Das Benutzerkennwort wird anstatt im Klartext in Form von zwei verschiedenen Kennwort-Repräsentanzen (auch "Hash" genannt) erzeugt und gespeichert. Wenn ein Kennwort mit weniger als 15 Zeichen verwendet wird, dann erzeugt Windows sowohl einen LAN Manager-Hashwert (LM Hash) als auch einen Windows NT Hashwert (NT Hash). Diese Hashwerte werden in der lokalen Benutzerdatenbank oder im Active Directory gespeichert. Die LM-Hashwerte gelten als unsicher und so können Kennwörter einfach und schnell entschlüsselt werden. Um die Sicherheit zu erhöhen, sollte die Kennwortspeicherung nur noch mit dem NT-Hash erfolgen.

So geht's:

• Starten Sie ...\windows\regedit.exe bzw. ...\winnt\regedt32.exe.
• Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  System
  CurrentControlSet
  Control
  LSA
• Doppelklicken Sie auf den Schlüssel "NoLmHash".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "NoLmHash" ein.
• Ändern Sie den Wert ggf. von "0" auf "1".
• Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

• NoLmHash:
  0 = LM-Hashwerte werden bei Kennwörtern die aus weniger als 15 Zeichen bestehen gespeichert. Standard unter Windows 2000/XP und 2003.
  1 = Windows speichert keine LM-Hashwerte mehr, auch dann nicht, wenn das Kennwort weniger als 15 Zeichen lang ist. Standard ab Windows Vista.
• Diese Einstellung kann sich auf die Kommunikationsfähigkeit von Computern mit Windows 2000, XP, 2003 sowie Windows 9.x auswirken.
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Windows 2000 Hinweis:

• Dieses Funktion steht erst ab Service Pack 2 (SP2) bereit.

Weitere Informationen (Quelle):

• http://support.microsoft.com/?kbid=299656