Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
Per què considerar això
Un o més servidors o ordinadors client estan configurats per emmagatzemar hashs de contrasenya de LAN Manager (LM). Els hashes LM són relativament febles i sovint poden ser trencats ràpidament pels ciberatacants mitjançant atacs de força bruta.
Mireu un enginyer de clients explicant el problema
Context i bones pràctiques
Els hashes LM són utilitzats per l'autenticació de LAN Manager (LM), un mecanisme d'autenticació antic que és anterior a l'autenticació NTLM. En canvi, l'autenticació NTLM i Kerberos utilitzen hashes de contrasenya de Windows NT (coneguts com a hashes NT o hashes Unicode), que són considerablement més segurs.
Els sistemes operatius Windows anteriors a Windows Vista i els sistemes operatius de servidor anteriors a Windows Server 2008 encara calculen i emmagatzemen hashes NT i LM. Els hashes NT s'emmagatzemen per utilitzar-los amb NTLM i Kerberos, i els hashes LM s'emmagatzemen per a la compatibilitat amb versions anteriors del sistema operatiu client.
És molt poc probable que trobeu cap problema en desactivar l'emmagatzematge de hash LM tret que el vostre entorn contingui clients del Windows 95 o del Windows 98. Si desactiveu l'emmagatzematge de hash LM, els usuaris no podran autenticar-se als servidors des dels clients del Windows 95 o del Windows 98 tret que tinguin el client de serveis de directori instal·lat als seus ordinadors. Tanmateix, en aquests casos hauríeu de considerar fermament moure els clients a sistemes operatius compatibles.
Accions suggerides
Sempre que sigui possible, hauríeu d'evitar que Windows emmagatzemi hashes de contrasenya LM. Podeu fer-ho editant el registre en ordinadors individuals o utilitzant l'estratègia de grup per aplicar el canvi a diversos ordinadors.
Per obtenir orientació sobre ambdós enfocaments, consulteu l'article de suport: Com evitar que el Windows emmagatzemi un hash de l'administrador de LAN de la contrasenya a l'Active Directory i a les bases de dades SAM locals a https://support.microsoft.com/kb/299656.
Per als controladors de domini, configureu una política de grup per configurar-los tots amb la mateixa configuració.
Més informació
La configuració del hash LM pot causar problemes de compatibilitat en entorns mixtos. Per obtenir més informació sobre aquests temes, reviseu els articles de suport següents:
-
És possible que els ordinadors client no funcionin correctament quan afegiu un controlador de domini basat en Windows Server 2008 a un domini anterior al Windows Server 2008 existent (
https://support.microsoft.com/kb/946405). -
La contrasenya del compte de servei de clúster s'ha de definir en 15 caràcters o més si la norma NoLMHash està habilitada (
https://support.microsoft.com/kb/828861).