Hebikuzure's Tech Memo

2010年12月17日

windows ログオン パスワードの LM ハッシュの保存についてのメモ

Filed under: Windows Info — hebikuzure @ 12:03 AM

MSKB 299656
Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
http://support.microsoft.com/kb/299656/ja
MSKB 946405
Windows Server 2008 ベースのドメイン コントローラーを Windows Server 2008 より前の既存のドメインに追加すると、クライアント コンピューターが正常に動作しないことがある
http://support.microsoft.com/kb/946405/ja

先日の「まっちゃ445勉強会」とその関連の Twitter TL でちょっと話題になった、Windows のログオン パスワードの LM ハッシュの保存に関してちょっとメモ。
まず上記の KB 299656 の内容をまとめると
  • Windows XP / Windows Server 2003 以前の Windows では、15 文字より少ない文字数のパスワードでは LAN Manager ハッシュ (LM ハッシュ) が保存される
  • LM ハッシュは下位互換性のために機能している LAN Manager (LM) 認証で利用される
  • 下位互換性が必要ない場合、LM ハッシュが保存できないように構成できる
    • 構成方法1 : グループ ポリシーで「ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない」 (NoLMHash ポリシー) を有効にする
    • 構成方法2 : レジストリに NoLMHash キー (Windows 2000) または NoLMHash 値 (XP / 2003) を作成する
    • 構成方法3 : 15 文字以上の長さのパスワードを使用する

さてこの技術情報 299656 は Windows XP / 2003 用で、それ以降の Windows での動作については書かれていない。技術情報 946405 を見ると Windows Server 2008 では既定で NoLMHash ポリシーが有効になっていると書かれている。それではクライアント Windows (Vista / 7) ではどうなっているのか実際に確認してみた。

以下、手元にある環境で確認した結果である。

  • Windows Server 2003 R2 : NoLMHash ポリシーが有効
  • Windows Server 2008 : NoLMHash ポリシーが有効
  • Windows Server 2008 R2 : NoLMHash ポリシーが有効
  • Windows Vista : NoLMHash ポリシーが有効
  • Windows 7 : NoLMHash ポリシーが有効

予想通りというか当たり前というか、どの Windows でも NoLMHash ポリシーが有効になっていて、LM ハッシュは保存されない動作が既定になっていた。
という事で、現在新規入手可能な Windows を使っている限りは脆弱な LM ハッシュの問題で心配する必要は無さそうだ。もっともまだ Windows XP を使っている人は技術情報 299656 を参照して LM ハッシュを無効にした方が良いですね。

1件のコメント »

  1. win7のLMハッシュについたページがなかったので助かりました。ありがとうございます。
    これで一安心です。
    メールアドレスはダミーです。ごめんなさい。(これ以上迷惑メールが来るのは困るもので。)

    コメント by ASA — 2012年5月16日 @ 11:41 PM


RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。