Cómo hacer que Windows no guarde Contraseñas en Archivos SAM

En vez de almacenar la contraseña de la cuenta de usuario en texto sin cifrar, Windows genera y almacena las contraseñas de cuenta de usuario mediante dos representaciones de contraseña distintas, denominadas normalmente "hash". Cuando se establece o cambia la contraseña de una cuenta de usuario por otra que contiene menos de 15 caracteres, Windows genera un hash de LAN Manager (hash de LM) y un hash de Windows NT (hash de NT) de la contraseña. Estos hash se almacenan en la base de datos del administrador de cuentas de seguridad (SAM) o en Active Directory.

El hash de LM es relativamente débil en comparación con el hash de NT y, por lo tanto, es proclive a ataques de fuerza bruta. Así pues, puede impedir que Windows almacene un hash de LM de su contraseña. En este artículo se describe cómo hacer que Windows sólo almacene el hash de NT de mayor seguridad de la contraseña.

Método 1: Implementar la directiva NoLMHash mediante Directiva de grupo

Para deshabilitar el almacenamiento de hash de LM de las contraseñas de un usuario en la base de datos SAM del equipo local mediante Directiva de grupo local (Windows XP o Windows Server 2003) o en un entorno de Active Directory de Windows Server 2003 mediante Directiva de grupo en Active Directory (Windows Server 2003), siga estos pasos:

1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
3. Haga clic en Habilitado y después en Aceptar.

Método 2: Implementar la directiva NoLMHash mediante la edición del Registro

En Windows 2000 Service Pack 2 (SP2) y posterior, use uno de los procedimientos siguientes para impedir que Windows almacene un valor de hash de LM en el siguiente cambio de contraseña.

Windows XP y Windows Server 2003
Advertencia
La utilización incorrecta del Editor del Registro puede provocar problemas graves que hagan necesario volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
Para agregar este valor DWORD mediante el Editor del Registro, siga estos pasos:

1. Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.
2. Busque la siguiente clave del Registro y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
4. Escriba NoLMHash y presione Entrar.
5. En el menú Edición, haga clic en Modificar.
6. Escriba 1 y, a continuación, haga clic en Aceptar.
7. Reinicie el equipo y, a continuación, cambie la contraseña.

Método 3: Usar una contraseña que tenga una longitud mínima de 15 caracteres

La forma más simple de impedir que Windows almacene un hash de LM de la contraseña es usar una contraseña que tenga una longitud mínima de 15 caracteres. En este caso, Windows almacena un valor de hash de LM que no se puede usar para autenticar al usuario.

Más información: http://support.microsoft.com/kb/299656