cómo protegerse del crackeo de hash LM

Lo siguiente es puramente de memoria y no he comprobado poder proporcionar una referencia, pero parece recordar que la clave de registro NoLMHash impide que la generación de LMhashes no los elimine.

La implicación de ser NoLMHash solo es "efectiva" en un sentido práctico después de cambiar la contraseña de una cuenta, hasta que ambos tipos de hash persistirán.

No puedes detener el volcado de los Hash de LM, lo que puedes hacer es dejar de generarlos, para eso está la clave noLMHash.

Después de deshabilitar la generación de hash de LM, debe cambiar las contraseñas en cada cuenta para forzar que la información de la base de datos SAM se actualice solo con las claves de hash NTLM.

Hay muchas maneras de obligar a los usuarios a cambiar sus contraseñas (como establecer la fecha de caducidad de todas las contraseñas en una fecha cercana), pero eso es más una cuestión política, ya que depende del tamaño de la organización y del tipo de cuentas que tiene a su alrededor (es decir, proveedores o cuentas de aplicaciones que también deben cambiarse)

Las computadoras Windows usan dos formas de hashing: LANMAN y NTLMv2. Los hash de LANMAN son compatibles con versiones anteriores de los sistemas Windows 95 y Windows 98, y son ridículamente débiles. Los hashes NTLMv2 son criptográficamente más fuertes. Los sistemas Windows son capaces de generar ambos tipos de hashes para ser compatibles con todas las máquinas antiguas. El valor de registro de NoLMHash desactiva la generación de los hash de LANMAN anteriores, impidiendo que los sistemas sean compatibles con versiones anteriores, pero eso no importa, ya que no debería haber tenido ninguna caja de Windows 95 en su red en los últimos 15 años.

Cualquier esquema de hash (incluido NTLMv2) es susceptible a los ataques Pass-the-hash.