C'è un buon articolo Microsoft KB su questo argomento esatto.
Fondamentalmente, LM è usato per la compatibilità con i client più vecchi. In particolare, Windows 98 e versioni successive. Se sulla rete non ci sono client precedenti, la causa di entrambi gli hash è probabilmente dovuta alla lunghezza della password di < 15 caratteri.
When you set or change the password for a user account to a password
that contains fewer than 15 characters, Windows generates both a LAN
Manager hash (LM hash) and a Windows NT hash (NT hash) of the
password.
Sembra che la ragione di ciò sia dovuta alle limitazioni di hashing di LM e non alla sicurezza.
In the event that the user's password is longer than 15 characters,
the host or domain controller will not store the LM hash for the user;
the LM response cannot be used to authenticate the user in this case.
A response is still generated and placed in the LM Response field,
using a 16-byte null value (0x00000000000000000000000000000000) as the
LM hash in the calculation. This value is ignored by the target.
Si consiglia di disabilitare gli hash LM poiché il protocollo è gravemente danneggiato come suggerito. Per coloro che potrebbero non essere a conoscenza, alcuni dei problemi con LM includono:
- Le password non fanno distinzione tra maiuscole e minuscole.
- Le password sono suddivise in 7 caratteri e sottoposte a hashing separatamente, rendendo la forza bruta triviale.
- Le password sono limitate a un massimo di 14 caratteri di lunghezza.
Ci sono un paio di metodi per rimuovere gli hash LM elencati nell'articolo della Knowledge Base che ho citato, citerò il metodo GPO nel caso in cui il collegamento vada a male.
Metodo 1: Implementa il criterio NoLMHash utilizzando Criteri di gruppo
Per disabilitare la memorizzazione degli hash LM delle password di un utente nel database SAM del computer locale utilizzando Criteri di gruppo locali (Windows XP o Windows Server 2003) o in un ambiente Active Directory di Windows Server 2003 utilizzando Criteri di gruppo in Active Directory ( Windows Server 2003), attenersi alla seguente procedura:
- In Criteri di gruppo, espandere Configurazione computer, espandere Impostazioni di Windows, espandere Impostazioni di sicurezza, espandere Criteri locali, quindi fare clic su Opzioni di sicurezza.
- Nell'elenco delle politiche disponibili, fare doppio clic su Sicurezza di rete: non memorizzare il valore hash di LAN Manager alla successiva modifica della password.
- Fai clic su Abilitato, quindi su OK.