Freigeben über

So verhindern Sie, dass Windows einen LAN-Manager-Hash Ihres Kennworts in Active Directory- und lokalen SAM-Datenbanken speichert

  • Artikel

Dieser Artikel enthält drei Methoden, um zu verhindern, dass Windows einen LAN Manager(LM)-Hash Ihres Kennworts in Active Directory- und lokalen SAM-Datenbanken (Security Accounts Manager) speichert.

Ursprüngliche KB-Nummer: 299656

Übersicht

Windows speichert Ihr Benutzerkontokennwort nicht im Klartext. Stattdessen werden Benutzerkontenkennwörter generiert und gespeichert, indem zwei verschiedene Kennwortdarstellungen verwendet werden, die als Hashes bezeichnet werden. Wenn Sie das Kennwort für ein Benutzerkonto auf ein Kennwort festlegen oder ändern, das weniger als 15 Zeichen enthält, generiert Windows sowohl einen LM-Hash als auch einen Windows NT-Hash (NT-Hash) des Kennworts. Diese Hashes werden in der lokalen SAM-Datenbank oder in Active Directory gespeichert.

Der LM-Hash ist im Vergleich zum NT-Hash relativ schwach und anfällig für schnelle Brute-Force-Angriffe. Daher sollten Sie verhindern, dass Windows einen LM-Hash Ihres Kennworts speichert. In diesem Artikel wird beschrieben, wie Windows nur den stärkeren NT-Hash Ihres Kennworts speichert.

Weitere Informationen

Windows 2000- und Windows Server 2003-Server können Benutzer authentifizieren, die eine Verbindung von Computern herstellen, auf denen frühere Versionen von Windows ausgeführt werden. Versionen von Windows vor Windows 2000 verwenden jedoch nicht Kerberos für die Authentifizierung. Aus Gründen der Abwärtskompatibilität unterstützen Windows 2000 und Windows Server 2003:

  • LM-Authentifizierung
  • Windows NT(NTLM)-Authentifizierung
  • NTLM Version 2 (NTLMv2)-Authentifizierung

NTLM, NTLMv2 und Kerberos verwenden den NT-Hash, auch als Unicode-Hash bezeichnet. Das LM-Authentifizierungsprotokoll verwendet den LM-Hash.

Sie sollten den Speicher des LM-Hashs verhindern, wenn Sie ihn nicht aus Gründen der Abwärtskompatibilität benötigen. Wenn Ihr Netzwerk Windows 95-, Windows 98- oder Macintosh-Clients enthält, treten möglicherweise die folgenden Probleme auf, wenn Sie die Speicherung von LM-Hashes für Ihre Domäne verhindern:

  • Benutzer ohne LM-Hash können keine Verbindung mit einem Windows 95- oder Windows 98-Computer herstellen, der als Server fungiert. Dieses Problem tritt nicht auf, wenn der Verzeichnisdienstclient für Windows 95 und Windows 98 auf dem Server installiert ist.
  • Benutzer auf Windows 95- oder Windows 98-Computern können sich nicht mithilfe ihres Domänenkontos bei Servern authentifizieren. Dieses Problem tritt nicht auf, wenn die Benutzer den Verzeichnisdiensteclient auf ihren Computern installiert haben.
  • Benutzer auf Windows 95- oder Windows 98-Computern können sich nicht mithilfe eines lokalen Kontos auf einem Server authentifizieren, auf dem LM-Hashes deaktiviert wurden. Dieses Problem tritt nicht auf, wenn die Benutzer den Verzeichnisdiensteclient auf ihren Computern installiert haben.
  • Benutzer können ihre Domänen-Kennwörter nicht von einem Windows 95- oder Windows 98-Computer ändern. Oder Benutzer können Kontosperrungsprobleme feststellen, wenn sie versuchen, Kennwörter von diesen früheren Clients zu ändern.
  • Benutzer von Macintosh Outlook 2001-Clients können nicht auf ihre Postfächer auf Microsoft Exchange-Servern zugreifen. Benutzer sehen möglicherweise den folgenden Fehler in Outlook:

    Die angegebenen Anmeldeinformationen waren falsch. Stellen Sie sicher, dass Ihr Benutzername und Ihre Domäne korrekt sind, und geben Sie ihr Kennwort erneut ein.

Um zu verhindern, dass Windows einen LM-Hash Ihres Kennworts speichert, verwenden Sie eine der folgenden Methoden.

Methode 1: Implementieren der NoLMHash-Richtlinie mithilfe von Gruppenrichtlinien

Verwenden Sie die lokale Gruppenrichtlinie, um den Speicher von LM-Hashes der Kennwörter eines Benutzers in der SAM-Datenbank des lokalen Computers in Windows XP oder Windows Server 2003 zu deaktivieren. Um den Speicher von LM-Hashes der Kennwörter eines Benutzers in einer Windows Server 2003 Active Directory-Umgebung zu deaktivieren, verwenden Sie Gruppenrichtlinien in Active Directory. Führen Sie folgende Schritte aus:

  1. Erweitern Sie in der Gruppenrichtlinie die Lokalen>Richtlinien für die Computerkonfiguration>von Windows-Einstellungen>, und wählen Sie dann "Sicherheitsoptionen" aus.
  2. Doppelklicken Sie in der Liste der verfügbaren Richtlinien auf Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert nicht bei der nächsten Kennwortänderung.
  3. Wählen Sie "OK aktiviert>" aus.

Methode 2: Implementieren der NoLMHash-Richtlinie durch Bearbeiten der Registrierung

Verwenden Sie in Windows 2000 Service Pack 2 (SP2) und höher eines der folgenden Verfahren, um zu verhindern, dass Windows einen LM-Hashwert bei der nächsten Kennwortänderung speichert.

Windows 2000 SP2 und höher

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Der NoLMHash-Registrierungsschlüssel und seine Funktionalität wurden nicht getestet oder dokumentiert und sollten vor Windows 2000 SP2 als unsicher angesehen werden, um sie in Produktionsumgebungen zu verwenden.

Führen Sie die folgenden Schritte aus, um diesen Schlüssel mithilfe des Registrierungs-Editors hinzuzufügen:

  1. Starten Sie den Registrierungs-Editor (Regedt32.exe).

  2. Suchen Und wählen Sie dann den folgenden Schlüssel aus:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Klicken Sie im Menü "Bearbeiten " auf "Taste hinzufügen", geben Sie NoLMHashein, und drücken Sie dann die EINGABETASTE.

  4. Beenden Sie den Registrierungs-Editor.

  5. Starten Sie den Computer neu, und ändern Sie dann Ihr Kennwort, um die Einstellung zu aktivieren.

Notiz

  • Diese Registrierungsschlüsseländerung muss auf allen Windows 2000-Domänencontrollern vorgenommen werden, um den Speicher von LM-Hashes von Benutzerkennwörtern in einer Windows 2000 Active Directory-Umgebung zu deaktivieren.
  • Dieser Registrierungsschlüssel verhindert, dass neue LM-Hashes auf Windows 2000-Computern erstellt werden. Der Verlauf früherer LM-Hashes, die gespeichert sind, wird jedoch nicht gelöscht. Vorhandene LM-Hashes, die gespeichert werden, werden entfernt, wenn Sie Kennwörter ändern.

Windows XP und Windows Server 2003

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Führen Sie die folgenden Schritte aus, um diesen DWORD-Wert mithilfe des Registrierungs-Editors hinzuzufügen:

  1. Wählen Sie "Start ausführen"> aus, geben Sie "regedit" ein, und klicken Sie dann auf "OK".

  2. Suchen Sie den folgenden Schlüssel in der Registrierung, und wählen Sie ihn aus:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.

  4. Geben Sie NoLMHash ein, und drücken Sie dann die EINGABETASTE.

  5. Wählen Sie im Menü Bearbeiten die Option Ändern aus.

  6. Geben Sie "1" ein, und wählen Sie dann "OK" aus.

  7. Starten Sie Ihren Computer neu, und ändern Sie dann Ihr Kennwort.

Notiz

  • Diese Registrierungsänderung muss auf allen Windows Server 2003-Domänencontrollern vorgenommen werden, um den Speicher von LM-Hashes von Benutzerkennwörtern in einer Windows 2003 Active Directory-Umgebung zu deaktivieren. Wenn Sie ein Domänenadministrator sind, können Sie Active Directory-Benutzer und -Computer Microsoft Management Console (MMC) verwenden, um diese Richtlinie für alle Domänencontroller oder alle Computer in der Domäne bereitzustellen, wie in Methode 1 beschrieben (Implementieren der NoLMHash-Richtlinie mithilfe von Gruppenrichtlinien).
  • Dieser DWORD-Wert verhindert, dass neue LM-Hashes auf Windows XP-basierten Computern und Windows Server 2003-basierten Computern erstellt werden. Der Verlauf aller vorherigen LM-Hashes wird gelöscht, wenn Sie diese Schritte ausführen.

Wichtig

Wenn Sie eine benutzerdefinierte Richtlinienvorlage erstellen, die sowohl unter Windows 2000 als auch unter Windows XP oder Windows Server 2003 verwendet werden kann, können Sie sowohl den Schlüssel als auch den Wert erstellen. Der Wert befindet sich an derselben Stelle wie der Schlüssel, und ein Wert von 1 deaktiviert die LM-Hasherstellung. Der Schlüssel wird aktualisiert, wenn ein Windows 2000-System auf Windows Server 2003 aktualisiert wird. Es ist jedoch in Ordnung, wenn sich beide Einstellungen in der Registrierung befinden.

Methode 3: Verwenden eines Kennworts, das mindestens 15 Zeichen lang ist

Die einfachste Möglichkeit besteht darin, ein Kennwort zu verwenden, das mindestens 15 Zeichen lang ist. In diesem Fall speichert Windows einen LM-Hashwert, der nicht zum Authentifizieren des Benutzers verwendet werden kann.