Отмена хранения паролей и учетных данных: изменения через реестр

Многие пользователи компьютеров и серверов Microsoft, использующих локальные базы данных учетных записей, хранят учетные данные с использованием хеширования паролей. Параметр nolmhash в реестре разрешает или запрещает хранение паролей в базе данных SAM с использованием хеширования LM. По умолчанию этот параметр не включен, но если его включить, то пароли подвергаются хешированию. В данном случае, пароли пользователей компьютеров или серверов хранятся в базе данных SAM и копии баз данных натолько с хешированными паролями, и Microsoft сохраняет хеш-значение паролей, а не сами пароли.

Если вам нужно отключить сохранение пароля, вы можете использовать следующий метод: найдите на компьютере SAM и системные файлы. Если вы не знаете, где находится файл SAM, вы можете найти его следующим образом: дважды щелкните значок «Мой компьютер» на рабочем столе Windows, откройте меню «Показать содержимое» и выберите диск «System» или «Windows» и папку «system32».

После этого выполните следующие действия: откройте реестр, найдите следующие данные реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\Parameters и HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa. В этих ключах реестра найдите значения EnablePlainTextPassword. Если значение равно 1, то пароли сохраняются без шифрования; если значение равно 0, то пароли сохраняются с шифрованием.

Описание данной реализации дополнительных групповых политик описано в помощи: сведения о параметрах подключения локальной политики. Для этого сначала найдите и выберите раздел «Параметры сервера учетных записей» на странице «Параметры безопасности» через команду «Панель управления» на сервере. Затем выберите меню «Дополнительные параметры» и параметр «Отключить сохранение паролей в базе данных». После того, как параметр включен, пользователи могут просматривать свои учетные данные без потери безопасности системы.

Метод 2 Реализация политики NoLMHash путем редактирования реестра

В целях повышения безопасности и защиты учетных данных пользователей можно отключить хранение LM-хешей. Это можно сделать с помощью политик безопасности Windows, однако для определенных компьютеров или серверов может потребоваться использовать альтернативный метод. В таком случае можно использовать редактирование реестра.

Шаг 1: Найдите редактор реестра

Для изменения реестра можно использовать редактор реестра Windows. Чтобы открыть редактор реестра, выполните следующие действия:

1. Нажмите кнопку «Пуск» в нижнем левом углу экрана Windows.
2. Введите «regedit» в поле поиска и нажмите клавишу Enter.
3. Щелкните правой кнопкой мыши на значок редактора реестра и выберите «Запустить от имени администратора».

Шаг 2: Изменение политик безопасности

После открытия редактора реестра следуйте указанным ниже инструкциям:

1. Перейдите к следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
2. Создайте новое значение DWORD с именем «NoLMHash» (без кавычек).
3. Установите значение «NoLMHash» в «1» для отключения хранения LM-хешей и сохранения только NT-хешей.
4. Перезагрузите компьютер для применения изменений.

После выполнения этих шагов пароли пользователей больше не будут сохранены в виде LM-хешей. Это значительно повысит защиту учетных данных и уменьшит возможности их злоупотребления при попытке взлома или несанкционированного доступа к системе компьютера или сервера.

Важно отметить, что данная процедура требует достаточно высокого уровня навыков работы с реестром Windows, поэтому перед внесением изменений рекомендуется создать резервную копию реестра. Также необходимо правильно применять данные изменения в соответствии с политикой безопасности и требованиями вашей организации.

Не сохраняются пароли для RDP подключений

Внимание! В данном разделе представлено описание изменения параметров настройки политики подлинности Windows, которая отключает сохранение паролей для RDP подключений.

Если вы используете удаленный рабочий стол (RDP) для подключения к другим компьютерам в домене или на локальных сетях, то, возможно, столкнулись с проблемой, что пароли не сохраняются и при каждой попытке подключения RDP требуется повторно вводить учетные данные.

Это происходит из-за того, что по умолчанию операционная система Microsoft Windows хранит учетные данные для подключений RDP в базах реестра, таких как Credentials или Active Desktop.

Если вы хотите запретить сохранение паролей для RDP подключений, выполните следующие шаги:

Шаг	Описание
1	Откройте редактор реестра, нажав на кнопку «Пуск», введите «regedit» в строке поиска и выберите «regedit.exe».
2	Находясь в редакторе реестра, найдите следующий параметр: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
3	Если параметр «Terminal Services» отсутствует, создайте его, щелкнув правой кнопкой мыши на «Windows NT», выберите «New» -> «Key» и назовите его «Terminal Services».
4	Внутри параметра «Terminal Services» создайте новый параметр типа «DWORD» с именем «DisablePasswordSaving» и установите его значение равным «1».
5	Перезагрузите компьютер для внесения изменений в действие.

После выполнения указанных выше шагов пароли для RDP подключений не будут сохраняться. При каждой попытке подключения потребуется вводить учетные данные.

Аннотация

Настройки хранения паролей и учетных данных в Windows можно изменить с помощью редактора реестра. При этом, пароли хранятся в хеш-формате, что делает их более безопасными от несанкционированного доступа. В данном разделе мы рассмотрим реализацию изменения паролей и учетных данных через редактор реестра и проблемы, которые возникают при использовании этого метода.

Для изменения паролей и учетных данных в Windows, следует выполнить следующие шаги:

1. Откройте меню «Пуск» и выберите «Выполнить».
2. Введите «regedit» и нажмите «ОК», чтобы открыть редактор реестра.
3. Перейдите в раздел «HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets», где хранятся пароли и учетные данные.
4. Дважды кликните на нужный пароль или учетные данные, чтобы открыть их для редактирования.
5. Измените пароль или учетные данные в соответствии с нужными настройками.
6. Сохраните изменения, закрывая редактор реестра.

Однако, реализация данного метода имеет ряд проблем. Хранение паролей и учетных данных в хеш-формате усложняет проверку подлинности и делает невозможным их использование в других системах, таких как Kerberos или Active Directory. Также, изменение пароля через редактор реестра может привести к проблемам с подключениями к локальным и удаленным компьютерам.

Для решения данных проблем можно использовать более надежные способы хранения паролей, например, в базах данных, используя политику безопасности Microsoft Windows. Также, доступ к учетным данным можно запретить с помощью команды «Disable-CredentialGuard» в PowerShell.

В итоге, проведение изменений паролей и учетных данных через редактор реестра может быть полезным при необходимости быстрого обновления данных на компьютере, однако, следует учитывать описание вышеуказанных проблем при использовании данного метода.

Как запретить Windows хранить в базах данных Active Directory и локальных базах данных SAM hash-менеджера LAN-администратора

Если вы хотите запретить операционной системе Windows хранить пароли в базах данных Active Directory и локальных базах данных SAM hash-менеджера LAN-администратора, вы можете внести соответствующие изменения через реестр. В этом разделе мы рассмотрим простой способ выполнить эту задачу.

Шаг 1: Открытие редактора реестра

1. Нажмите кнопку «Пуск», введите «regedit» и нажмите клавишу Enter.

2. Редактор реестра откроется, и вы увидите его структуру в левой панели.

Шаг 2: Настройка параметра реестра для запрета сохранения паролей

1. Найдите следующий путь в структуре реестра:

Путь
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

2. Щелкните правой кнопкой мыши по параметру «NoLMHash» (если его нет, создайте новую «DWORD-запись» с именем «NoLMHash») и выберите «Изменить».

3. В окне изменения значения параметра введите «1» и нажмите кнопку «ОК».

Шаг 3: Использование групповой политики для отключения сохранения паролей в LAN Manager Hash

1. Выполните команду «gpedit.msc» с помощью командной строки «cmd.exe».

2. В окне групповой политики перейдите к следующему пути:

Путь
Компьютерная конфигурация -> Параметры Windows -> Настройки безопасности -> Сервер с настройками безопасности -> Локальная политика безопасности -> Параметры безопасности -> Запретить сохранение паролей LAN Manager Hash

3. Щелкните правой кнопкой мыши параметр «Запретить сохранение паролей LAN Manager Hash» и выберите «Свойства».

4. Установите флажок «Включить» и нажмите кнопку «ОК».

После выполнения этих шагов Windows будет запрещать хранение паролей в базах данных Active Directory и локальных базах данных SAM hash-менеджера LAN-администратора. Это обеспечит повышенную безопасность для компьютеров и клиентов, использующих систему Windows.

Метод 3: Используйте пароль длиной не менее 15 символов

Когда пароли сохраняются в Windows Active Directory или локальном пользователе компьютера, они хешируются с помощью NT-хеша. Этот хеш, сохраняется в базе данных, и пароли не сохраняются в открытом виде.

Однако, если участник пытается изменить пароль, то данный пароль сохраняют на компьютере или сервере в базе данных и в виде хеша и открытого текста, для использования в следующих соединениях к данному компьютеру или серверу.

Для запрета этого поведения и сохранения паролей в базах данных, вы можете изменить политику групповой политики на компьютере с помощью редактора локальной групповой политики.

Чтобы запретить хранение паролей при подключении RDP, следуйте следующим инструкциям:

1. Откройте меню «Пуск» или «Start» и найдите «Run» (или нажмите клавишу Win+R)
2. Введите «gpedit.msc» и нажмите кнопку «OK»
3. В окне «Групповая политика» найдите и откройте следующий путь: Компьютерная конфигурация -> Административные шаблоны -> Сеть -> MSTSC
4. В правой части окна найдите и дважды щелкните на политике «Запретить сохранение паролей подключений»
5. В открывшемся окне выберите параметр «включен» и нажмите кнопку «ОК»

Теперь пароли для подключений RDP не будут сохраняться на компьютере, и пользователь должен будет вводить пароль каждый раз при подключении. Это усиливает безопасность учетных данных и предотвращает несанкционированный доступ к компьютеру.

Помимо этого, для повышения безопасности паролей, рекомендуется использовать пароли длиной не менее 15 символов. Более длинные пароли сложнее подобрать методами перебора, что делает их более безопасными.

Следуйте этим настройкам и сохраняйте ваши учетные данные в полной безопасности!

Метод 1 Реализация политики NoLMHash с помощью групповой политики

Шаг 1: Проверка параметров компьютера

Для выполнения данного метода вам понадобятся дополнительные параметры компьютера или серверу, на котором вы выполняете редактирование политик. Убедитесь, что вы имеете права локального или доменного администратора.

Шаг 2: Редактирование групповой политики

1. На компьютере, на котором вы хотите изменить политику, выполните следующие действия:

1. Нажмите на клавишу Windows + R, чтобы открыть окно «Выполнить».
2. Введите «gpedit.msc» в поле «Открыть» и нажмите «OK», чтобы открыть редактор групповой политики.

2. В редакторе групповой политики перейдите к следующему пути:

Конфигурация компьютера -> Настройки Windows -> Политики безопасности -> Параметры учетных данных

Шаг 3: Запретить хранение паролей в формате NTLMv1

1. Найдите политику «Запретить хранение паролей NTLM sampassword» и откройте ее для редактирования.

2. Включите эту политику, выбрав радиокнопку «Включено».

3. Щелкните правой кнопкой мыши на политике «Разрешить хранение паролей NTLM lmcompatibilitylevel» и выберите «Изменить».

4. В открывшемся окне измените значение на «0» и нажмите «OK». Значение «0» запрещает хранение паролей NTLMv1.

Шаг 4: Проверка и сохранение настроек

1. После завершения всех настроек политики нажмите кнопку «OK», чтобы сохранить изменения.

2. Проверьте, что политика «Запретить хранение паролей NTLM sampassword» отображается как «Включено».

3. Закройте редактор групповой политики.

В результате реализация политики NoLMHash с помощью групповой политики успешно запретит хранение паролей в формате NTLMv1 на локальных базах данных таких как SAM и Directory Service. Это улучшит безопасность подлинности пользователей и учетных данных на компьютере или сервере.

Что делать если в Windows не сохраняется пароль для RDP подключения

Если в Windows не сохраняется пароль для RDP (Remote Desktop Protocol) подключения, есть несколько возможных причин и способов решения проблемы.

1. Проверьте настройки политик безопасности

Для хранения паролей RDP подключений Windows использует механизм хеширования паролей, таких как NT-хеш или NLMv2. Однако при некоторых настройках политик безопасности это может быть запрещено.

• На компьютере откройте «Меню Пуск» и введите «gpedit.msc» для открытия Редактора локальных групповых политик.
• В Редакторе локальных групповых политик перейдите к «Компьютерная конфигурация» > «Конфигурация Windows» > «Настройки безопасности» > «Локальные политики» > «Политика безопасности».
• В разделе «Компьютерусерверу» найдите и откройте параметр «LAN-администратора» и проверьте его значение. Если он включен, это может запрещать сохранение паролей RDP подключений.

2. Измените параметры реестра

В Windows также можно изменить параметры реестра для разрешения сохранения паролей RDP подключений.

1. Откройте «Запуск» и введите «regedit» для открытия Редактора реестра.
2. В Редакторе реестра перейдите к следующему пути: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\(ControlSet001)\ Control\ Lsa\.
3. Щелкните правой кнопкой мыши по свободной области справа и выберите «Создать» > «DWORD-значение» и введите DisableDomainCreds.
4. Щелкните дважды по созданному значению и введите «1» в поле «Данные значения».
5. Повторите шаги 3 и 4 для создания значения DisableDomainCreds.
6. Перезагрузите компьютер для применения изменений.

Обратите внимание, что изменение параметров реестра может потребовать прав администратора.

3. Используйте альтернативный метод хранения пароля

Если вы не можете решить проблему с сохранением пароля RDP подключения с помощью вышеперечисленных методов, можно воспользоваться альтернативными методами хранения паролей.

• Включите использование Kerberos вместо NTLM-хешей. Это можно сделать в настройках подключения через RDP.
• Используйте сторонний hash-менеджер, который позволяет хранить пароли для RDP подключений.
• Создайте копии файлов hash-менеджера в локальных настройках, чтобы сохранить пароли на компьютере.

Помимо этого, важно также обновлять компьютер и устанавливать все дополнительные обновления, которые выпускает Microsoft. Это может помочь в реализации более безопасных методов хранения паролей и решить проблемы с сохранением паролей для RDP подключений.

Дополнительные сведения

Для изменения параметров сохранения хэшей паролей и отмены хранения учетных данных на компьютере или сервере Windows можно использовать редактор реестра.

Выполните следующие шаги:

1. Введите regedit в поле поиска меню «Пуск» и откройте редактор реестра.
2. Найдите следующий путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
3. В меню «Редактирование» выберите «Создать» и создайте новый параметр с именем NoLMHash.
4. Дважды щелкните на параметре NoLMHash и измените значение на 1.
5. Сохраните изменения и перезапустите компьютер при необходимости.

После выполнения указанных выше шагов пароли пользователей будут сохраняться в виде хэшей без возможности восстановления в локальных базах данных, увеличивая уровень безопасности системы.

Более безопасным методом является включение параметра «Как дополнительные параметры безопасности: использовать только ntlmv2-отклики» в политике подключения RDP (удаленный рабочий стол) в домене.

Для изменения данного параметра выполните следующие действия:

1. В меню «Пуск» найдите и откройте «Групповая политика».
2. Перейдите в следующий путь: «Конфигурация компьютера» -> «Административные шаблоны» -> «Сеть» -> «RDP (Удаленный рабочий стол)» -> «Целевая система».
3. В правой части окна найдите параметр «Кодировка безопасности: Использовать только NTLMv2» и включите его.
4. Сохраните изменения и обновите политику, путем выполнения команды gpupdate /force.

После выполнения указанных действий локальные пользователи и пользователи домена, подключающиеся к компьютерам по протоколу RDP, будут защищены от возможности восстановления хэшей паролей и повысят уровень безопасности системы.

Настройки сохранения пароля для RDP подключения

Для изменения настроек сохранения пароля для RDP подключения в Windows, вам понадобится открывшееся окно управления политикой безопасности. В этом разделе описание, как отключить способ сохранения паролей в файловой системе системы,менеджера паролей SAM и Active Directory. Удостоверьтесь, что вы выполнили начальные настройки безопасности RDP.

1. Найдите и откройте редактор групповых политик, используя следующую команду: gpedit.msc.
2. В редакторе групповых политик найдите следующий путь: Конфигурация компьютера -> Настройка компьютера -> Шаблоны административных шаблонов -> Сеть -> Подключение к удаленному рабочему столу -> Параметры хранения пароля RDP.
3. Выберите параметр «Запретить сохранение пароля», чтобы запретить сохранение пароля для RDP подключения.
4. Щелкните правой кнопкой мыши по параметру, затем выберите «Изменить».
5. В открывшемся окне измените параметр на «Включено», чтобы запретить сохранение пароля для RDP подключения.

Таким образом, вы отключите возможность сохранения пароля в RDP файле с настройками. Это повысит безопасность, так как пароль будет храниться только в том клиенте RDP, через который происходит подключение.

Видео:

Софтлайн, Интер РАО, Ростелеком ап, индекс МосБиржи. Обзор 06.11.2023

Софтлайн, Интер РАО, Ростелеком ап, индекс МосБиржи. Обзор 06.11.2023 door Trading for all 1.103 weergaven 1 dag geleden 6 minuten en 30 seconden