Modifica della struttura del database SAM per disabilitare l'utilizzo di LM

1

Il database SAM contiene normalmente gli hash LM e NTLM del computer locale. Recentemente abbiamo applicato configurazioni per disabilitare l'utilizzo di NTLMv1 nella rete aziendale. Successivamente abbiamo attenuato l'utilizzo dell'hash LM su SMB e altre comunicazioni. La mia domanda potrebbe essere stupida ma voglio sapere: se l'hacker ha in qualche modo il contenuto del database SAM (tramite sistema operativo live, mimikatz e così via), questa configurazione ci aiuterà a disabilitare l'esposizione all'hash LM o no? cosa si consiglia di configurare gli endpoint in modo che memorizzi solo hash NTLM?

    
posta tesyer tteahn 17.06.2017 - 22:15
fonte

1 risposta

0

Non è raccomandato cambiare il file SAM e non è ragionevole apportare modifiche su di esso. Se hai accesso fisico alla macchina, nulla ti aiuterà a fermare l'avversario. I tipi di hash LM e NTLM devono trovarsi all'interno di SAM, disabilitando lo scambio di hash LM durante le comunicazioni è sufficiente per fermare "una sorta di" tecnica di hijack e cracking ma non disabiliterà o modificherà la struttura SAM.

    
risposta data 18.06.2017 - 15:10
fonte

Leggi altre domande sui tag