Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Warum sollte man dies in Betracht ziehen?
Mindestens einer Ihrer Server oder Clientcomputer ist derzeit so konfiguriert, dass LAN-Manager-Kennworthashes gespeichert werden. LM-Hashes sind relativ schwach und können von Cyber-Angreifenden mit Brute-Force-Angriffen oft schnell geknackt werden.
Schauen Sie einem Customer Engineer zu, der das Problem erklärt
Kontext und bewährte Vorgehensweisen
LM-Hashwerte werden durch die LAN-Manager-Authentifizierung (LM) verwendet. Hierbei handelt es sich um einen alten Authentifizierungsmechanismus, welcher der NTLM-Authentifizierung voranging. Demgegenüber verwenden die NTLM- und Kerberos-Authentifizierung Windows NT-Kennworthashwerte (werden als NT- oder Unicode-Hashwerte bezeichnet), die als sichererer erachtet werden.
Von Windows-Betriebssystemen vor Windows Vista und Serverbetriebssystemen vor Windows Server 2008 werden NT- und LM-Hashwerte weiterhin berechnet. NT-Hashwerte werden für die Verwendung mit NTLM und Kerberos gespeichert. LM-Hashwerten werden aus Gründen der Abwärtskompatibilität mit früheren Client-Betriebssystemversionen gespeichert.
Es werden sehr wahrscheinlich keine Probleme auftreten, wenn Sie den LM-Hashspeicher deaktivieren, sofern Ihre Umgebung keine Windows 95- oder Windows 98-Clients enthält. Deaktivieren Sie den LM-Hashspeicher, können sich Benutzende nicht bei Servern von Windows-95- oder Windows-98-Clients authentifizieren, sofern der Client für Verzeichnisdienste nicht auf ihren Computern installiert ist. In diesen Fällen sollten Sie jedoch dringend in Erwägung ziehen, für die Clients unterstützte Betriebssysteme einzusetzen.
Empfohlene Maßnahmen
Verhindern Sie, wann immer möglich, dass Windows LAN Manager-Hashwerte Ihres Kennworts speichert. Bearbeiten Sie hierfür die Registrierung auf einzelnen Computern oder mithilfe der Gruppenrichtlinie so, dass die Änderung auf mehrere Computer angewendet wird.
Anleitungen zu beiden Ansätzen finden Sie im Supportartikel: Verhindern, dass Windows einen LAN-Manager-Hash Ihres Kennworts in Active Directory und lokalen SAM-Datenbanken speichert unter https://support.microsoft.com/kb/299656.
Konfigurieren Sie für Domänencontroller eine Gruppenrichtlinie, damit alle mit derselben Einstellung konfiguriert werden.
Weitere Informationen
LM-Hasheinstellungen können in gemischten Umgebungen zu Kompatibilitätsproblemen führen. Weitere Informationen zu diesen Problemen finden Sie in den folgenden Supportartikeln:
-
Client-Computer funktionieren möglicherweise nicht korrekt, wenn Sie einen Windows Server 2008-basierten Domänencontroller zu einer vorhandenen Domäne von vor Windows Server 2008 hinzufügen (
https://support.microsoft.com/kb/946405). -
Das Kennwort für das Cluster-Dienstkonto muss aus 15 oder mehr Zeichen bestehen, wenn die NoLMHash-Richtlinie aktiviert ist (
https://support.microsoft.com/kb/828861).