Como impedir que o Windows armazene um hash de gerenciador de LAN de sua senha no Active Directory e em bancos de dados SAM locais
Este artigo fornece três métodos para impedir que o Windows armazene um hash do LAN Manager (LM) de sua senha no Active Directory e nos bancos de dados locais do SAM (Security Accounts Manager).
Número original do KB: 299656
Resumo
O Windows não armazena a senha da sua conta de usuário em texto não criptografado. Em vez disso, ele gera e armazena senhas de contas de usuário usando duas representações de senha diferentes, conhecidas como hashes. Quando você define ou altera a senha de uma conta de usuário para uma senha que contém menos de 15 caracteres, o Windows gera um hash LM e um hash do Windows NT (hash NT) da senha. Esses hashes são armazenados no banco de dados SAM local ou no Active Directory.
O hash LM é relativamente fraco em comparação com o hash NT e é propenso a ataques rápidos de força bruta. Portanto, você pode querer impedir que o Windows armazene um hash LM de sua senha. Este artigo descreve como fazer com que o Windows armazene apenas o hash NT mais forte de sua senha.
Mais informações
Os servidores Windows 2000 e Windows Server 2003 podem autenticar usuários que se conectam a partir de computadores que executam versões anteriores do Windows. No entanto, as versões do Windows anteriores ao Windows 2000 não usam Kerberos para autenticação. Para compatibilidade com versões anteriores, o Windows 2000 e o Windows Server 2003 oferecem suporte:
- Autenticação LM
- Autenticação do Windows NT (NTLM)
- Autenticação NTLM versão 2 (NTLMv2)
NTLM, NTLMv2 e Kerberos usam o hash NT, também conhecido como hash Unicode. O protocolo de autenticação LM usa o hash LM.
Você deve impedir o armazenamento do hash LM se não precisar dele para compatibilidade com versões anteriores. Se sua rede contiver clientes Windows 95, Windows 98 ou Macintosh, você poderá enfrentar os seguintes problemas ao impedir o armazenamento de hashes LM para seu domínio:
- Os usuários sem um hash LM não podem se conectar a um computador Windows 95 ou Windows 98 que esteja atuando como um servidor. Esse problema não ocorrerá se o Directory Services Client para Windows 95 e Windows 98 estiver instalado no servidor.
- Os usuários em computadores com Windows 95 ou Windows 98 não podem se autenticar em servidores usando sua conta de domínio. Esse problema não ocorrerá se os usuários tiverem o Cliente de Serviços de Diretório instalado em seus computadores.
- Os usuários em computadores com Windows 95 ou Windows 98 não podem se autenticar usando uma conta local em um servidor que tenha desabilitado hashes LM. Esse problema não ocorrerá se os usuários tiverem o Cliente de Serviços de Diretório instalado em seus computadores.
- Os usuários não podem alterar suas senhas de domínio em um computador com Windows 95 ou Windows 98. Ou os usuários podem enfrentar problemas de bloqueio de conta ao tentar alterar as senhas desses clientes anteriores.
- Os usuários de clientes Macintosh Outlook 2001 não podem acessar suas caixas de correio em servidores Microsoft Exchange. Os usuários podem ver o seguinte erro no Outlook:
As credenciais de logon fornecidas estavam incorretas. Certifique-se de que seu nome de usuário e domínio estejam corretos e digite sua senha novamente.
Para impedir que o Windows armazene um hash LM de sua senha, use qualquer um dos métodos a seguir.
Método 1: Implementar a política NoLMHash usando a Política de Grupo
Para desabilitar o armazenamento de hashes LM das senhas de um usuário no banco de dados SAM do computador local no Windows XP ou Windows Server 2003, use a Diretiva de Grupo Local. Para desabilitar o armazenamento de hashes LM das senhas de um usuário em um ambiente do Active Directory do Windows Server 2003, use a Diretiva de Grupo no Active Directory. Siga estas etapas:
- Na Política de Grupo, expanda Configuração do>Computador, Configurações>do Windows, Configurações>de Segurança, Políticas Locais e selecione Opções de Segurança.
- Na lista de políticas disponíveis, clique duas vezes em Segurança de rede: Não armazenar o valor de hash do LAN Manager na próxima alteração de senha.
- Selecione Habilitado>OK.
Método 2: Implementar a política NoLMHash editando o registro
No Windows 2000 Service Pack 2 (SP2) e posterior, use um dos procedimentos a seguir para impedir que o Windows armazene um valor de hash LM em sua próxima alteração de senha.
Windows 2000 SP2 e posterior
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer o backup e a restauração do Registro no Windows
A chave do Registro NoLMHash e sua funcionalidade não foram testadas ou documentadas e devem ser consideradas inseguras para uso em ambientes de produção anteriores ao Windows 2000 SP2.
Para adicionar essa chave usando o Editor do Registro, siga estas etapas:
Inicie o Editor do Registro (Regedt32.exe).
Localize e selecione a seguinte chave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
No menu Editar, clique em Adicionar Chave, digite
NoLMHash
e pressione Enter.Saia do Editor do Registro.
Reinicie o computador e altere sua senha para ativar a configuração.
Observação
- Essa alteração de chave do Registro deve ser feita em todos os controladores de domínio do Windows 2000 para desabilitar o armazenamento de hashes LM de senhas de usuários em um ambiente do Active Directory do Windows 2000.
- Essa chave do Registro impede que novos hashes LM sejam criados em computadores com Windows 2000. Mas não limpa o histórico de hashes LM anteriores que são armazenados. Os hashes LM existentes armazenados serão removidos à medida que você alterar as senhas.
Windows XP e Windows Server 2003
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer o backup e a restauração do Registro no Windows
Para adicionar esse valor DWORD usando o Editor do Registro, siga estas etapas:
Selecione Iniciar>Execução, digite regedit e clique em OK.
Localize e selecione a seguinte chave no registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
No menu Editar, aponte para Novo e clique em Valor DWORD.
Digite
NoLMHash
, e pressione ENTER.No menu Editar, selecione Modificar.
Digite 1 e selecione OK.
Reinicie o computador e altere a senha.
Observação
- Essa alteração no Registro deve ser feita em todos os controladores de domínio do Windows Server 2003 para desabilitar o armazenamento de hashes LM de senhas de usuários em um ambiente do Windows 2003 Active Directory. Se você for um administrador de domínio, poderá usar o MMC (Console de Gerenciamento Microsoft) de Usuários e Computadores do Active Directory para implantar essa política em todos os controladores de domínio ou em todos os computadores no domínio, conforme descrito no Método 1 (Implementar a Política NoLMHash usando a Política de Grupo).
- Esse valor DWORD impede que novos hashes LM sejam criados em computadores baseados no Windows XP e no Windows Server 2003. O histórico de todos os hashes LM anteriores é limpo quando você conclui essas etapas.
Importante
Se você estiver criando um modelo de diretiva personalizado que pode ser usado no Windows 2000 e no Windows XP ou no Windows Server 2003, poderá criar a chave e o valor. O valor está no mesmo lugar que a chave e um valor de 1 desabilita a criação de hash LM. A chave é atualizada quando um sistema Windows 2000 é atualizado para o Windows Server 2003. No entanto, não há problema se ambas as configurações estiverem no registro.
Método 3: Use uma senha com pelo menos 15 caracteres
A maneira mais simples é usar uma senha com pelo menos 15 caracteres. Nesse caso, o Windows armazena um valor de hash LM que não pode ser usado para autenticar o usuário.