Демьяненко Михаил
Microsoft давно уже отошла от слабой защиты паролей и сейчас системы компании взломать не так то и просто. С подключением новых протоколов аутентификации типа NTLMv2 или Kerberos, Microsoft вполне обезопасила вашу сеть. Проблема в использовании ОС MS на самом деле состоит в том, что им по наследству достались и старые уязвимые протоколы типа Lan Manager или NT Lan Manager. И даже если они не используются в работе они по прежнему доступны и на большинстве систем хешируют пароли, просто на случай соединения со старым компьютеров. Это открывает определенную брешь в обороне вашего компьютера и в этой статье мы покажем как ее закрыть.
Протоколы
Microsoft поддерживает целый сонм протоколов аутентификации. Как уже было сказано, старые реализации никуда не деваются, а сохраняются ради совместимости. Так, например, Windows Server 2003 может работать как с протоколом Lаn Mаnager и NTLM, так и с современным Kerberos. В проектировании сети важно понять что делает каждый из протоколов и какими особенностями он выделяется. Необходимо так же знать какие операционные системы какие протоколы юзают, ведь даже если протокол и слаб в своей основе, возможно он необходим для работы с другими компьютерами, существующими в окружении. Ну и напоследок, если необходимость использования слабого протокола все же существует то необходимо продумать меры навесной защиты.
Lan Manager
LM один из самых старых протоколов аутентификации, используемых Microsoft. Впервые он появился еще в Windows 3.11 и в целом не слишком безопасен. Посмотрим описание:
Хеши зависят от регистра
В пароле можно использовать 142 символами
Хеш разделяется на последовательности в 2-7 символов. Если пароль короче 14 символов, то он дополняется нулями до 14 знаков
Результирующее значение - 128 битное
Хеш необратим
NT Lan Manager
NTLM стал последователем LM и впервые был представлен в Windows NT 3.1. Причина его появление - внедрение новой системы каталогов в операционной системе, контролируемой всем известными доменами. NTLM требует, что бы domain controller хранил хеши всех пользователей самого домена. Особенности этого протокола похожи на LM, только реализованы несколько иначе.
NTLMv2
Стоит отметить, что этот протокол не был выпущен одновременно с какой либо ОС, а появился в 4-ом сервиспаке для Windows NT 4. В нем Microsoft попыталась все ошибки предыдущих протоколов и выглядит он так:
Пароль может быть до 128 символов
Взаимная аутентификация клиента и сервера
Более длинные ключи для улучшенной защиты хеша
Kerberos
Это уже не разработка MS, а индустриальный стандарт, описанный в RFC 1510. Microsoft добавила в него несколько незначительных фишек и начала использовать в Windows. В Active Directory протокол выглядит так:
Взаимная аутентификация с использованием билетов
Процесс опознавания в основном ложится на плечи клиента, что уменьшает нагрузку на сервер
Контролер домена несет на себе Kerberos Distribution Center
Пароли не передаются по сети
Kerberos защищен от перехвата пакетов
Что куда?
Windows 95, 98 и Me по умолчанию не поддерживают NTLMv2 и Kerberos, а соответственно работают только с LM или NTLM. Это ставит их в разряд самых уязвимых систем, однако и тут конечно есть решение. Называется оно Active Directory Client Extensions, что позволит использовать NTLMv2, Kerberos же использовать в семействе 9х никак не получится.
Windows NT
Как уже было сказано ранее, изначально ОС этого семейства работали так же ,как и 9х. Однако в SP4 появился NTLMv2.
Windows 2000/XP/2003
Ясно, что эти системы уже работают со всеми четырьмя протоколами - LM, NTLM, NTLMv2 и Kerberos. При работе с AD и компьютерами, входящими в AD, используется Kerberos. В рабочих группах в ход вступает NTLMv2, ну а для работы с устаревшими операционками уже используется LM и NTLM.
Борьба со стариной
LM/NTLM
Если вы еще не поняли, то все компьютеры в вашей Windows-сети поддерживают эти два устаревших протокола. Что можно с ними сделать?
1. По умолчанию LM и NTLM хеши посылаются по сети в процессе аутентификации, причем это случается даже когда ХР коннектится, например, к домену на Windows 2003. Для выключения лезем в Group Policy Object и запрещаем передачу хешей по сети:
В политике возможен выбор из 6 вариантов:
Самый безопасный вариант - последний.
2. Следующая опция запретит генерацию устаревших хешей. По умолчанию се компьютеры для обратной совместимости генерируют LM и NTLM хеши, даже если они и не требуются.
Немедленного эффекта эта опция не даст, она сработает только при изменении пароля.
3. Если все же в вашей сети есть устройства или компьютеры работающие с LM можно обойти хранение хеша применением пароля длиннее 14 символов. В таком варианте хеш не сохраняется.
NTLMv2
Совсем запретить использование протокола пока невозможно, так как он используется для работы групп в Windows 2000 и более новых операционных системах. Однако, как обычно, возможно предпринять ряд шагов для защиты от взлома хешей.
1. Чем длиннее и сложнее пароль тем лучше, правило по умолчанию.
2. Надо заставить пользователей чаще менять пароли:
3. Предложите использовать фразы вместо пароля. Согласитесь, что запомнить @3*()!b& труднее, чем "Я живу в Москве". К тому же использование фраз обезопасит от перебора, ибо брутфорсом в приемлемые сроки никакой пароль не сломать.
Мораль
Пароли для защиты сети необходимы, однако не все пароли одинаково полезны. Системному администратору необходимо следить за применением различных средств аутентификации и объяснять пользователям полезность длинных паролей и периодической их смены.
Другие работы по теме:
Уменьшение размера реестра
Всем известно, что сердце Windows находится в системном реестре. Правильность реестра - залог долговечности операционной системы Windows.
Команды системного администратора
В этой статье собраны основные команды прописываемые в командной строке Windows NT/2000/XP для выполнения определенной сетевой функции.
Windows XP Professional
Text Text Text Text Graphics Система Windows XP Professional ориентирована на корпоративных пользователей, на работу в средних и больших сетях. Этой системой могут заинтересоваться и домашние пользователи, которых не устраивают некоторые ограничения Windows XP Home Edition . Windows XP Professional является прямой наследницей систем Windows 2000, основные улучшения которых шли в следующих направлениях: Система Windows XP Professional ориентирована на корпоративных пользователей, на работу в средних и больших сетях.
Основные понятия Windows
Text Graphics Объектами называют сущности, имеющие различные свойства. Объектами называют сущности, имеющие различные свойства. Graphics
Команды системного администратора
В этой статье собраны основные команды прописываемые в командной строке Windows NT/2000/XP для выполнения определенной сетевой функции. Пример вида <имя> ,практически пишется как имя. Чтобы запустить командную строку необходимо нажать Пуск - Выполнить ввести "cmd" Enter или OK.
Тесты производительности Windows XP против Win 2000, NT4, 98 и ME
Учитывая большой интерес читателей к особенностям Windows XP, мы решили сравнить полную производительность Windows XP с предыдущими версиями Windows. Эта статья будет интересна и тем, кто только собирается установить новую операционную систему, так и тем, кто уже является опытным пользователем XP.
Madame Bovary Windows Essay Research Paper Windows
Madame Bovary: Windows Essay, Research Paper Windows frequently appear in the novel Madame Bovary. Emma is constantly peering out of windows. Windows are a symbol of hope and dreams, and also escape.
Linux Essay Research Paper Introduction TOPIC
Linux Essay, Research Paper Introduction ? TOPIC: Can Linux succeed in a Windows world? Linux is a Unix-language-based computer platform and is described as being slimmer, faster, more reliable
Should This Business Update To Windows 2000
From Windows 98 For Its Office Pcs? Essay, Research Paper Should this business update to Windows 2000 from Windows 98 for its office PCs? In the business world today, computers and the software applications that run on them basically control an well-organized business. Every major company is equipped with a computer, or network that connects through different branches throughout the firm.
Gothic And Romanesque Style Arch Essay Research
Paper Represented primarily through cathedrals, Romanesque and Gothic styles of architecture were some of the few symbols of civilization in the poverty stricken and often depressing Middle Ages. These cathedrals
German And Dutch Influence On American Housing
Essay, Research Paper German settlers came to North America in the late 17th century, they settled mainly in Pennsylvania. Germans built large, lasting houses of wood and quarry stone.
WAR And PEACE And How It Effected
The World Essay, Research Paper If your computer starts up in the 24 bit version of the game with fuzzy looking graphics, try re-selecting the screen mode from the F11 menu. This
Windows 95 Essay Research Paper Windows 95
Windows 95 Essay, Research Paper Windows 95 may very well be the most talked about software release in history. With more people than ever using personal computers, and given Microsoft’s dominance in this still growing market, Mr. Gates’ newest offering has caused quite a stir. As with any new product in this ultra-competitive industry, Windows 95 has come under intense scrutiny.
Comparing Operating Systems Essay Research Paper Comparing
Comparing Operating Systems Essay, Research Paper Comparing Microsoft Operating Systems : 95/98/NT This report is centered on the similarities and differences of the three major operating systems provided by Microsoft during the previous decade. There were and will always be changes and upgrades some of the information may not be current, as these systems have had certain upgrade modules that may not covered.
Cognitive Artifacts
& Windows 95 Essay, Research Paper Cognitive Artifacts & Windows 95 The article on Cognitive Artifacts by David A. Norman deals with the theories and principles of artifacts as they relate to the user during execution
Aol V Msn Essay Research Paper NOTE
Aol V. Msn Essay, Research Paper NOTE: You will be prompted to reboot the computer after uninstalling the AOL Adapter. After the initial reboot, when AOL is launched, you will be prompted to reboot again. On some systems this may happen several times.
Windows 30 Essay Research Paper Windows 30
Windows 3.0 Essay, Research Paper Windows 3.0 With window’s 3.0, you can unleash the power of your 286 or 386 computer’s protected mode. Unlike earlier releases that made you purchase separate versions
Why Do People Want To Destroy Images
? Essay, Research Paper Religion Puritanism 16th and 17th centuries ? dispute over terms of the Settlement which banned artificial worship but did not specify decoration such as church windows and crosses in
First Impressions May Be Deceiving Essay Research
Paper First Impressions May Be Deceiving Michael Jordan For many years now, people have been fool by appearances. Someone may look at the exterior of an object and expect one thing when actually the exact
Computer Fundamentals Essay Research Paper The very
Computer Fundamentals Essay, Research Paper The very first operating system used on the earliest IBM PCs was called simply the Disk Operating System, abbreviated DOS. There are few PC users who have not heard of DOS; at one time it was used on pretty much every PC, and it is still around today in many different forms.
Microsoft Monopoly Essay Research Paper By now
Microsoft Monopoly Essay, Research Paper By now everyone is familiar with the case U.S. vs. Microsoft. What is all this about? According to my two articles, Microsoft, the world’s leading software company, is being sued by the Justice Department joined by 19 states.
Windows 95 Or NT Essay Research Paper
Windows 95 or NT When one asks himself or another, Which Operating system will better fill my needs as an operating system Windows 95 or Windows NT version 3.51. I will
OPERATING SYSTEMS DOS AND WINDOWS 95 Essay
, Research Paper REVIEW OF OPERATING SYSTEMS, DOS AND WINDOWS 95 1) It is necessary to install an operating system on every microcomputer because you need user interface.
Windows 95 The O S Of The Future
Essay, Research Paper Windows 95 the O/S of the Future The way of the computing world is changing at a neck breaking pace. People are looking for computers to be easy to use, and to make life easier for them. The
Windows 98 Vs Windows Me Essay Research
Paper Microsoft has remained at the top of the personal computer industry. It is the bar that other companies in their field must measure up to. The strong hold Microsoft has established is due in great part to the strength and popularity of their operating systems. Over the past year Microsoft has released Windows 2000, a network based OS to replace older Windows NT systems.
Windows 95 Beats Mac Essay Research Paper
Windows 95 Beats Mac Over the years, there has been much argument over which computer platform to buy. The two contenders in theis competions have been the PC , with its Windows
Disaster Recovery Essay Research Paper Windows on
Disaster Recovery Essay, Research Paper Windows on Management – Disaster Recovery in the New Information Age This window talks about some of the benefits of a recovery system for businesses with round the clock electronic commerce. If a disaster happens and these companies don’t have a recovery system, it can cause massive delays and that can lead to loss of business and profits.
Lock Outs In Sql Server Essay Research
Paper Lock Outs in SQL Server If you lock yourself out of SQL Server without being able to log on with a sysadmin login, you don’t have to reinstall SQL Server. To access SQL Server, you need to use the registry key for SQL Server 2000 and SQL Server 7.0 that determines the authentication mode of SQL Server.
Драйвери зовнішніх пристроїв
12., призначення, приклади. Драйвер – це програма, яка відповідає за роботу даного пристрою, містить набір команд, для даного пристрою і забезпечує зв'язок між комп’ютером і пристроєм.