Partager via

Comment empêcher Windows de stocker un hachage du gestionnaire LAN de votre mot de passe dans Active Directory et les bases de données SAM locales

  • Article

Cet article fournit trois méthodes pour empêcher Windows de stocker un hachage de gestionnaire de réseau local (LM) de votre mot de passe dans les bases de données Active Directory et SAM (Security Accounts Manager).

Numéro de base de connaissances d’origine : 299656

Résumé

Windows ne stocke pas le mot de passe de votre compte d’utilisateur en texte clair. Au lieu de cela, il génère et stocke les mots de passe de compte d’utilisateur à l’aide de deux représentations de mot de passe différentes, appelées hachages. Lorsque vous définissez ou modifiez le mot de passe d’un compte d’utilisateur en mot de passe contenant moins de 15 caractères, Windows génère à la fois un hachage LM et un hachage Windows NT (hachage NT) du mot de passe. Ces hachages sont stockés dans la base de données SAM locale ou Active Directory.

Le hachage LM est relativement faible par rapport au hachage NT, et il est sujette à une attaque rapide par force brute. Vous pouvez donc empêcher Windows de stocker un hachage LM de votre mot de passe. Cet article explique comment faire en sorte que Windows stocke uniquement le hachage NT plus fort de votre mot de passe.

Plus d’informations

Les serveurs Windows 2000 et Windows Server 2003 peuvent authentifier les utilisateurs qui se connectent à partir d’ordinateurs exécutant des versions antérieures de Windows. Toutefois, les versions de Windows antérieures à Windows 2000 n’utilisent pas Kerberos pour l’authentification. Pour la compatibilité descendante, windows 2000 et Windows Server 2003 prennent en charge :

  • Authentification LM
  • Authentification Windows NT (NTLM)
  • Authentification NTLM version 2 (NTLMv2)

NTLM, NTLMv2 et Kerberos utilisent tous le hachage NT, également appelé hachage Unicode. Le protocole d’authentification LM utilise le hachage LM.

Vous devez empêcher le stockage du hachage LM si vous n’en avez pas besoin pour la compatibilité descendante. Si votre réseau contient des clients Windows 95, Windows 98 ou Macintosh, vous pouvez rencontrer les problèmes suivants lorsque vous empêchez le stockage des hachages LM pour votre domaine :

  • Les utilisateurs sans hachage LM ne peuvent pas se connecter à un ordinateur Windows 95 ou Windows 98 agissant en tant que serveur. Ce problème ne se produit pas si le client services d’annuaire pour Windows 95 et Windows 98 est installé sur le serveur.
  • Les utilisateurs sur les ordinateurs Windows 95 ou Windows 98 ne peuvent pas s’authentifier auprès des serveurs à l’aide de leur compte de domaine. Ce problème ne se produit pas si les utilisateurs ont installé le client services d’annuaire sur leurs ordinateurs.
  • Les utilisateurs sur les ordinateurs Windows 95 ou Windows 98 ne peuvent pas s’authentifier à l’aide d’un compte local sur un serveur qui a désactivé les hachages LM. Ce problème ne se produit pas si les utilisateurs ont installé le client services d’annuaire sur leurs ordinateurs.
  • Les utilisateurs ne peuvent pas modifier leurs mots de passe de domaine à partir d’un ordinateur Windows 95 ou Windows 98. Ou bien, les utilisateurs peuvent rencontrer des problèmes de verrouillage de compte lorsqu’ils essaient de modifier les mots de passe de ces clients antérieurs.
  • Les utilisateurs des clients Macintosh Outlook 2001 ne peuvent pas accéder à leurs boîtes aux lettres sur les serveurs Microsoft Exchange. Les utilisateurs peuvent voir l’erreur suivante dans Outlook :

    Les informations d’identification d’ouverture de session fournies étaient incorrectes. Vérifiez que votre nom d’utilisateur et votre domaine sont corrects, puis tapez à nouveau votre mot de passe.

Pour empêcher Windows de stocker un hachage LM de votre mot de passe, utilisez l’une des méthodes suivantes.

Méthode 1 : Implémenter la stratégie NoLMHash à l’aide de la stratégie de groupe

Pour désactiver le stockage des hachages LM des mots de passe d’un utilisateur dans la base de données SAM de l’ordinateur local dans Windows XP ou Windows Server 2003, utilisez la stratégie de groupe locale. Pour désactiver le stockage des hachages LM des mots de passe d’un utilisateur dans un environnement Active Directory Windows Server 2003, utilisez la stratégie de groupe dans Active Directory. Effectuez les étapes suivantes :

  1. Dans la stratégie de groupe, développez Paramètres de sécurité windows de configuration>ordinateur stratégies>>locales, puis sélectionnez Options de sécurité.
  2. Dans la liste des stratégies disponibles, double-cliquez sur Sécurité réseau : ne stockez pas la valeur de hachage du Gestionnaire de réseau local lors de la modification suivante du mot de passe.
  3. Sélectionnez Activé>OK.

Méthode 2 : Implémenter la stratégie NoLMHash en modifiant le Registre

Dans Windows 2000 Service Pack 2 (SP2) et versions ultérieures, utilisez l’une des procédures suivantes pour empêcher Windows de stocker une valeur de hachage LM lors de votre prochaine modification de mot de passe.

Windows 2000 SP2 et versions ultérieures

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

La clé de Registre NoLMHash et ses fonctionnalités n’ont pas été testées ou documentées et doivent être considérées comme dangereuses à utiliser dans les environnements de production avant Windows 2000 SP2.

Pour ajouter cette clé à l’aide de l’Éditeur de Registre, procédez comme suit :

  1. Démarrer l’Éditeur du Registre (Regedt32.exe).

  2. Recherchez, puis sélectionnez la clé suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Dans le menu Modifier , cliquez sur Ajouter une touche, tapez NoLMHash, puis appuyez sur Entrée.

  4. Quittez l’Éditeur du Registre.

  5. Redémarrez l’ordinateur, puis modifiez votre mot de passe pour activer le paramètre.

Note

  • Cette modification de clé de Registre doit être effectuée sur tous les contrôleurs de domaine Windows 2000 pour désactiver le stockage des hachages LM des mots de passe des utilisateurs dans un environnement Active Directory Windows 2000.
  • Cette clé de Registre empêche la création de nouveaux hachages LM sur les ordinateurs Windows 2000. Mais il n’efface pas l’historique des hachages LM précédents stockés. Les hachages LM existants stockés seront supprimés lorsque vous modifiez les mots de passe.

Windows XP et Windows Server 2003

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour ajouter cette valeur DWORD à l’aide de l’Éditeur de Registre, procédez comme suit :

  1. Sélectionnez Démarrer>l’exécution, tapez regedit, puis cliquez sur OK.

  2. Recherchez, puis sélectionnez la clé suivante dans le Registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Tapez NoLMHash et appuyez sur Entrée.

  5. Dans le menu Edition, sélectionnez Modifier.

  6. Tapez 1, puis sélectionnez OK.

  7. Redémarrez votre ordinateur, puis modifiez votre mot de passe.

Note

  • Cette modification du Registre doit être effectuée sur tous les contrôleurs de domaine Windows Server 2003 pour désactiver le stockage des hachages LM des mots de passe des utilisateurs dans un environnement Active Directory Windows 2003. Si vous êtes administrateur de domaine, vous pouvez utiliser Utilisateurs et ordinateurs Active Directory Console de gestion Microsoft (MMC) pour déployer cette stratégie sur tous les contrôleurs de domaine ou tous les ordinateurs du domaine, comme décrit dans la méthode 1 (Implémenter la stratégie NoLMHash à l’aide de la stratégie de groupe).
  • Cette valeur DWORD empêche la création de nouveaux hachages LM sur des ordinateurs Windows XP et des ordinateurs Windows Server 2003. L’historique de tous les hachages LM précédents est effacé lorsque vous effectuez ces étapes.

Important

Si vous créez un modèle de stratégie personnalisé qui peut être utilisé sur Windows 2000 et Windows XP ou Windows Server 2003, vous pouvez créer la clé et la valeur. La valeur est au même endroit que la clé et la valeur 1 désactive la création de hachage LM. La clé est mise à niveau lorsqu’un système Windows 2000 est mis à niveau vers Windows Server 2003. Toutefois, il est OK si les deux paramètres se trouvent dans le Registre.

Méthode 3 : Utiliser un mot de passe d’au moins 15 caractères

La façon la plus simple consiste à utiliser un mot de passe d’au moins 15 caractères. Dans ce cas, Windows stocke une valeur de hachage LM qui ne peut pas être utilisée pour authentifier l’utilisateur.