Zabránenie uloženiu hodnôt hash hesiel aplikácie LAN Manager
Prečo vezmite do úvahy toto
Jeden alebo viacero serverov alebo klientskych počítačov je momentálne nakonfigurovaných na ukladanie hodnôt hash hesiel aplikácie LAN Manager (LM). Hash LM sú relatívne slabé a útočníkmi pri útokoch hrubej sily ich často môžu rýchlo prelomiť.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené postupy & z kontextu
Hash LM sa používajú pri overách lan Manager (LM), čo je starý mechanizmus overovania, ktorý preduje overovanie NTLM. Naproti tomu overovanie NTLM aj Kerberos používajú hodnoty hash hesiel systém Windows NT (známe ako NT hashes alebo Unicode hashes), ktoré sú oveľa bezpečnejšie.
Windows operačných systémov pred Windows Vista a serverami pred Windows Serverom 2008 stále počítate a ukladajú hodnoty hash NT aj hodnoty hash LM. Hodnoty hash NT sa ukladajú na použitie s protokolom NTLM a Kerberos a hodnoty hash LM sa ukladajú na účely spätnej kompatibility so staršími verziami operačného systému klienta.
Vypnutie ukladacieho priestoru hash LM pravdepodobne nenarúša žiadne problémy, pokiaľ vaše prostredie neobsahuje Windows 95 alebo 98 klientov Windows 98. Ak zakážete ukladanie hodnoty hash LM, používatelia nebudú môcť overiť na serveroch zo služieb Windows 95 alebo Windows 98, pokiaľ nemajú v počítačoch nainštalovaného klienta adresárových služieb. V takýchto prípadoch by ste však mali dôrazne zvážiť presun klientov do podporovaných operačných systémov.
Navrhované akcie
Kdekoľvek je to možné, mali by ste Windows ukladať hodnoty hash hesiel LM. Môžete to urobiť úpravou databázy Registry v jednotlivých počítačoch alebo použitím skupinovej politiky na použitie zmeny vo viacerých počítačoch.
Pokyny k obom prístupom nájdete v článku technickej podpory: ako zabrániť Windows uloženiu hodnoty hash správcu siete LAN vášho hesla v službe Active Directory a v lokálnych databázach SAM v službe https://support.microsoft.com/kb/299656 .
V prípade ovládačov domén nakonfigurujte skupinovú politiku tak, aby sa všetky nakonfigurovali s rovnakým nastavením.
Ďalšie informácie
Nastavenia hodnoty LM hash môžu spôsobiť problémy s kompatibilitou v zmiešaných prostrediach. Ďalšie informácie o týchto problémoch nájdete v týchto článkoch technickej podpory:
- Klientske počítače nemusia fungovať správne, keď do existujúcej domény servera Windows Server 2008 () pridáte radič domény s Windows Serverom 200 Windows 8 https://support.microsoft.com/kb/946405 ().
- Ak je politika NoLMHash povolená, heslo konta skupinovej služby musí byť nastavené na 15 alebo viac znakov https://support.microsoft.com/kb/828861 ().
Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.