DieKonfiguration des lokalen LM-Hash-Speichers spielt in Windows-basierten Systemen eine entscheidende Rolle. Für IT-Expert:innen kann die Konfiguration dieses Speichers die Systemsicherheit erheblich beeinflussen. Das bereitgestellte PowerShell-Skript vereinfacht das Ein- und Ausschalten dieser Funktion auf elegante Weise. Wir wollen dessen Bedeutung und seine Funktionsweise näher beleuchten.
Hintergrund
Der LM-Hash oder LAN-Manager-Hash ist schon seit einiger Zeit im Umlauf und für die Sicherheitslücken bekannt. Im Laufe der Zeit haben viele Sicherheitsexperten empfohlen, LM-Hashes zu deaktivieren, um die Systemsicherheit zu erhöhen. Manuelle Konfigurationen können jedoch mühsam sein, weshalb Tools und Skripte, wie die hier vorgestellten, für IT-Expert:innen und Managed Service Provider (MSPs) von unschätzbarem Wert sind.
Das Skript
#Requires -Version 5.1
<#
.SYNOPSIS
Disable or Enable Local LM Hash Storage
.DESCRIPTION
Disable or Enable Local LM Hash Storage
.EXAMPLE
-Enable
Enable Local LM Hash Storage
.EXAMPLE
-Disable
Disable Local LM Hash Storage
.EXAMPLE
PS C:> Disable-LMHash.ps1 -Disable
Disable Local LM Hash Storage
.OUTPUTS
None
.NOTES
Minimum OS Architecture Supported: Windows 10, Windows Server 2016
Release Notes:
Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
ProtocolSecurity
#>
[CmdletBinding(DefaultParameterSetName = "Disable")]
param (
[Parameter(Mandatory, ParameterSetName = "Disable")]
[switch]
$Disable,
[Parameter(Mandatory, ParameterSetName = "Enable")]
[switch]
$Enable
)
begin {
function Test-IsElevated {
$id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
$p = New-Object System.Security.Principal.WindowsPrincipal($id)
if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
{ Write-Output $true }
else
{ Write-Output $false }
}
function Set-ItemProp {
param (
$Path,
$Name,
$Value,
[ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
$PropertyType = "DWord"
)
New-Item -Path $Path -Force -ErrorAction SilentlyContinue | Out-Null
if ((Get-ItemProperty -Path $Path -Name $Name -ErrorAction SilentlyContinue)) {
Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false | Out-Null
}
else {
New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false | Out-Null
}
}
}
process {
if (-not (Test-IsElevated)) {
Write-Error -Message "Access Denied. Please run with Administrator privileges."
exit 1
}
$Path = "HKLM:SYSTEMCurrentControlSetControlLsa"
$Name = "NoLMHash"
$Value = if ($Enable) { 1 }elseif ($Disable) { 0 }else { throw "No Param used." }
# Sets NoLMHash to 1
try {
Set-ItemProp -Path $Path -Name $Name -Value $Value
}
catch {
Write-Error $_
exit 1
}
Write-Host "Set $Path$Name to $Value"
}
end {}
Zugriff auf über 300 Skripte im NinjaOne Dojo
Detailansicht
Das Skript beginnt mit dem Festlegen der Anforderungen für PowerShell Version 5.1. Hier ist eine schrittweise Aufschlüsselung seiner Funktion:
- Cmdlet-Bindung: Das Skript verwendet CmdletBinding, wodurch es Parameter akzeptieren kann, insbesondere -Enable oder -Disable.
- Test-IsElevated-Funktion: Diese Funktion prüft, ob das Skript mit erweiterten Rechten (als Administrator) ausgeführt wird. Wenn nicht, gibt das Skript einen Fehler zurück.
- Set-ItemProp Funktion: Diese Funktion dient dazu, einen bestimmten Registrierungsschlüssel mit einem bestimmten Wert zu versehen und ihn zu erstellen, wenn er nicht existiert.
- Prozess-Block: Darin liegt die Hauptlogik.
- Prüft auf Administratorrechte.
- Legt den Registrierungspfad und -namen fest.
- Je nach verwendetem Parameter(Aktivieren oder Deaktivieren) weist es einen Wert zu.
- Anschließend wird dieser Wert in der Registrierung festgelegt.
- Endblock: Das Skript wird abgeschlossen.
Potenzielle Anwendungsfälle
Stellen Sie sich einen MSP vor, der die Sicherheit für mehrere Kunden überwacht. Eines der neuen Onboarding-Verfahren besteht darin, sicherzustellen, dass LM Hash Storage auf allen Servern deaktiviert ist. Anstatt die Einstellungen jedes einzelnen Servers manuell zu aktualisieren, könnte der MSP dieses Skript bereitstellen und so die Änderungen effizient vornehmen und die Konsistenz sicherstellen.
Vergleiche
Manuelles Navigieren durch die Registrierung oder die Verwendung von Gruppenrichtlinien sind weitere Methoden, um dieses Ergebnis zu erreichen. Die Verwendung von PowerShell ist jedoch effizienter, insbesondere dann, wenn Änderungen an zahlreichen Systemen vorgenommen werden müssen. Außerdem sind Skripte im Vergleich zu manuellen Methoden weniger anfällig für menschliche Fehler.
FAQs
- Was bedeutet „NoLMHash“?
NoLMHash“ ist ein Registrierungsschlüssel, der festlegt, ob LM-Hashes gespeichert werden. Ein Wert von „0“ bedeutet, dass sie aktiviert ist, während „1“ bedeutet, dass sie deaktiviert ist. - Kann dieses Skript auf jedem Windows-System ausgeführt werden?
Das Skript hat eine festgelegte Mindestanforderung: Windows 10 oder Windows Server 2016 und und älter.
Auswirkungen
Die Konfiguration von LM Hash Storage ist nicht nur eine Frage der betrieblichen Effizienz, sondern auch ein wichtiger Sicherheitsaspekt. LM-Hashes sind notorisch unsicher. Eine Methode zur schnellen und zuverlässigen Deaktivierung dieser Hashes kann Schwachstellen drastisch reduzieren.
Empfehlungen
- Erstellen Sie immer eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen.
- Regelmäßige Überprüfung und Kontrolle der Systemkonfigurationen, um die Einhaltung bewährter Sicherheitsverfahren zu gewährleisten.
- Führen Sie nur Skripte aus vertrauenswürdigen Quellen aus.
Abschließende Überlegungen
Für IT-Experten, die ihre Aufgaben vereinfachen und gleichzeitig ein hohes Maß an Sicherheit aufrechterhalten möchten, ist der Einsatz leistungsstarker Tools von entscheidender Bedeutung. Dieses Skript ist ein Beweis für diese Fähigkeit. Darüber hinaus können Plattformen wie NinjaOne den Prozess durch Zentralisierung und Automatisierung von Aufgaben im Zusammenhang mit der Systemkonfiguration und -sicherheit verbessern. Da sich die digitale Landschaft weiterentwickelt, ist die Verfügbarkeit zuverlässiger Tools und Plattformen der Schlüssel zur Aufrechterhaltung einer soliden Sicherheitslage.
