为什么考虑这种情况
一个或多个服务器或客户端计算机当前配置为存储 LAN Manager (LM) 密码哈希。 LM 哈希相对较弱,可能经常会被网络攻击者使用暴力攻击快速破解。
观看客户工程师解释问题
上下文和最佳做法
LAN Manager (LM) 身份验证使用 LM 哈希,这种身份验证是早于 NTLM 身份验证的一种旧认证机制。 相比之下,NTLM 和 Kerberos 身份验证都使用被视为更为安全的 Windows NT 密码哈希(称为 NT 哈希或 Unicode 哈希)。
早于 Windows Vista 的 Windows 操作系统以及早于 Windows Server 2008 的服务器操作系统仍计算和存储 NT 哈希和 LM 哈希。 NT 哈希被存储为供 NTLM 和 Kerberos 使用,而 LM 哈希则被存储为向后与早期的客户端操作系统版本相兼容。
遇到来自禁用 LM 哈希存储的问题是一件几乎不可能发生的事,除非你的环境中包含 Windows 95 或 Windows 98 客户端。 如果禁用 LM 哈希存储,用户将无法从 Windows 95 或 Windows 98 客户端对服务器进行身份验证,除非他们的计算机上安装了目录服务客户端。 然而,在这些情况下,你应该认真考虑将客户端移动到受支持的操作系统。
建议措施
应尽可能防止 Windows 存储 LM 密码哈希。 为此,可以编辑各个计算机上的注册表或使用组策略将更改应用于多台计算机。
有关这两种方法的指南,请参阅支持文章:如何防止 Windows 在 Active Directory 和本地 SAM 数据库中存储密码的 LAN 管理器哈希值,网址:https://support.microsoft.com/kb/299656。
对于域控制器,请配置组策略,以便在相同设置中配置所有这些域控制器。
了解详情
LM 哈希设置可能导致混合环境中出现兼容性问题。 有关这些问题的详细信息,请查看以下支持文章:
-
将基于 Windows Server 2008 的域控制器添加到现有 Windows Server 2008 之前的域时,客户端计算机可能无法正常运行 (
https://support.microsoft.com/kb/946405)。 -
如果已启用 NoLMHash 策略,则群集服务帐户密码必须设置为 15 个或更多字符 (
https://support.microsoft.com/kb/828861)。