Keine LmHash ins Netzwerk senden

Details
Kategorie: pcte.ch Blog

Senden und Speichern von LM Hash mittels Registry abstellenEine weitere Möglichkeit die Sicherheit zu erhöhen ist, schon gar keine keinen LmHash ins Netzwerk zu senden oder in der SAM Datenbank zu speichern.

Anstatt Ihr Benutzerkennwort in Klartext zu speichern, erzeugt und speichert Windows Benutzerkennworte in Form von zwei verschiedenen Kennwort-Repräsentanzen, im Allgemeinen bekannt als "Hashes".

Wenn Sie das Kennwort für ein Benutzerkonto in ein Kennwort mit weniger als 15 Zeichen festlegen oder ändern, erzeugt Windows sowohl einen LAN Manager-Hashwert (LM Hash) als auch einen Windows NT-Hashwert (NT Hash) für das Kennwort.

Diese Hashwerte werden in der lokalen Datenbank der Sicherheitskontenverwaltung (SAM) oder in Active Directory gespeichert.

Der LM-Hashwert ist im Vergleich zum NT-Hashwert relativ schwach, und ist daher anfällig für schnelle Brute-Force-Angriffe. Daher wird empfohlen, dass Sie verhindern, dass Windows einen LM-Hashwert Ihres Kennworts speichert.

Ohne diese Änderung müssen Sie ein Passwort von mindestens 15 Zeichen wählen.
Details von Microsoft zu diesem Thema.
Ist zwar geschrieben für Windows XP, sollten Sie aber prüfen auch auf Windows 7, 8x und 10 gültig und anwendbar.

Dieser Artikel beschreibt, wie Sie dies tun können, so dass Windows nur den stärkeren NT-Hashwert Ihres Kennworts speichert.

  • Starten Sie ...\windows\regedit.exe bzw. ...\winnt\regedt32.exe.
    als Administrator (Rechtsklick --> ausführen als Administrator)
  • Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
    HKEY_LOCAL_MACHINE
    System
    CurrentControlSet
    Control
    Lsa

    Lan Manager Einträge unter LSA in der Registry

  • Doppelklicken Sie auf den Schlüssel "NoLmHash".
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "NoLmHash" ein.
  • Tragen Sie den Wert (Hexadezimal) 1 ein.
  • Schliessen Sie Regedit.exe und alle anderen Programme und starten Sie den Computer neu.
  • Setzen Sie ein neues Passwort damit der Speicher geleert wird.
    Sicher Passworte können Sie mit unserem PWG erstellen...

Bitte beachten Sie, dass die Registry wichtige Einstellungen und Daten enthält, nicht einfach drin herum spielen und ändern, ausser Sie wissen was Sie tun... ;)  Falls Sie wissen was Sie tun, viel Spass mit dem Registry Editor womit Sie fast alles in Windows bis ins Detail steuern und ändern können..

Weitere Informationen (u.a. Quelle):

Zugriffe: 3459