ОС Windows поддерживают несколько методов аутентификации, в число которых входят службы LAN Manager (LM), NT LAN Manager (NTLM) и NTLM версии 2 (NTLMv2). Служба LM хранит пароли в хэшированном формате, который легко взломать. Со временем компания Microsoft исправила этот недостаток, добавив возможность отключить хранение хэш-данных LM.
Для отключения хэш-данных LM в Windows сделайте следующее.
1. Откройте редактор системного реестра (REGEDIT.EXE) на контроллере домена.
2. Перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
3. В меню Правка (Edit) выберите команду Создать > Раздел (New > Key).
4. Введите имя раздела NoLMHash и присвойте записи значение 1. Нажмите клавишу <Enter>.
5. Завершите работу с редактором.
6. Перезагрузите компьютер.
Изменение не вступит в силу, пока каждый пользователь не сменит свой пароль.
В Windows для отключения хэш-данных LM можно использовать и групповую политику. Необходимый параметр политики доступен в разделе Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options). Для изменения параметров этой политики, найдите политику Network Security, которая называется “Do not store LAN Manager hash value on next password change”.
