btzgrp
  • 5Gは速い?テラヘルツインターネットとは比べものにならない - TechRepublic
Headlines

テクニカルヒント:LM認証を無効にしてシステムをロックダウンする - TechRepublic

05 mins
テクニカルヒント:LM認証を無効にしてシステムをロックダウンする - TechRepublic

出版

ゲスト寄稿者の画像

LM 認証を無効にしてシステムをロックダウンする方法を確認します。

マイク・マリンズ

簡単に解読できるパスワード ファイルを
認証してローカルに保存する場合、ユーザーに複雑なパスワードの使用を要求し、そのポリシーを適用しても意味がありません。

Windows NT、2000、およびXPは、デフォルトで、
従来のLAN Manager(LM)パスワードハッシュ(LANMANハッシュ)をローカルに保存します。LMは
パスワードの保存に弱い暗号化方式を使用しており、ハッカーは
通常、非常に短時間で解読できます。

WindowsはLMハッシュをセキュリティ
アカウントマネージャー(SAM)データベースに保存します。デフォルトでは、クライアントでLAN
Manager認証が有効になっており、サーバーはこの
認証を受け入れます。


これにより、ワークステーションはネットワーク経由で弱い LM ハッシュを送信できるようになり、Windows 認証がパケット スニッフィングに対して脆弱になり、攻撃者が ユーザーのパスワードを解読するために
費やす労力が軽減されます。

この機能を無効にして
ワークステーションのセキュリティを強化するには、次の手順に従います。

  1. [スタート] | [実行] に移動し、「 Regedit 」と入力します。

  2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\ control\LSAに移動します
  3. LMCompatibilityLevel 値を見つけます。

LMCompatibilityLevel のデフォルトは 0 です。
オプションは次のとおりです。

  • レベル 0: LM 応答と NTLM 応答を送信します。NTLMv2
    セッション セキュリティは使用しません。
  • レベル 1:
    ネゴシエートされた場合、NTLMv2 セッション セキュリティを使用します。
  • レベル 2: NTLM 認証のみを送信します。
  • レベル 3: NTLMv2 認証のみを送信します。
  • レベル 4: LM 認証を拒否します。
  • レベル 5: LM および NTLM 認証を拒否し、
    NTLMv2 のみを受け入れます。

NTLMv2 のみを使用するようにシステムを構成し、
REG_DWORD をレベル 3 に設定します。これにより、クライアントは
NTLMv2 認証のみを送信するようになります。

サーバーをレベル 5 に設定すると、
クライアントとサーバー間の通信が安全になります。(詳細については、 Microsoft サポート技術情報の記事 147706
を参照してください。)

NoLMHashポリシーを実装する


この変更を行った後も、システムのSAMデータベースからLMハッシュを強制的に削除する必要があります。Active Directory(Windows 2000 ServerまたはWindows Server 2003)とグループポリシー
を使用して、ユーザーのパスワードのLMハッシュの保存を無効にするには 、以下の手順に従ってください。

  1. グループ
    ポリシーで、[コンピューターの構成]、[Windows の設定]、[
    セキュリティの設定]、[ローカル ポリシー] の順に展開します。
  2. セキュリティ オプションを選択します。

  3. [ネットワーク セキュリティ:次回のパスワード変更時に LAN Manager ハッシュ値を保存しない] をダブルクリックします。
  4. [有効]を選択し、[OK]をクリックします。


ローカルグループポリシー(Windows XPまたはWindows 2000)を使用して、ローカルコンピュータのSAMデータベースへのユーザーパスワードのLMハッシュの保存を無効にするには
、ローカルで以下の変更を加えます
。以下の手順に従ってください。

  1. [スタート] | [コントロール パネル] に移動します
  2. [管理ツール]をダブルクリックします。
  3. [ローカル セキュリティ ポリシー] をダブルクリックします。
  4. 左側のペインで、[ローカル ポリシー] を展開し、
    [セキュリティ オプション] を選択します。

  5. [ネットワーク セキュリティ:次回のパスワード変更時に LAN Manager ハッシュ値を保存しない] をダブルクリックします。
  6. [有効]を選択し、[OK]をクリックします。


これらの変更は、ユーザーがパスワードを変更し、Windows が新しいハッシュを作成するまで有効にならないことに注意してください
。このタイミングでドメイン全体、特に昇格された 権限
を持つすべてのユーザーのパスワードを強制的に変更することをお勧めします。

最後に


Microsoft は、従来の Windows 95/98 クライアントとの互換性を確保するためにこのセキュリティ上の責任を広めましたが
、そろそろこのデフォルトの脆弱性をネットワークから取り除く時期です

注意:レジストリの編集は
危険を伴う可能性があるため、開始する前に検証済みのバックアップがあることを確認してください

マイク・マリンズは、米国シークレット・サービスでデータベース管理者およびネットワーク管理者補佐を務めた経験があります。また、国防情報システム局ではネットワークセキュリティ管理者を務めています。

記事をシェア
ゲスト寄稿者の画像

ゲスト寄稿者

Tagged:

Related News