Zabránenie uloženiu hodnôt hash hesiel aplikácie LAN Manager

Prečo vezmite do úvahy toto

Jeden alebo viacero serverov alebo klientskych počítačov je momentálne nakonfigurovaných na ukladanie hodnôt hash hesiel aplikácie LAN Manager (LM). Hash LM sú relatívne slabé a útočníkmi pri útokoch hrubej sily ich často môžu rýchlo prelomiť.

Pozrite si informácie o probléme od zákazníckeho inžiniera

Osvedčené postupy & z kontextu

Hash LM sa používajú pri overách lan Manager (LM), čo je starý mechanizmus overovania, ktorý preduje overovanie NTLM. Naproti tomu overovanie NTLM a Kerberos používajú hodnoty hash hesiel systém Windows NT (známe ako NT hashes alebo Unicode hashes), ktoré sú oveľa bezpečnejšie.

Windows operačných systémov pred systémom Windows Vista a serverami pred Windows Serverom 2008 sa stále počítajú a ukladajú hodnoty HASH NT aj LM hash. Hodnoty hash NT sa ukladajú na použitie s protokolom NTLM a Kerberos a hodnoty hash LM sa ukladajú na účely spätnej kompatibility so staršími verziami operačného systému klienta.

Vypnutie ukladacieho priestoru hash LM pravdepodobne nenarúša žiadne problémy, pokiaľ vaše prostredie neobsahuje Windows 95 alebo 98 klientov Windows 98. Ak zakážete ukladací priestor hash LM, používatelia nebudú môcť overiť servery zo služieb Windows 95 alebo Windows 98, pokiaľ nemajú v počítačoch nainštalovaného klienta adresárových služieb. V takýchto prípadoch by ste však mali dôrazne zvážiť presun klientov do podporovaných operačných systémov.

Navrhované akcie

Kdekoľvek je to možné, mali by ste Windows ukladať hodnoty hash hesiel LM. Môžete to urobiť úpravou databázy Registry v jednotlivých počítačoch alebo použitím skupinovej politiky na použitie zmeny vo viacerých počítačoch.

Pokyny k obom prístupom nájdete v článku technickej podpory: ako zabrániť Windows uloženiu hodnoty hash správcu siete LAN vášho hesla v službe Active Directory a v lokálnych databázach SAM na lokalite https://support.microsoft.com/kb/299656 .

V prípade ovládačov domén nakonfigurujte skupinovú politiku tak, aby sa všetky nakonfigurovali s rovnakým nastavením.

Ďalšie informácie

Nastavenia hodnoty LM hash môžu spôsobiť problémy s kompatibilitou v zmiešaných prostrediach. Ďalšie informácie o týchto problémoch nájdete v týchto článkoch technickej podpory:

Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.