ドメインコントローラのNoLMHash設定値について

Windows Server 2008で、新規にドメインコントローラを構築した事が無いのでこちらは未確認ですが、ドメインコントローラをWindows Server 2008にアップグレードした際には、NoLMHashの値は下位互換性を保つために、以前の設定を引き継いで適用されているようです。

ただし、以下のようなKBがある事から、おそらくWindows Server 2008で新規にドメインコントローラを構築した際には、NoLMHashの値は有効になっているのだと思われます。

Windows Server 2008 ベースのドメイン コントローラを Windows Server 2008 より前の既存のドメインに追加すると、クライアント コンピュータが正常に動作しないことがある

ドメインコントローラにNoLMHashを設定する場合には、全てのドメインコントローラに対して同じNoLMHash値を設定する必要があります。

Windows Server 2008のNoLMHashを確認する場合には、以下のレジストリ値を確認します。
※Windows Server 2003の場合も、たしか確認する場所は同じだったと思います。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

この値の”NoLmHash”の値が”1″になっていればLMハッシュを記録する事はありません。逆に”0″になっている場合は、LMハッシュを記録します。

また、以下の文字列をテキストファイルに保存し、拡張子を”reg”に変更してから実行する事で、LMハッシュを無効にする事も出来ます。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"NoLmHash"=dword:00000001

当たり前と言えば当たり前なのですが、スマートカード等を利用して、電子鍵認証を有効にしてあるドメインアカウントに関しては、LMハッシュを有効にしてある状態でも、自分の環境ではパスワードを取得する事は出来ませんでした。

LMハッシュを無効にすると不具合が発生する可能性のある環境・動作確認が取れない環境においては、administratorアカウントのパスワードは常用しない前提で物凄く長い複雑なパスワードを設定しておいて、その他の常用管理者アカウントに関してはスマートカードログオンのみ許可する、というのも有効なのでは無いかと思います。

パスワードポリシーで何らかの強制を行うにしろ、Windows Server 2008以前のサーバOSには複数のパスワードポリシーを設定する事が難しいです。全ての利用ユーザに対して大小英数記号を駆使した30桁以上のパスワードを強制。なんて事もやはり現実的ではありませんからね。

そう考えると、細かくパスワードポリシーを設定する事の出来る、Windows Server 2008にアップグレードさせる事のメリットについても、視野に入れる必要が出てくるかもしれません。

ともあれ、ドメインコントローラの管理者権限を奪われるという事は、同時に、配下にある全てのコンピュータ管理者権限を奪われる事と同じ事ですので、運用はやはり慎重にならなければなりません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です