Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, ob LAN Manager bei der nächsten Kennwortänderung keine Hashwerte für das neue Kennwort speichern kann. Hashwerte stellen das Kennwort dar, nachdem der Verschlüsselungsalgorithmus angewendet wurde, der dem vom Algorithmus angegebenen Format entspricht. Zum Entschlüsseln des Hashwerts muss der Verschlüsselungsalgorithmus bestimmt und anschließend umgekehrt werden. Der LAN Manager-Hash ist, verglichen mit dem kryptografisch sichereren NTLM-Hash, relativ schwach und anfällig für Angriffe. Da der LM-Hash auf dem lokalen Gerät in der Sicherheitsdatenbank gespeichert wird, sind die Kennwörter bei einem Angriff auf die Sicherheitsdatenbank (Sicherheitskontenverwaltung, SAM) möglicherweise gefährdet.
Durch Angriffe auf die SAM-Datei können Angreifer unter Umständen auf Benutzernamen und Kennworthashes zugreifen. Angreifer können ein Kennwortentschlüsselungstools verwenden, um das Kennwort zu ermitteln. Sobald sie diese Informationen besitzen, können sie damit Zugriff auf die Ressourcen in Ihrem Netzwerk erlangen, indem sie die Identität von Benutzern annehmen. Durch die Aktivierung dieser Einstellung werden Angriffe dieser Art nicht verhindert, erschweren sie jedoch erheblich.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
Legen Sie für Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern die Option Aktiviert fest.
Fordern Sie alle Benutzer auf, beim nächsten Anmelden bei der Domäne neue Kennwörter festzulegen, sodass LAN Manager-Hashes entfernt werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Über die SAM-Datei können sich Angreifer Zugriff auf Benutzernamen und Kennworthashes verschaffen. Bei solchen Angriffen werden Tools zum Ermitteln von Kennwörtern verwendet. Mithilfe der Kennwörter können Angreifer anschließend die Identität von Benutzern annehmen und auf Ressourcen in Ihrem Netzwerk zugreifen. Diese Art von Angriffen werden durch die Aktivierung dieser Richtlinieneinstellung zwar nicht verhindert, da LAN Manager-Hashes sehr viel schwächer als NTLM-Hashwerte sind, sie werden jedoch deutlich erschwert.
Gegenmaßnahme
Aktivieren Sie die Einstellung Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern. Fordern Sie alle Benutzer auf, beim nächsten Anmelden bei der Domäne neue Kennwörter festzulegen, sodass LAN Manager-Hashes entfernt werden.
Mögliche Auswirkung
Einige nicht von Microsoft stammende Anwendungen können möglicherweise keine Verbindung mit dem System herstellen.