Del via


Forhindre lagring av PASSORD-hash-koder for LAN Manager – Microsoft Engage Center (Services Hub)

Hvorfor vurdere dette

Én eller flere av serverne eller klientdatamaskinene er for øyeblikket konfigurert til å lagre LAN Manager-passord-hash-koder (LM). LM hashes er relativt svake og kan ofte knekkes raskt av cyberattackers ved hjelp av rå kraftangrep.

Se en kundetekniker som forklarer problemet

Kontekst og anbefalte fremgangsmåter

LM-hash-koder brukes av LAN Manager(LM)-godkjenning, en gammel godkjenningsmekanisme som går forut for NTLM-godkjenning. Ntlm- og Kerberos-godkjenning bruker derimot både Windows NT-passord-hash-koder (kjent som NT-hash-koder eller Unicode-hash-koder), som er betydelig sikrere.

Windows-operativsystemer før Windows Vista, og serveroperativsystemer før Windows Server 2008, beregner og lagrer fortsatt både NT-hash-koder og LM-hash-koder. NT-hash-koder lagres for bruk med NTLM og Kerberos, og LM-hash-koder lagres for bakoverkompatibilitet med tidligere versjoner av klientoperativsystemet.

Det er svært lite sannsynlig at det oppstår problemer med å deaktivere LM-hash-lagring med mindre miljøet inneholder Windows 95- eller Windows 98-klienter. Hvis du deaktiverer LM-hash-lagring, kan ikke brukere godkjenne servere fra Windows 95- eller Windows 98-klienter med mindre de har Katalogtjenesteklienten installert på datamaskinene sine. I slike tilfeller bør du imidlertid på det sterkeste vurdere å flytte klientene til støttede operativsystemer.

Foreslåtte handlinger

Der det er mulig, bør du hindre Windows i å lagre hash-koder for LM-passord. Du kan gjøre dette ved å redigere registeret på individuelle datamaskiner eller ved hjelp av gruppepolicy for å bruke endringen på flere datamaskiner.

Hvis du vil ha veiledning om begge tilnærmingene, kan du se Slik hindrer du Windows i å lagre en LAN Manager-hash for passordet i Active Directory og lokale SAM-databaser.

Konfigurer en gruppepolicy for domenekontrollere for å konfigurere alle med samme innstilling.

Finn ut mer

LM-hash-innstillinger kan forårsake kompatibilitetsproblemer i blandede miljøer. https://support.microsoft.com/help