よりセキュリティを高めるための設定: LM ハッシュを無効にする

Last modified: Sat May 10 21:11:55 2008 +0900 (JST)


Windows 2000 / XP / Server 2003 でログオンパスワードを使用している場合、「LM ハッシュ」と「NTLM ハッシュ」という、別々の 2 つの方法によって暗号化されます。このうち「LM ハッシュ」については簡単に解読できてしまうことが知られており、そのためのツールも広く公開されています。

Windows 2000 / XP / Server 2003 では、「LM ハッシュ」が保存されないように設定することを強く推奨します。 保存されないようにするには、2 つの方法があります。

レジストリ設定用の .reg ファイルを用意しました。レジストリファイルを適用後に再起動し、パスワードを更新してください。

以下では、Windows XP Professional 上でグループポリシー (ローカルポリシー) を使って設定する場合の例を説明します。

  1. 管理者権限のあるアカウントで Windows にログオンします。

  2. コントロールパネルの [管理ツール] の中にある [ローカルセキュリティポリシー] を開きます。

    「ローカル セキュリティ設定」ウィンドウが開きます。

  3. 「ローカル セキュリティ設定」ウィンドウにおいて、 [セキュリティの設定] - [ローカル ポリシー] - [セキュリティオプション] の [ネットワークセキュリティ: 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない] をダブルクリックします。 この値は、初期状態では「無効」になっています。

    「ネットワークセキュリティ: 次のパスワードの変更で……」 ウィンドウが表示されます。

  4. 「ネットワークセキュリティ: 次のパスワードの変更で……」 ウィンドウにおいて、[有効] をチェックしてから [適用] をクリックし、最後に [OK] をクリックします。

    「ネットワークセキュリティ: 次のパスワードの変更で……」 ウィンドウが閉じられます。

  5. 「ローカル セキュリティ設定」ウィンドウにおいて、 [ネットワークセキュリティ: 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない] の値が「有効」になっていることを確認してください。

  6. あとは、各アカウントのパスワードをつけ直せばよいです。 今使っているパスワードを使いつづけたい場合は、一旦別のパスワードに変更した後、もう一度元のパスワードに変更します。

Active Directory を利用したドメイン環境を構築している場合は、Active Directory のグループポリシーを使って同様の設定を行い、その後パスワードをつけ直します。

なお、Windows Vista では上記のレジストリが標準で設定されているようです。


RINS WWW Administrator <www-admin@www.st.ryukoku.ac.jp>