Włączanie przechowywania wartości skrótu LAN Manager przy następnej zmianie hasła

2

Mówię o tym. Czy mogę jakoś ustawić to ustawienie na „Wyłączone” w rejestrze lub za pomocą dowolnego polecenia? I nie wiem, że to niebezpieczne, ale kiedy zgodność (z DOS) jest zagrożona nie dbam. Rezultatem moich badań była Metoda 2 z tego artykułu pomocniczego , jednak mówi ona o czymś przeciwnym od tego, co chcę osiągnąć, a sposób „odwrócenia” dodawania klucza rejestru jest dla mnie nieoczywisty . Gdyby chodziło na przykład o ustawienie (świeżo utworzonej) wartości , domyślam się ustawienie tej wartości . Ale w tym przypadku jestem zaskoczony
Zasady grupy
NoLMHash10

PS Bonusowe pytanie: czy uważasz, że zresetowanie przepustki net user login passspowoduje uruchomienie pamięci hash?

windows-registry group-policy mekkanizer
źródło

Odpowiedzi:

2

Tak, jeśli ustawisz tę wartość na zero w Rejestrze, pamięć mieszania LM zostanie włączona. W rzeczywistości zmiana tego ustawienia zabezpieczeń za pomocą interfejsu użytkownika modyfikuje tę wartość rejestru na zapleczu. Dla wygody przyszłych czytelników, tutaj jest klucz, gdzie należy ustawić NoLMHash, aby 0, jeśli chcesz to zachowanie:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Wymuszone resetowanie hasła powinno mieć takie samo zachowanie jak normalne zmiany hasła w odniesieniu do pamięci mieszającej, ponieważ LSA musi zaktualizować bazę danych Security Accounts Manager w obu przypadkach.

Należy pamiętać, że zmiana rejestru może wymagać ponownego uruchomienia przed wejściem w życie. Ponadto, jeśli hasło jest zbyt długie (> 14 znaków), aby mogło zostać zaszyfrowane przez LM, nie zostanie dla niego zapisany żaden skrót LM, bez względu na to, co mówi rejestr.

Ben N.
źródło
Z twojej odpowiedzi utworzyłem plik .reg, który również zawierał zmianę LmCompatibilityLevelna 1, w tym samym kluczu. Zastosowałem go, potwierdziłem, że wszystko zostało pomyślnie dodane do rejestru, uruchomiłem gpupdate /forcei że net userpolecenia aktualizacji zasad i zmiany hasła, zrestartowane, i zgadnij co :( Zasady są nadal undefined, mimo że regedit mówi mi, że zmiany zostały wprowadzone Czy to może być opóźnienie? Jak mogę się upewnić, że działało dobrze i będzie działać w przyszłości?
mekkanizer
@mekkanizer Czy jesteś w domenie? Jeśli tak, GUI może przeglądać i edytować obiekt zasad (który jest stosowany do rejestru w ramach przetwarzania zasad grupy), a nie sam rejestr. System LSA dba tylko o wartość rejestru.
Ben N
Obecnie nie. Stroję system Windows w Virtualbox, aby przygotować obraz dysku, który zostanie wdrożony w systemach POS, które SĄ w domenie. Te ustawienia mają na celu udostępnienie maszyn DOS w tej domenie. Więc mówisz, że mogę zignorować to, co mówi GUI, gdy mam odpowiednie wartości w rejestrze?
mekkanizer
1
@mekkanizer W domenie można zignorować obiekt interfejsu użytkownika / strategii (o ile nie jest ustawiony odwrotnie). W systemie Windows 10 Pro nieprzyłączonym do domeny aktualizacja dla mnie powoduje zmianę interfejsu użytkownika. Upewnij się, że wpis został utworzony jako ciąg REG_DWORD, a nie ciąg. Czy mógłbyś również dwukrotnie sprawdzić, czy wszystko jest na właściwym miejscu i czy jest poprawnie napisane?
Ben N
1
@mekkanizer Nie mogę teraz przywołać .regskładni, ale po ustaleniu typu wartości rejestru powinieneś zacząć!
Ben N