Hash NTLM / LM sul controller di dominio

3

Ho notato che quando estrai gli hash delle password da un controller di dominio (usando il controllore proattivo delle password Elcomsoft) a volte ricevo gli hash LM e NTLM e altre volte ottengo solo gli hash NTLM.

Nota che gli hash NTLM + LM (gli account che contengono entrambi gli insiemi) vengono recuperati ordini di grandezza più velocemente degli hash che sono solo NTLM.

Sono curioso di sapere perché questo è il caso?

Comprendo che LM è il più vecchio e debole dei due, ma non capisco perché sia LM che NTLM vengano archiviati in questi scenari?

Ancora più importante, dato che sembra che gli hash NTLM siano l'opzione più sicura, come posso applicare solo NTLM e rimuovere gli hash LM esistenti per gli utenti?

    
posta NULLZ 20.04.2014 - 08:44
fonte

2 risposte

4

C'è un buon articolo Microsoft KB su questo argomento esatto.

Fondamentalmente, LM è usato per la compatibilità con i client più vecchi. In particolare, Windows 98 e versioni successive. Se sulla rete non ci sono client precedenti, la causa di entrambi gli hash è probabilmente dovuta alla lunghezza della password di < 15 caratteri.

When you set or change the password for a user account to a password that contains fewer than 15 characters, Windows generates both a LAN Manager hash (LM hash) and a Windows NT hash (NT hash) of the password.

Sembra che la ragione di ciò sia dovuta alle limitazioni di hashing di LM e non alla sicurezza.

In the event that the user's password is longer than 15 characters, the host or domain controller will not store the LM hash for the user; the LM response cannot be used to authenticate the user in this case. A response is still generated and placed in the LM Response field, using a 16-byte null value (0x00000000000000000000000000000000) as the LM hash in the calculation. This value is ignored by the target.

Si consiglia di disabilitare gli hash LM poiché il protocollo è gravemente danneggiato come suggerito. Per coloro che potrebbero non essere a conoscenza, alcuni dei problemi con LM includono:

  • Le password non fanno distinzione tra maiuscole e minuscole.
  • Le password sono suddivise in 7 caratteri e sottoposte a hashing separatamente, rendendo la forza bruta triviale.
  • Le password sono limitate a un massimo di 14 caratteri di lunghezza.

Ci sono un paio di metodi per rimuovere gli hash LM elencati nell'articolo della Knowledge Base che ho citato, citerò il metodo GPO nel caso in cui il collegamento vada a male.

Metodo 1: Implementa il criterio NoLMHash utilizzando Criteri di gruppo

Per disabilitare la memorizzazione degli hash LM delle password di un utente nel database SAM del computer locale utilizzando Criteri di gruppo locali (Windows XP o Windows Server 2003) o in un ambiente Active Directory di Windows Server 2003 utilizzando Criteri di gruppo in Active Directory ( Windows Server 2003), attenersi alla seguente procedura:

  1. In Criteri di gruppo, espandere Configurazione computer, espandere Impostazioni di Windows, espandere Impostazioni di sicurezza, espandere Criteri locali, quindi fare clic su Opzioni di sicurezza.
  2. Nell'elenco delle politiche disponibili, fare doppio clic su Sicurezza di rete: non memorizzare il valore hash di LAN Manager alla successiva modifica della password.
  3. Fai clic su Abilitato, quindi su OK.
risposta data 20.04.2014 - 11:46
fonte
2

Come seguito alla risposta di David, volevo sottolineare questo articolo (non posso aggiungere un commento): link

Indica che anche quando ai client viene detto di non memorizzare gli hash LM nel database SAM, saranno comunque conservati in memoria e possono essere trasferiti su un file.

    
risposta data 03.07.2014 - 12:35
fonte

Leggi altre domande sui tag