Come configurare una archiviazione di LM hash in locale, in modo efficiente, con PowerShell

Configurare una archiviazione di LM hash in locale è un’operazione fondamentale nei sistemi basati su Windows. Per i professionisti IT, la configurazione di questa archiviazione può influire notevolmente sulla sicurezza del sistema. Lo script PowerShell fornito semplifica in modo elegante il processo di attivazione o disattivazione di questa funzione. Approfondiamo il suo significato e il suo funzionamento.

Background

L’LM hash LM, o LAN Manager hash, è in circolazione da qualche tempo ed è noto per le sue vulnerabilità. Nel corso del tempo, molti esperti di sicurezza hanno consigliato di disabilitare gli LM hash per rafforzare la sicurezza del sistema. Tuttavia, le configurazioni manuali possono essere noiose, ed è per questo che strumenti e script, come quello fornito, diventano risorse preziose per i professionisti IT e i Managed Service Provider (MSP).

Lo script per configurare una archiviazione di LM hash

#Requires -Version 5.1

<#
.SYNOPSIS
    Disable or Enable Local LM Hash Storage
.DESCRIPTION
    Disable or Enable Local LM Hash Storage
.EXAMPLE
    -Enable
    Enable Local LM Hash Storage
.EXAMPLE
    -Disable
    Disable Local LM Hash Storage
.EXAMPLE
    PS C:> Disable-LMHash.ps1 -Disable
    Disable Local LM Hash Storage
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ProtocolSecurity
#>

[CmdletBinding(DefaultParameterSetName = "Disable")]
param (
    [Parameter(Mandatory, ParameterSetName = "Disable")]
    [switch]
    $Disable,
    [Parameter(Mandatory, ParameterSetName = "Enable")]
    [switch]
    $Enable
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Set-ItemProp {
        param (
            $Path,
            $Name,
            $Value,
            [ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
            $PropertyType = "DWord"
        )
        New-Item -Path $Path -Force -ErrorAction SilentlyContinue | Out-Null
        if ((Get-ItemProperty -Path $Path -Name $Name -ErrorAction SilentlyContinue)) {
            Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false | Out-Null
        }
        else {
            New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false | Out-Null
        }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    $Path = "HKLM:SYSTEMCurrentControlSetControlLsa"
    $Name = "NoLMHash"
    $Value = if ($Enable) { 1 }elseif ($Disable) { 0 }else { throw "No Param used." }
    # Sets NoLMHash to 1
    try {
        Set-ItemProp -Path $Path -Name $Name -Value $Value
    }
    catch {
        Write-Error $_
        exit 1
    }
    Write-Host "Set $Path$Name to $Value"
}
end {}

 

Accedi a oltre 700 script nel Dojo di NinjaOne

Ottieni l’accesso

Analisi dettagliata

Lo script per configurare una archiviazione di LM hash in locale inizia impostando i requisiti della versione 5.1 di PowerShell. Ecco una descrizione passo per passo del suo funzionamento:

  • Cmdlet Binding: Lo script per configurare una archiviazione di LM hash utilizza CmdletBinding, che gli consente di accettare parametri, in particolare -Enable o -Disable.
  • Funzione Test-IsElevated: Questa funzione controlla se lo script per configurare una archiviazione di LM hash viene eseguito con privilegi elevati (come amministratore). In caso contrario, lo script restituirà un errore.
  • Funzione Set-ItemProp: Questa funzione è progettata per impostare una chiave di registro specifica con un determinato valore, creandola se non esiste.
  • Blocco del processo: È qui che risiede la logica principale.
  • Controlla i diritti di amministratore.
  • Definisce il percorso e il nome del registro.
  • A seconda del parametro utilizzato (Enable o Disable), assegna un valore.
  • Quindi imposta questo valore nel registro di sistema.
  • Blocco finale: Conclude lo script.

Casi d’uso potenziali

Immagina un MSP che si occupa della sicurezza di più clienti. Una delle nuove procedure di onboarding prevede che l’archiviazione di LM Hash sia disabilitata su tutti i server. Invece di aggiornare manualmente le impostazioni di ogni server, l’MSP può distribuire questo script per configurare una archiviazione di LM hash, effettuando in modo efficiente le modifiche e garantendo coerenza.

Confronti

Altri metodi per configurare una archiviazione di LM hash sono la navigazione manuale nel registro o l’utilizzo dei Criteri di gruppo. Tuttavia, l’uso di PowerShell è più efficiente, soprattutto quando è necessario apportare modifiche a numerosi sistemi. Inoltre, gli script sono meno soggetti a errori umani rispetto ai metodi manuali.

Domande frequenti

  • Cosa rappresenta “NoLMHash”?
    “NoLMHash” è una chiave di registro che stabilisce se gli LM hash devono essere memorizzati. Il valore “0” significa che è abilitata, mentre “1” significa che è disabilitata.
  • Questo script per configurare una archiviazione di LM hash può essere eseguito su qualsiasi sistema Windows?
    Lo script per configurare una archiviazione di LM hash ha un requisito minimo noto: Windows 10 o Windows Server 2016 e versioni successive.

Implicazioni

La configurazione di una archiviazione di LM hash non è solo una questione di efficienza operativa: riguarda in modo importante la sicurezza. Gli LM hash sono notoriamente insicuri. Disporre di un metodo per disabilitare questi hash in modo rapido e affidabile può ridurre drasticamente le vulnerabilità.

Raccomandazioni

  • Esegui sempre un backup del registro prima di apportare modifiche.
  • Esamina e verifica periodicamente le configurazioni del sistema per garantire l’aderenza alle best practice di sicurezza.
  • Esegui solo script provenienti da fonti affidabili.

Considerazioni finali

Per i professionisti dell’IT che desiderano semplificare le proprie attività mantenendo un elevato livello di sicurezza, diventa fondamentale sfruttare strumenti potenti. Questo script per configurare una archiviazione di LM hash è una testimonianza dell’importanza di questo approccio. Piattaforme come NinjaOne, inoltre, possono migliorare il processo centralizzando e automatizzando le attività relative alla configurazione e alla sicurezza del sistema. Con l’evoluzione del panorama digitale, avere a disposizione strumenti e piattaforme affidabili sarà la chiave per mantenere una solida posizione di sicurezza.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più sulla distribuzione remota di script con NinjaOne, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Categorie:

Ti potrebbe interessare anche

×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.