come proteggersi dall'hash cracking di LM

Quanto segue è puramente di memoria e non ho controllato di essere in grado di fornire un riferimento, ma mi sembra di ricordare che la chiave di registro NoLMHash impedisce la generazione di LMhashes non li rimuove.

L'implicazione essendo NoLMHash è solo "effettiva" in senso pratico dopo una modifica della password dell'account, fino a quando entrambi i tipi di hash persisteranno.

Non puoi fermare il dumping degli Hash LM, quello che puoi fare è smettere di generarli, questo è ciò che è per la chiave noLMHash.

Dopo aver disattivato la generazione degli hash LM, è necessario modificare le password su ciascun account per forzare l'aggiornamento delle informazioni del database SAM con solo le chiavi Hash NTLM.

Ci sono molti modi per forzare gli utenti a cambiare le loro password (come impostare la data di scadenza di tutte le password in una data vicina), ma questo è più un problema politico poiché dipende dalla dimensione dell'organizzazione e dal tipo di account che hai in giro (es. Provider o account di applicazioni che devono essere modificati)

I computer Windows utilizzano due forme di hashing: LANMAN e NTLMv2. Gli hash LANMAN sono retrocompatibili con i sistemi Windows 95 e Windows 98 e sono ridicolmente deboli. Gli hash NTLMv2 sono crittograficamente più forti. I sistemi Windows sono in grado di generare entrambi i tipi di hash per essere compatibili con tutte le vecchie macchine. Il valore del Registro di sistema NoLMHash disabilita la generazione dei vecchi hash di LANMAN, impedendo che i sistemi siano retrocompatibili, ma ciò non importa, perché non dovresti aver avuto alcun Windows 95 nella tua rete negli ultimi 15 anni circa.

Qualsiasi schema di hashing (incluso NTLMv2) è suscettibile agli attacchi Pass-the-hash.