Поделиться через

Как предотвратить хранение хэша диспетчера локальной сети Windows в базах данных Active Directory и локальных базах данных SAM

  • Статья

В этой статье содержатся три метода, чтобы запретить Windows хранить хэш локального диспетчера локальной сети (LM) пароля в базах данных Active Directory и локальных баз данных диспетчера учетных записей безопасности (SAM).

Исходный номер базы знаний: 299656

Итоги

Windows не сохраняет пароль учетной записи пользователя в виде ясного текста. Вместо этого он создает и сохраняет пароли учетных записей пользователей с помощью двух разных представлений паролей, известных как хэши. При установке или изменении пароля для учетной записи пользователя на пароль, содержащий менее 15 символов, Windows создает хэш LM и хэш Windows NT (хэш NT) пароля. Эти хэши хранятся в локальной базе данных SAM или Active Directory.

Хэш LM относительно слаб по сравнению с хэшом NT, и он подвержен быстрому атаке подбора. Поэтому может потребоваться запретить Windows хранить хэш LM пароля. В этой статье описывается, как сделать Windows хранить только более сильный хэш NT пароля.

Дополнительная информация

Серверы Windows 2000 и Windows Server 2003 могут проходить проверку подлинности пользователей, подключающихся с компьютеров под управлением более ранних версий Windows. Однако версии Windows до Windows 2000 не используют Kerberos для проверки подлинности. Для обеспечения обратной совместимости поддержка Windows 2000 и Windows Server 2003:

  • Проверка подлинности LM
  • Проверка подлинности Windows NT (NTLM)
  • Проверка подлинности NTLM версии 2 (NTLMv2)

NTLM, NTLMv2 и Kerberos используют хэш NT, также известный как хэш Юникода. Протокол проверки подлинности LM использует хэш LM.

Если он не нужен для обратной совместимости, следует предотвратить хранение хэша LM. Если сеть содержит клиенты Windows 95, Windows 98 или Macintosh, при предотвращении хранения хэшей LM для вашего домена могут возникнуть следующие проблемы:

  • Пользователи без хэша LM не могут подключаться к компьютеру Windows 95 или Windows 98, который выступает в качестве сервера. Эта проблема не возникает, если клиент служб каталогов для Windows 95 и Windows 98 установлен на сервере.
  • Пользователи на компьютерах Windows 95 или Windows 98 не могут проходить проверку подлинности на серверах с помощью учетной записи домена. Эта проблема не возникает, если у пользователей есть клиент служб каталогов, установленный на своих компьютерах.
  • Пользователи на компьютерах Windows 95 или Windows 98 не могут пройти проверку подлинности с помощью локальной учетной записи на сервере, который отключил хэши LM. Эта проблема не возникает, если у пользователей есть клиент служб каталогов, установленный на своих компьютерах.
  • Пользователи не могут изменять пароли домена с компьютера Windows 95 или Windows 98. Кроме того, пользователи могут столкнуться с проблемами блокировки учетной записи при попытке изменить пароли из этих предыдущих клиентов.
  • Пользователи клиентов Macintosh Outlook 2001 не могут получить доступ к своим почтовым ящикам на серверах Microsoft Exchange. Пользователи могут увидеть следующую ошибку в Outlook:

    Предоставленные учетные данные входа были неверны. Убедитесь, что имя пользователя и домен правильны, а затем введите пароль еще раз.

Чтобы предотвратить хранение хэша LM паролей в Windows, используйте любой из следующих методов.

Метод 1. Реализация политики NoLMHash с помощью групповой политики

Чтобы отключить хранилище хэшей хэшей LM паролей пользователя в базе данных SAM локального компьютера в Windows XP или Windows Server 2003, используйте локальную групповую политику. Чтобы отключить хранилище хэшей LM паролей пользователя в среде Active Directory Windows Server 2003, используйте групповую политику в Active Directory. Выполните следующие действия:

  1. В групповой политике разверните раздел "Параметры>безопасности параметров> безопасности windows" конфигурации>компьютера, а затем выберите "Параметры безопасности".
  2. В списке доступных политик дважды щелкните сетевую безопасность: не сохраняйте хэш-значение LAN Manager при следующем изменении пароля.
  3. Нажмите кнопку "Включено".>

Метод 2. Реализация политики NoLMHash путем редактирования реестра

В Windows 2000 с пакетом обновления 2 (SP2) и более поздних версий используйте одну из следующих процедур, чтобы запретить Windows хранить хэш-значение LM в следующем изменении пароля.

Windows 2000 с пакетом обновления 2 (SP2) и более поздних версий

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:

322756 Создание резервной копии и восстановление реестра Windows

Раздел реестра NoLMHash и его функциональные возможности не были проверены или документированы и должны считаться небезопасными для использования в рабочих средах до Windows 2000 с пакетом обновления 2 (SP2).

Чтобы добавить этот раздел с помощью редактора реестра, выполните следующие действия.

  1. Запустите редактор реестра (Regedt32.exe).

  2. Найдите и выберите следующий ключ:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. В меню "Изменить" нажмите кнопку "Добавить ключ", введите NoLMHashи нажмите клавишу ВВОД.

  4. Закройте редактор реестра.

  5. Перезапустите компьютер, а затем измените пароль, чтобы сделать параметр активным.

Примечание.

  • Это изменение раздела реестра необходимо внести во все контроллеры домена Windows 2000, чтобы отключить хранение хэшей паролей пользователей в среде Active Directory Windows 2000.
  • Этот раздел реестра предотвращает создание новых хэшей LM на компьютерах Windows 2000. Но это не ясно историю предыдущих хэшей LM, которые хранятся. Существующие хэши LM, которые хранятся, будут удалены при изменении паролей.

Windows XP и Windows Server 2003

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:

322756 Создание резервной копии и восстановление реестра Windows

Чтобы добавить это значение DWORD с помощью редактора реестра, выполните следующие действия.

  1. Нажмите кнопку "Запустить">, введите regedit и нажмите кнопку "ОК".

  2. Найдите и выберите следующий раздел в реестре:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.

  4. Введите NoLMHash и нажмите клавишу ВВОД.

  5. В меню Правка щелкните команду Изменить.

  6. Введите 1 и нажмите кнопку "ОК".

  7. Перезапустите компьютер и измените пароль.

Примечание.

  • Это изменение реестра необходимо внести во все контроллеры домена Windows Server 2003, чтобы отключить хранение хэшей паролей пользователей в среде Active Directory Windows 2003. Если вы являетесь администратором домена, вы можете использовать Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) для развертывания этой политики на всех контроллерах домена или на всех компьютерах домена, как описано в методе 1 (реализация политики NoLMHash с помощью групповой политики).
  • Это значение DWORD предотвращает создание новых хэшей LM на компьютерах под управлением Windows XP и на компьютерах под управлением Windows Server 2003. История всех предыдущих хэшей LM очищается при выполнении этих действий.

Внимание

Если вы создаете пользовательский шаблон политики, который может использоваться как в Windows 2000, так и в Windows XP или Windows Server 2003, можно создать ключ и значение. Значение находится в том же месте, что и ключ, а значение 1 отключает создание хэша LM. Ключ обновляется при обновлении системы Windows 2000 до Windows Server 2003. Тем не менее, это нормально, если оба параметра находятся в реестре.

Метод 3. Использование пароля, длиной не менее 15 символов

Самый простой способ — использовать пароль, длиной по крайней мере 15 символов. В этом случае Windows сохраняет хэш-значение LM, которое не может использоваться для проверки подлинности пользователя.