Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Por qué es algo que se debe considerar
Uno o varios de sus servidores o equipos cliente se encuentran actualmente configurados para almacenar hashes de contraseña de administrador de LAN (LM). Los hashes LM son relativamente débiles y, a menudo, los ciberdelincuentes pueden romperlos rápidamente con ataques de fuerza bruta.
Vea a un ingeniero de clientes explicando el problema
Contexto y prácticas recomendadas
Los hash de Lan Manager se utilizan para la autenticación de LAN Manager, un mecanismo antiguo de autenticación anterior a NTLM. Por el contrario, tanto la autenticación NTLM como Kerberos utilizan los hash de contraseña de Windows NT (conocidos como hash de NT o Unicode), mucho más seguros.
Los sistemas operativos de Windows anteriores a Windows Vista y los sistemas operativos de servidor anteriores a Windows Server 2008 aún calculan y almacenan los hash de NT y los hash de Lan Manager. Los hash de NT se almacenan para su uso con NTLM y Kerberos, mientras que los hash de Lan Manager se almacenan para su compatibilidad con versiones anteriores de los sistemas operativos cliente.
Es muy poco probable que el hecho de deshabilitar el almacenamiento de hash de Lan Manager le ocasione problemas, a menos que en su entorno haya algún cliente Windows 95 o Windows 98. Si desactiva el almacenamiento de hash de Lan Manager, los usuarios no podrán autenticarse en servidores desde clientes Windows 95 o Windows 98, a menos que tengan instalado en sus equipos el cliente Servicios de directorio. No obstante, en estos casos, debería considerar la posibilidad de trasladar los clientes a sistemas operativos compatibles.
Acciones recomendadas
Siempre que sea posible, debería impedir a Windows almacenar hash de contraseña de Lan Manager. Puede hacerlo editando el registro en equipos específicos o usando una directiva de grupo para aplicar el cambio a varios equipos.
Para obtener instrucciones sobre ambos enfoques, consulte el artículo de soporte técnico: Cómo impedir que Windows almacene un hash de administrador de LAN de su contraseña en Active Directory y bases de datos de SAM locales en https://support.microsoft.com/kb/299656.
Para los controladores de dominio, configure una directiva de grupo con la que configurarlos todos igual.
Más información
La configuración del hash de LM puede producir problemas de compatibilidad en entornos mixtos. Para obtener más información sobre estos problemas, revise los siguientes artículos de referencia:
-
Los equipos cliente pueden no funcionar correctamente cuando se añade un controlador de dominio de Windows Server 2008 a un dominio anterior a Windows Server 2008 (
https://support.microsoft.com/kb/946405). -
La contraseña de la cuenta del servicio de clúster debe tener 15 o más caracteres si está habilitada la directiva NoLMHash (
https://support.microsoft.com/kb/828861).