3.1

Microsoft Passport 1.4 Software Development Kit, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 2

  • kbenv kbinfo kbnetwork KB299656
意見反應