Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевая безопасность: не сохранять хэш-значение LAN Manager при следующей смене пароля.
Справка
Этот параметр политики определяет, запрещается ли сохранение хэш-значений в LAN Manager для нового пароля при очередной смене пароля. Хэш-значения являются представлением пароля после применения алгоритма шифрования, соответствующего формату, который определяется этим алгоритмом. Чтобы расшифровать хэш-значение, необходимо определить алгоритм шифрования, а затем реверсировать его. Хэш LAN Manager относительно слаб и предрасположен к атакам в сравнении с криптографически более надежным хэшем NTLM. Поскольку хэш LM хранится на локальном устройстве в базе данных системы безопасности, пароли могут оказаться под угрозой в случае атаки на базу данных системы безопасности — диспетчер учетных записей безопасности (SAM).
При атаке на файл SAM злоумышленники потенциально могут получить доступ к хэшам имен пользователей и паролей. Чтобы узнать пароль, злоумышленники могут использовать средства взлома паролей. После получения доступа к этой информации они могут использовать ее для получения доступа к ресурсам в вашей сети, выдавая себя за ее пользователей. Включение этого параметра политики не сможет предотвратить атаки такого типа, но их осуществление значительно усложнится.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
Установите для параметра Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля значение Включено.
Требуйте, чтобы пользователи устанавливали новые пароли при каждом входе в систему домена для удаления хэшей LAN Manager.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Файл SAM может быть целью злоумышленников, которые ищут способы получить доступ к хэшам имен пользователей и паролей. Для таких атак используются специальные средства обнаружения паролей, которые затем можно использовать для того, чтобы выдать себя за пользователя вашей сети и таким образом получить доступ к ресурсам в сети. Включение этого параметра политики не сможет предотвратить атаки такого типа, поскольку хэши LAN Manager не такие надежные, как хэши NTLM, но осуществление таких атак значительно усложнится.
Меры противодействия
Включите параметр Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля. Требуйте, чтобы пользователи устанавливали новые пароли при каждом входе в систему домена для удаления хэшей LAN Manager.
Возможные последствия
Некоторые сторонние приложения, возможно, не смогут подключиться к системе.