Condividi tramite

Come impedire a Windows di archiviare un hash di gestione LAN della password in Active Directory e nei database SAM locali

  • Articolo

Questo articolo fornisce tre metodi per impedire a Windows di archiviare un hash di LAN Manager (LM) della password nei database di Active Directory e di Gestione account di sicurezza locali (SAM).

Numero KB originale: 299656

Riepilogo

Windows non archivia la password dell'account utente in testo non crittografato. Genera e archivia invece le password dell'account utente usando due diverse rappresentazioni di password, note come hash. Quando imposti o modifichi la password per un account utente su una password contenente meno di 15 caratteri, Windows genera sia un hash LM che un hash NT (hash NT) della password. Questi hash vengono archiviati nel database SAM locale o in Active Directory.

L'hash LM è relativamente debole rispetto all'hash NT ed è soggetto ad attacchi rapidi di forza bruta. È quindi consigliabile impedire a Windows di archiviare un hash LM della password. Questo articolo descrive come rendere Windows solo archiviare l'hash NT più forte della password.

Ulteriori informazioni

I server Windows 2000 e Windows Server 2003 possono autenticare gli utenti che si connettono dai computer che eseguono versioni precedenti di Windows. Tuttavia, le versioni di Windows precedenti a Windows 2000 non usano Kerberos per l'autenticazione. Per la compatibilità con le versioni precedenti, supporto di Windows 2000 e Windows Server 2003:

  • Autenticazione LM
  • Autenticazione di Windows NT (NTLM)
  • Autenticazione NTLM versione 2 (NTLMv2)

NTLM, NTLMv2 e Kerberos usano tutti l'hash NT, noto anche come hash Unicode. Il protocollo di autenticazione LM usa l'hash LM.

È consigliabile impedire l'archiviazione dell'hash LM se non è necessaria per garantire la compatibilità con le versioni precedenti. Se la rete contiene client Windows 95, Windows 98 o Macintosh, è possibile che si verifichino i problemi seguenti quando si impedisce l'archiviazione degli hash LM per il dominio:

  • Gli utenti senza un hash LM non possono connettersi a un computer Windows 95 o Windows 98 che funge da server. Questo problema non si verifica se nel server è installato il client servizi directory per Windows 95 e Windows 98.
  • Gli utenti nei computer Windows 95 o Windows 98 non possono eseguire l'autenticazione ai server usando il proprio account di dominio. Questo problema non si verifica se gli utenti hanno installato il client servizi directory nei computer.
  • Gli utenti nei computer Windows 95 o Windows 98 non possono eseguire l'autenticazione usando un account locale in un server con hash LM disabilitati. Questo problema non si verifica se gli utenti hanno installato il client servizi directory nei computer.
  • Gli utenti non possono modificare le password di dominio da un computer Windows 95 o Windows 98. In alternativa, gli utenti potrebbero riscontrare problemi di blocco degli account quando tentano di modificare le password da questi client precedenti.
  • Gli utenti dei client Macintosh Outlook 2001 non possono accedere alle proprie cassette postali nei server Di Microsoft Exchange. Gli utenti possono visualizzare l'errore seguente in Outlook:

    Le credenziali di accesso fornite non sono corrette. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare di nuovo la password.

Per impedire a Windows di archiviare un hash LM della password, utilizzare uno dei metodi seguenti.

Metodo 1: Implementare i criteri NoLMHash usando Criteri di gruppo

Per disabilitare l'archiviazione degli hash LM delle password di un utente nel database SAM del computer locale in Windows XP o Windows Server 2003, usare Criteri di gruppo locali. Per disabilitare l'archiviazione degli hash LM delle password di un utente in un ambiente Active Directory di Windows Server 2003, usare Criteri di gruppo in Active Directory. Seguire questa procedura:

  1. In Criteri di gruppo espandere Configurazione>computer Impostazioni di Windows Impostazioni>locali Criteri> locali e quindi selezionare Opzioni di sicurezza.
  2. Nell'elenco dei criteri disponibili fare doppio clic su Sicurezza di rete: non archiviare il valore hash di LAN Manager alla modifica della password successiva.
  3. Selezionare Abilitato>OK.

Metodo 2: Implementare i criteri NoLMHash modificando il Registro di sistema

In Windows 2000 Service Pack 2 (SP2) e versioni successive, usare una delle procedure seguenti per impedire a Windows di archiviare un valore hash LM nella modifica della password successiva.

Windows 2000 SP2 e versioni successive

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del registro, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

322756 Come eseguire il backup e il ripristino del registro in Windows

La chiave del Registro di sistema NoLMHash e la relativa funzionalità non sono state testate o documentate e devono essere considerate non sicure da usare negli ambienti di produzione prima di Windows 2000 SP2.

Per aggiungere questa chiave usando l'editor del Registro di sistema, seguire questa procedura:

  1. Avviare l'editor del Registro di sistema (Regedt32.exe).

  2. Individuare e quindi selezionare la chiave seguente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Nel menu Modifica fare clic su Aggiungi tasto, digitare NoLMHashe quindi premere INVIO.

  4. Uscire dall'editor del Registro di sistema.

  5. Riavviare il computer e quindi modificare la password per rendere attiva l'impostazione.

Note

  • Questa modifica della chiave del Registro di sistema deve essere apportata in tutti i controller di dominio di Windows 2000 per disabilitare l'archiviazione degli hash LM delle password degli utenti in un ambiente Active Directory di Windows 2000.
  • Questa chiave del Registro di sistema impedisce la creazione di nuovi hash LM nei computer Windows 2000. Ma non cancella la cronologia degli hash LM precedenti archiviati. Gli hash LM esistenti archiviati verranno rimossi man mano che si modificano le password.

Windows XP e Windows Server 2003

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del registro, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

322756 Come eseguire il backup e il ripristino del registro in Windows

Per aggiungere questo valore DWORD usando l'editor del Registro di sistema, seguire questa procedura:

  1. Selezionare Avvia>esecuzione, digitare regedit e quindi fare clic su OK.

  2. Individuare e quindi selezionare la chiave seguente nel Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare NoLMHash e quindi premere INVIO.

  5. Dal menu Modifica, selezionare Modifica.

  6. Digitare 1 e quindi selezionare OK.

  7. Riavviare il computer e quindi modificare la password.

Note

  • Questa modifica del Registro di sistema deve essere apportata in tutti i controller di dominio di Windows Server 2003 per disabilitare l'archiviazione degli hash LM delle password degli utenti in un ambiente Active Directory di Windows 2003. Gli amministratori di dominio possono usare Utenti e computer di Active Directory Microsoft Management Console (MMC) per distribuire questo criterio in tutti i controller di dominio o in tutti i computer del dominio, come descritto in Metodo 1 (Implementare i criteri NoLMHash tramite Criteri di gruppo).
  • Questo valore DWORD impedisce la creazione di nuovi hash LM nei computer basati su Windows XP e nei computer basati su Windows Server 2003. La cronologia di tutti gli hash LM precedenti viene cancellata al termine di questi passaggi.

Importante

Se stai creando un modello di criteri personalizzato che può essere usato sia in Windows 2000 che in Windows XP o Windows Server 2003, puoi creare sia la chiave che il valore. Il valore si trova nella stessa posizione della chiave e il valore 1 disabilita la creazione dell'hash LM. La chiave viene aggiornata quando un sistema Windows 2000 viene aggiornato a Windows Server 2003. Tuttavia, va bene se entrambe le impostazioni si trovano nel Registro di sistema.

Metodo 3: usare una password lunga almeno 15 caratteri

Il modo più semplice consiste nell'usare una password lunga almeno 15 caratteri. In questo caso, Windows archivia un valore hash LM che non può essere usato per autenticare l'utente.