Запрет на хранение хэша Lan Manager в AD и SAM

ОС Windows поддерживают несколько методов аутентификации, в число которых входят службы LAN Manager (LM), NT LAN Manager (NTLM) и NTLM версии 2 (NTLMv2). Служба LM хранит пароли в хэшированном формате, который легко взломать. Со временем компания Microsoft исправила этот недостаток, добавив возможность отключить хранение хэш-данных LM.

Для отключения хэш-данных LM в Windows сделайте следующее.

  1.  Откройте редактор системного реестра (REGEDIT.EXE) на контроллере домена.

  2.  Перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

  3.  В меню Правка (Edit) выберите команду Создать > Раздел (New > Key).

  4.  Введите имя раздела NoLMHash и присвойте записи значение 1. Нажмите клавишу <Enter>.

  5.  Завершите работу с редактором.

  6.  Перезагрузите компьютер.

Изменение не вступит в силу, пока каждый пользователь не сменит свой пароль.

В Windows для отключения хэш-данных LM можно использовать и групповую политику. Необходимый параметр политики доступен в разделе Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options). Для изменения параметров этой политики, найдите политику Network Security, которая называется “Do not store LAN Manager hash value on next password change”.