Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern beschrieben.

Referenzen

Diese Richtlinieneinstellung bestimmt, ob LAN Manager bei der nächsten Kennwortänderung keine Hashwerte für das neue Kennwort speichern kann. Hashwerte stellen das Kennwort dar, nachdem der Verschlüsselungsalgorithmus angewendet wurde, der dem vom Algorithmus angegebenen Format entspricht. Zum Entschlüsseln des Hashwerts muss der Verschlüsselungsalgorithmus bestimmt und anschließend umgekehrt werden. Der LAN Manager-Hash ist, verglichen mit dem kryptografisch sichereren NTLM-Hash, relativ schwach und anfällig für Angriffe. Da der LM-Hash auf dem lokalen Gerät in der Sicherheitsdatenbank gespeichert wird, sind die Kennwörter bei einem Angriff auf die Sicherheitsdatenbank (Sicherheitskontenverwaltung, SAM) möglicherweise gefährdet.

Durch Angriffe auf die SAM-Datei können Angreifer unter Umständen auf Benutzernamen und Kennworthashes zugreifen. Angreifer können ein Kennwortentschlüsselungstools verwenden, um das Kennwort zu ermitteln. Sobald sie diese Informationen besitzen, können sie damit Zugriff auf die Ressourcen in Ihrem Netzwerk erlangen, indem sie die Identität von Benutzern annehmen. Durch die Aktivierung dieser Einstellung werden Angriffe dieser Art nicht verhindert, erschweren sie jedoch erheblich.

Mögliche Werte

• Aktiviert

• Deaktiviert

• Nicht definiert

Bewährte Methoden

1. Legen Sie für Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern die Option Aktiviert fest.

2. Fordern Sie alle Benutzer auf, beim nächsten Anmelden bei der Domäne neue Kennwörter festzulegen, sodass LAN Manager-Hashes entfernt werden.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Über die SAM-Datei können sich Angreifer Zugriff auf Benutzernamen und Kennworthashes verschaffen. Bei solchen Angriffen werden Tools zum Ermitteln von Kennwörtern verwendet. Mithilfe der Kennwörter können Angreifer anschließend die Identität von Benutzern annehmen und auf Ressourcen in Ihrem Netzwerk zugreifen. Diese Art von Angriffen werden durch die Aktivierung dieser Richtlinieneinstellung zwar nicht verhindert, da LAN Manager-Hashes sehr viel schwächer als NTLM-Hashwerte sind, sie werden jedoch deutlich erschwert.

Gegenmaßnahme

Aktivieren Sie die Einstellung Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern. Fordern Sie alle Benutzer auf, beim nächsten Anmelden bei der Domäne neue Kennwörter festzulegen, sodass LAN Manager-Hashes entfernt werden.

Mögliche Auswirkung

Einige nicht von Microsoft stammende Anwendungen können möglicherweise keine Verbindung mit dem System herstellen.

Verwandte Themen

Sicherheitsoptionen