ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない
[ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシーの管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定では、次回パスワードを変更するときに、新しいパスワードに対する LAN Manager のハッシュ値を保存するかどうかを決定します。ハッシュ値は、暗号化アルゴリズムが適用された後のパスワードの表現で、アルゴリズムによって指定された形式に対応します。ハッシュ値の暗号化を解除するには、暗号化アルゴリズムを特定し、元に戻す必要があります。LAN Manager のハッシュは比較的弱く、より強力に暗号化される NTLM ハッシュと比較すると攻撃を受けやすい傾向があります。LM ハッシュはローカル デバイスのセキュリティ データベースに保存されるため、セキュリティ データベースのセキュリティ アカウント マネージャー (SAM) が攻撃されるとパスワードが漏えいするおそれがあります。
SAM ファイルを攻撃することによって、攻撃者がユーザー名とパスワードのハッシュにアクセスできる場合があります。攻撃者は、パスワード解読ツールを使用して、パスワードを知ることができます。この情報にアクセスした攻撃者は、それを使用してユーザーになりますまし、ネットワーク上のリソースにアクセスできます。このポリシー設定を有効にしてもこのような攻撃を防ぐことはできませんが、攻撃が非常に難しくなります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
[ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない] を [有効] に設定します。
すべてのユーザーが次回のドメインへのログオン時に新しいパスワードを設定して、LAN Manager のハッシュを削除する必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
SAM ファイルが、ユーザー名とパスワードのハッシュにアクセスしようとする攻撃者の標的になる可能性があります。このような攻撃では、特別なツールを使用してパスワードを発見し、そのパスワードを使用してユーザーになりすまし、ネットワーク上のリソースへのアクセスが行われます。LAN Manager のハッシュは NTLM ハッシュよりも強度が低いため、このポリシー設定を有効にしてもこのような攻撃を防ぐことはできませんが、攻撃が成功することは非常に難しくなります。
対策
[ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない] の設定を有効にします。すべてのユーザーが次回のドメインへのログオン時に新しいパスワードを設定して、LAN Manager のハッシュを削除する必要があります。
潜在的な影響
Microsoft 以外の一部のアプリケーションはシステムに接続できない場合があります。