Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dlaczego warto wziąć to pod uwagę
Co najmniej jeden z Twoich serwerów lub komputerów klienckich jest obecnie skonfigurowany do przechowywania skrótów haseł programu LAN Manager (LM). Skróty LM są stosunkowo słabe i często mogą być szybko złamane przez osoby atakujące za pomocą brutalnych cyberataków siłowych.
Obejrzyj, jak Inżynier klienta wyjaśnia problem
Kontekst i Najlepsze Praktyki
Skróty LM są używane przez uwierzytelnianie LAN Manager (LM), stary mechanizm uwierzytelniania, który poprzedza uwierzytelnianie NTLM. Natomiast uwierzytelnianie NTLM i Kerberos używają skrótów haseł systemu Windows NT (znanych jako skróty NT lub skróty Unicode), które są znacznie bezpieczniejsze.
Systemy operacyjne Windows poprzedzające Windows Vista oraz systemy operacyjne serwera poprzedzające Windows Server 2008 nadal obliczają i przechowują zarówno skróty NT, jak i skróty LM. Skróty NT są przechowywane do użytku z programami NTLM i Kerberos, a skróty LM są przechowywane w celu zapewnienia zgodności z poprzednimi wersjami systemu operacyjnego klienta.
Istnieje bardzo małe prawdopodobieństwo napotkania jakichkolwiek problemów z wyłączaniem opcji przechowywania skrótów LM, chyba że środowisko zawiera klientów z systemem Windows 95 lub Windows 98. Jeśli przechowywanie skrótów LM zostanie wyłączone, użytkownicy nie będą mogli uwierzytelniać się na serwerach przy pomocy konta klienta z systemem Windows 95 lub Windows 98, chyba że na ich komputerach jest zainstalowany klient usług katalogowych. Jednak w takich przypadkach należy zdecydowanie rozważyć przeniesienie klientów do obsługiwanych systemów operacyjnych.
Sugerowane działania
Tam, gdzie to możliwe, należy uniemożliwić systemowi Windows przechowywanie skrótów haseł LM. Można to zrobić, edytując rejestr na poszczególnych komputerach lub używając zasad grupy, aby zastosować tę zmianę na wielu komputerach.
Aby uzyskać wskazówki dotyczące obu metod, zobacz artykuł pomocy technicznej: Jak uniemożliwić Windows przechowywania skrótu hasła menedżera sieci LAN w usłudze Active Directory i lokalnych bazach danych SAM na https://support.microsoft.com/kb/299656.
W przypadku kontrolerów domeny skonfiguruj zasady grupy, aby zastosować to samo ustawienie na każdym z nich.
Dowiedz się więcej
Ustawienia skrótu LM mogą powodować problemy ze zgodnością w środowiskach mieszanych. Aby uzyskać więcej informacji na temat tych problemów, zapoznaj się z następującymi artykułami pomocy technicznej:
-
Komputery klienckie mogą nie działać poprawnie podczas dodawania kontrolera domeny opartego na systemie Windows Server 2008 do istniejącej domeny z systemem poprzedzającym Windows Server 2008 (
https://support.microsoft.com/kb/946405). -
Hasło do konta usługi klastrowania musi być ustawione na 15 lub więcej znaków, jeśli zasada NoLMHash jest włączona (
https://support.microsoft.com/kb/828861).