Compartir a través de

Cómo evitar que Windows almacene un hash de administrador de LAN de la contraseña en Active Directory y bases de datos SAM locales

  • Artículo

En este artículo se proporcionan tres métodos para evitar que Windows almacene un hash de LAN Manager (LM) de la contraseña en bases de datos de Active Directory y administrador de cuentas de seguridad (SAM) locales.

Número de KB original: 299656

Resumen

Windows no almacena la contraseña de la cuenta de usuario en texto no cifrado. En su lugar, genera y almacena contraseñas de cuenta de usuario mediante dos representaciones de contraseña diferentes, conocidas como hashes. Al establecer o cambiar la contraseña de una cuenta de usuario a una contraseña que contenga menos de 15 caracteres, Windows genera un hash LM y un hash de Windows NT (hash NT) de la contraseña. Estos hash se almacenan en la base de datos SAM local o en Active Directory.

El hash lm es relativamente débil en comparación con el hash NT y es propenso a un ataque rápido por fuerza bruta. Por lo tanto, puede impedir que Windows almacene un hash lm de la contraseña. En este artículo se describe cómo hacer que Windows solo almacene el hash NT más seguro de la contraseña.

Más información

Los servidores de Windows 2000 y Windows Server 2003 pueden autenticar a los usuarios que se conectan desde equipos que ejecutan versiones anteriores de Windows. Sin embargo, las versiones de Windows anteriores a Windows 2000 no usan Kerberos para la autenticación. Para obtener compatibilidad con versiones anteriores, compatibilidad con Windows 2000 y Windows Server 2003:

  • Autenticación de LM
  • Autenticación de Windows NT (NTLM)
  • Autenticación NTLM versión 2 (NTLMv2)

NTLM, NTLMv2 y Kerberos usan el hash NT, también conocido como hash Unicode. El protocolo de autenticación lm usa el hash de LM.

Debe evitar el almacenamiento del hash lm si no lo necesita para la compatibilidad con versiones anteriores. Si la red contiene clientes de Windows 95, Windows 98 o Macintosh, puede experimentar los siguientes problemas al impedir el almacenamiento de hash de LM para su dominio:

  • Los usuarios sin un hash lm no pueden conectarse a un equipo con Windows 95 o Windows 98 que actúe como servidor. Este problema no se produce si el cliente de Servicios de directorio para Windows 95 y Windows 98 está instalado en el servidor.
  • Los usuarios de equipos Con Windows 95 o Windows 98 no se pueden autenticar en servidores mediante su cuenta de dominio. Este problema no se produce si los usuarios tienen instalado el cliente de servicios de directorio en sus equipos.
  • Los usuarios de equipos Con Windows 95 o Windows 98 no se pueden autenticar mediante una cuenta local en un servidor que haya deshabilitado los hash de LM. Este problema no se produce si los usuarios tienen instalado el cliente de servicios de directorio en sus equipos.
  • Los usuarios no pueden cambiar sus contraseñas de dominio desde un equipo Windows 95 o Windows 98. O bien, los usuarios pueden experimentar problemas de bloqueo de cuentas al intentar cambiar las contraseñas de estos clientes anteriores.
  • Los usuarios de los clientes de Macintosh Outlook 2001 no pueden acceder a sus buzones en los servidores de Microsoft Exchange. Los usuarios pueden ver el siguiente error en Outlook:

    Las credenciales de inicio de sesión proporcionadas eran incorrectas. Asegúrese de que el nombre de usuario y el dominio sean correctos y vuelva a escribir la contraseña.

Para evitar que Windows almacene un hash LM de la contraseña, use cualquiera de los métodos siguientes.

Método 1: Implementar la directiva NoLMHash mediante la directiva de grupo

Para deshabilitar el almacenamiento de hash de LM de las contraseñas de un usuario en la base de datos SAM del equipo local en Windows XP o Windows Server 2003, use la directiva de grupo local. Para deshabilitar el almacenamiento de hash de LM de las contraseñas de un usuario en un entorno de Active Directory de Windows Server 2003, use la directiva de grupo en Active Directory. Siga estos pasos:

  1. En Directiva de grupo, expanda Configuración del equipo Configuración de>Windows Configuración>De>seguridad Directivas locales y, a continuación, seleccione Opciones de seguridad.
  2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacene el valor hash de LAN Manager en el siguiente cambio de contraseña.
  3. Seleccione Habilitado>OK.

Método 2: Implementar la directiva NoLMHash editando el Registro

En Windows 2000 Service Pack 2 (SP2) y versiones posteriores, use uno de los procedimientos siguientes para evitar que Windows almacene un valor hash lm en el siguiente cambio de contraseña.

Windows 2000 SP2 y versiones posteriores

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

La clave del Registro NoLMHash y su funcionalidad no se probaron o documentaron y deben considerarse no seguras para su uso en entornos de producción antes de Windows 2000 SP2.

Para agregar esta clave mediante el Editor del Registro, siga estos pasos:

  1. Inicie el Editor del Registro (Regedt32.exe).

  2. Busque y, a continuación, seleccione la siguiente clave:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. En el menú Editar , haga clic en Agregar clave, escriba NoLMHashy presione Entrar.

  4. Salga del Editor del Registro.

  5. Reinicie el equipo y, a continuación, cambie la contraseña para activar la configuración.

Nota:

  • Este cambio de clave del Registro debe realizarse en todos los controladores de dominio de Windows 2000 para deshabilitar el almacenamiento de hashes LM de las contraseñas de los usuarios en un entorno de Active Directory de Windows 2000.
  • Esta clave del Registro impide que se creen nuevos hash de LM en equipos con Windows 2000. Pero no borra el historial de hashes de LM anteriores que se almacenan. Los hash de LM existentes que se almacenan se quitarán a medida que cambie las contraseñas.

Windows XP y Windows Server 2003

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

Para agregar este valor DWORD mediante el Editor del Registro, siga estos pasos:

  1. Seleccione Iniciar>ejecución, escriba regedit y, a continuación, haga clic en Aceptar.

  2. Busque y, a continuación, seleccione la siguiente clave en el Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.

  4. Escriba NoLMHash y luego presione ENTRAR.

  5. En el menú Edición, seleccione Modificar.

  6. Escriba 1 y, a continuación, seleccione Aceptar.

  7. Reinicie el equipo y, a continuación, cambie la contraseña.

Nota:

  • Este cambio del Registro debe realizarse en todos los controladores de dominio de Windows Server 2003 para deshabilitar el almacenamiento de hashes LM de las contraseñas de los usuarios en un entorno de Active Directory de Windows 2003. Si es administrador de dominio, puede usar Usuarios y equipos de Active Directory Microsoft Management Console (MMC) para implementar esta directiva en todos los controladores de dominio o en todos los equipos del dominio, tal como se describe en el método 1 (Implementar la directiva NoLMHash mediante la directiva de grupo).
  • Este valor DWORD impide que se creen nuevos hashes lm en equipos basados en Windows XP y equipos basados en Windows Server 2003. El historial de todos los hashes de LM anteriores se borra al completar estos pasos.

Importante

Si va a crear una plantilla de directiva personalizada que se pueda usar en Windows 2000 y Windows XP o Windows Server 2003, puede crear la clave y el valor. El valor está en el mismo lugar que la clave y un valor de 1 deshabilita la creación de hash de LM. La clave se actualiza cuando se actualiza un sistema Windows 2000 a Windows Server 2003. Sin embargo, está bien si ambas configuraciones están en el registro.

Método 3: Usar una contraseña que tenga al menos 15 caracteres de longitud

La manera más sencilla es usar una contraseña que tenga al menos 15 caracteres de longitud. En este caso, Windows almacena un valor hash lm que no se puede usar para autenticar al usuario.