Включение хранилища хеш-значений LAN Manager при следующей смене пароля

Question

Я об этом говорю

Можно ли как-то установить для этого параметра значение "Отключено" из реестра или с помощью какой-либо команды? Я знаю , что это небезопасно, но когда совместимость (с DOS) на карте , я не забочусь. Результатом моего исследования стал метод 2 из этой статьи поддержки , однако он говорит об обратном тому, чего я хочу достичь, и способ "инвертировать" добавление ключа реестра для меня неочевиден . Если бы речь шла о настройке (недавно созданного) значения NoLMHash например, на 1 , я бы предположил, установив его на 0 . Но в этом случае я озадачен

PS Бонусный вопрос: как вы думаете, сброс пароля с net user login pass вызовет хеш-память?

Answer 1

Да, если вы установите это значение равным нулю в Реестре, хранилище LM-хеша будет включено. Фактически, изменение этого параметра безопасности через пользовательский интерфейс изменяет значение реестра на серверной части. Для удобства будущих читателей, вот ключ, где вы должны установить NoLMHash в 0 если вы хотите это поведение:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Принудительный сброс пароля должен иметь такое же поведение, что и обычные изменения пароля в отношении хеш-хранилища, поскольку LSA должен обновлять базу данных диспетчера учетных записей безопасности в любом случае.

Обратите внимание, что изменение реестра может потребовать перезагрузки перед вступлением в силу. Кроме того, если пароль слишком длинный (> 14 символов) для хэширования LM, хеш-код LM для него не будет сохранен вне зависимости от того, что говорит ваш реестр.