Effizientes Konfigurieren des lokalen LM-Hash-Speichers mit PowerShell

DieKonfiguration des lokalen LM-Hash-Speichers spielt in Windows-basierten Systemen eine entscheidende Rolle. Für IT-Expert:innen kann die Konfiguration dieses Speichers die Systemsicherheit erheblich beeinflussen. Das bereitgestellte PowerShell-Skript vereinfacht das Ein- und Ausschalten dieser Funktion auf elegante Weise. Wir wollen dessen Bedeutung und seine Funktionsweise näher beleuchten.

Hintergrund

Der LM-Hash oder LAN-Manager-Hash ist schon seit einiger Zeit im Umlauf und für die Sicherheitslücken bekannt. Im Laufe der Zeit haben viele Sicherheitsexperten empfohlen, LM-Hashes zu deaktivieren, um die Systemsicherheit zu erhöhen. Manuelle Konfigurationen können jedoch mühsam sein, weshalb Tools und Skripte, wie die hier vorgestellten, für IT-Expert:innen und Managed Service Provider (MSPs) von unschätzbarem Wert sind.

Das Skript

#Requires -Version 5.1

<#
.SYNOPSIS
    Disable or Enable Local LM Hash Storage
.DESCRIPTION
    Disable or Enable Local LM Hash Storage
.EXAMPLE
    -Enable
    Enable Local LM Hash Storage
.EXAMPLE
    -Disable
    Disable Local LM Hash Storage
.EXAMPLE
    PS C:> Disable-LMHash.ps1 -Disable
    Disable Local LM Hash Storage
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ProtocolSecurity
#>

[CmdletBinding(DefaultParameterSetName = "Disable")]
param (
    [Parameter(Mandatory, ParameterSetName = "Disable")]
    [switch]
    $Disable,
    [Parameter(Mandatory, ParameterSetName = "Enable")]
    [switch]
    $Enable
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Set-ItemProp {
        param (
            $Path,
            $Name,
            $Value,
            [ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
            $PropertyType = "DWord"
        )
        New-Item -Path $Path -Force -ErrorAction SilentlyContinue | Out-Null
        if ((Get-ItemProperty -Path $Path -Name $Name -ErrorAction SilentlyContinue)) {
            Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false | Out-Null
        }
        else {
            New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false | Out-Null
        }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    $Path = "HKLM:SYSTEMCurrentControlSetControlLsa"
    $Name = "NoLMHash"
    $Value = if ($Enable) { 1 }elseif ($Disable) { 0 }else { throw "No Param used." }
    # Sets NoLMHash to 1
    try {
        Set-ItemProp -Path $Path -Name $Name -Value $Value
    }
    catch {
        Write-Error $_
        exit 1
    }
    Write-Host "Set $Path$Name to $Value"
}
end {}

 

Zugriff auf über 300 Skripte im NinjaOne Dojo

Zugang erhalten

Detailansicht

Das Skript beginnt mit dem Festlegen der Anforderungen für PowerShell Version 5.1. Hier ist eine schrittweise Aufschlüsselung seiner Funktion:

  • Cmdlet-Bindung: Das Skript verwendet CmdletBinding, wodurch es Parameter akzeptieren kann, insbesondere -Enable oder -Disable.
  • Test-IsElevated-Funktion: Diese Funktion prüft, ob das Skript mit erweiterten Rechten (als Administrator) ausgeführt wird. Wenn nicht, gibt das Skript einen Fehler zurück.
  • Set-ItemProp Funktion: Diese Funktion dient dazu, einen bestimmten Registrierungsschlüssel mit einem bestimmten Wert zu versehen und ihn zu erstellen, wenn er nicht existiert.
  • Prozess-Block: Darin liegt die Hauptlogik.
  • Prüft auf Administratorrechte.
  • Legt den Registrierungspfad und -namen fest.
  • Je nach verwendetem Parameter(Aktivieren oder Deaktivieren) weist es einen Wert zu.
  • Anschließend wird dieser Wert in der Registrierung festgelegt.
  • Endblock: Das Skript wird abgeschlossen.

Potenzielle Anwendungsfälle

Stellen Sie sich einen MSP vor, der die Sicherheit für mehrere Kunden überwacht. Eines der neuen Onboarding-Verfahren besteht darin, sicherzustellen, dass LM Hash Storage auf allen Servern deaktiviert ist. Anstatt die Einstellungen jedes einzelnen Servers manuell zu aktualisieren, könnte der MSP dieses Skript bereitstellen und so die Änderungen effizient vornehmen und die Konsistenz sicherstellen.

Vergleiche

Manuelles Navigieren durch die Registrierung oder die Verwendung von Gruppenrichtlinien sind weitere Methoden, um dieses Ergebnis zu erreichen. Die Verwendung von PowerShell ist jedoch effizienter, insbesondere dann, wenn Änderungen an zahlreichen Systemen vorgenommen werden müssen. Außerdem sind Skripte im Vergleich zu manuellen Methoden weniger anfällig für menschliche Fehler.

FAQs

  • Was bedeutet “NoLMHash”?
    NoLMHash” ist ein Registrierungsschlüssel, der festlegt, ob LM-Hashes gespeichert werden. Ein Wert von “0” bedeutet, dass sie aktiviert ist, während “1” bedeutet, dass sie deaktiviert ist.
  • Kann dieses Skript auf jedem Windows-System ausgeführt werden?
    Das Skript hat eine festgelegte Mindestanforderung: Windows 10 oder Windows Server 2016 und und älter.

Auswirkungen

Die Konfiguration von LM Hash Storage ist nicht nur eine Frage der betrieblichen Effizienz, sondern auch ein wichtiger Sicherheitsaspekt. LM-Hashes sind notorisch unsicher. Eine Methode zur schnellen und zuverlässigen Deaktivierung dieser Hashes kann Schwachstellen drastisch reduzieren.

Empfehlungen

  • Erstellen Sie immer eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen.
  • Regelmäßige Überprüfung und Kontrolle der Systemkonfigurationen, um die Einhaltung bewährter Sicherheitsverfahren zu gewährleisten.
  • Führen Sie nur Skripte aus vertrauenswürdigen Quellen aus.

Abschließende Überlegungen

Für IT-Experten, die ihre Aufgaben vereinfachen und gleichzeitig ein hohes Maß an Sicherheit aufrechterhalten möchten, ist der Einsatz leistungsstarker Tools von entscheidender Bedeutung. Dieses Skript ist ein Beweis für diese Fähigkeit. Darüber hinaus können Plattformen wie NinjaOne den Prozess durch Zentralisierung und Automatisierung von Aufgaben im Zusammenhang mit der Systemkonfiguration und -sicherheit verbessern. Da sich die digitale Landschaft weiterentwickelt, ist die Verfügbarkeit zuverlässiger Tools und Plattformen der Schlüssel zur Aufrechterhaltung einer soliden Sicherheitslage.

Nächste Schritte

Der Aufbau eines effizienten und effektiven IT-Teams erfordert eine zentralisierte Lösung, die als einheitliches Tool zur Bereitstellung von IT-Dienstleistungen fungiert. NinjaOne ermöglicht es IT-Teams, alle Geräte zu überwachen, zu verwalten, zu sichern und zu unterstützen, unabhängig vom Standort, ohne dass eine komplexe Infrastruktur vor Ort erforderlich ist.

Erfahren Sie mehr über NinjaOne Remote Script Deployment, sehen Sie sich eine Live-Tour an oder starten Sie Ihre kostenlose Testversion unserer NinjaOne Plattform.

Kategorien:

Das könnte Sie auch interessieren

×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche “Ich akzeptiere” klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird “wie gesehen” und “wie verfügbar” bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).