No LM Hash Policy

Windows ortamlarındaki şifreleriniz okunabilir text halinde saklanması yerine "hash" olarak bilinen iki farklı biçimde saklanmaktadır. Bir kullanıcı parolasını 15 karakterden daha az olacak şekilde yeni bir şifre olarak değiştirdiği veya bu şekilde bir şifre atadığı zaman windows bu şifreyi LAN Manager hash (LM hash) ve Windows NT hash (NT hash) olarak saklamaktadır. LM hash kolay atak yapılabilen basit bir şifreleme metodu olduğu için Microsoft istemcilerin bu değeri kendi bilgisayarlarında tutmalarını önermemektedir. Bu nedenle windows vista ile beraber bu özellik varsayılan olarak kapalı gelmektedir. Bu sayede local da şifrelerinizin bir kopyası ( hash halinde ) tutulmayacaktır. bunun sakıncası ise bir takım Microsoft olmayan CIFS protokolünü kullanan sistemler içindir. Bunların dışında hash saklama özelliğini engellemek güvenlik noktasında önemli bir özelliktir. Bu özelliği GPO üzerinden açak için aşağıdaki yolu takip edebilirsiniz

 

Control Panel - Administrative Tools - Local Security Policy içerisinde Security Settings - Local Policy - Security Options altındaki "Network Security: Do not save the value of hash of LAN in the next password change" bölümünü enable yapmamız yeterlidir.

 

Veya istemcilerde kayıt defteri girdisi olarak ta ekleyebiliriz

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Bölümünde ismi “NoLMHash” olan yeni bir DWORD değeri ekleyelim ve değerini 1 yapalım. Ardından bilgisayarımızı yeniden başlatmamız gerekmektedir.

 


Veya şifrelerinizi 15 karakterden uzun tutarak LMHash değeri oluşturulmasını otomatik olarak engelleyebilirsiniz.