Microsoft давно уже отошла от слабой защиты паролей и сейчас системы компании взломать не так то и просто. С подключением новых протоколов аутентификации типа NTLMv2 или Kerberos, Microsoft вполне обезопасила вашу сеть. Проблема в использовании ОС MS на самом деле состоит в том, что им по наследству достались и старые уязвимые протоколы типа Lan Manager или NT Lan Manager. И даже если они не используются в работе они по прежнему доступны и на большинстве систем хешируют пароли, просто на случай соединения со старым компьютеров. Это открывает определенную брешь в обороне вашего компьютера и в этой статье мы покажем как ее закрыть.
Протоколы
Microsoft поддерживает целый сонм протоколов аутентификации. Как уже было сказано, старые реализации никуда не деваются, а сохраняются ради совместимости. Так, например, Windows Server 2003 может работать как с протоколом Lаn Mаnager и NTLM, так и с современным Kerberos. В проектировании сети важно понять что делает каждый из протоколов и какими особенностями он выделяется. Необходимо так же знать какие операционные системы какие протоколы юзают, ведь даже если протокол и слаб в своей основе, возможно он необходим для работы с другими компьютерами, существующими в окружении. Ну и напоследок, если необходимость использования слабого протокола все же существует то необходимо продумать меры навесной защиты.
Lan Manager
LM один из самых старых протоколов аутентификации, используемых Microsoft. Впервые он появился еще в Windows 3.11 и в целом не слишком безопасен. Посмотрим описание:
Хеши зависят от регистра
В пароле можно использовать 142 символами
Возможно вы искали - Доклад: Вирусы
Хеш разделяется на последовательности в 2-7 символов. Если пароль короче 14 символов, то он дополняется нулями до 14 знаков
Результирующее значение - 128 битное
Хеш необратим
NT Lan Manager
NTLM стал последователем LM и впервые был представлен в Windows NT 3.1. Причина его появление - внедрение новой системы каталогов в операционной системе, контролируемой всем известными доменами. NTLM требует, что бы domain controller хранил хеши всех пользователей самого домена. Особенности этого протокола похожи на LM, только реализованы несколько иначе.
Похожий материал - Реферат: Характеристика системы WWW в сети Internet
NTLMv2
Стоит отметить, что этот протокол не был выпущен одновременно с какой либо ОС, а появился в 4-ом сервиспаке для Windows NT 4. В нем Microsoft попыталась все ошибки предыдущих протоколов и выглядит он так:
Пароль может быть до 128 символов
Взаимная аутентификация клиента и сервера
Более длинные ключи для улучшенной защиты хеша
Очень интересно - Реферат: Использование ЭВМ при обучении математике
Kerberos
Это уже не разработка MS, а индустриальный стандарт, описанный в RFC 1510. Microsoft добавила в него несколько незначительных фишек и начала использовать в Windows. В Active Directory протокол выглядит так:
Взаимная аутентификация с использованием билетов
Процесс опознавания в основном ложится на плечи клиента, что уменьшает нагрузку на сервер
Контролер домена несет на себе Kerberos Distribution Center
Вам будет интересно - Реферат: Иерархические структуры в реляционных базах данных
Пароли не передаются по сети
Kerberos защищен от перехвата пакетов
Что куда?
Windows 95, 98 и Me по умолчанию не поддерживают NTLMv2 и Kerberos, а соответственно работают только с LM или NTLM. Это ставит их в разряд самых уязвимых систем, однако и тут конечно есть решение. Называется оно Active Directory Client Extensions, что позволит использовать NTLMv2, Kerberos же использовать в семействе 9х никак не получится.
Windows NT
Похожий материал - Доклад: Народные движения XVII в.
Как уже было сказано ранее, изначально ОС этого семейства работали так же ,как и 9х. Однако в SP4 появился NTLMv2.
Windows 2000/XP/2003
Ясно, что эти системы уже работают со всеми четырьмя протоколами - LM, NTLM, NTLMv2 и Kerberos. При работе с AD и компьютерами, входящими в AD, используется Kerberos. В рабочих группах в ход вступает NTLMv2, ну а для работы с устаревшими операционками уже используется LM и NTLM.
Борьба со стариной