2. Fórumok
  3. Infotech
  4. Rendszergazda topic
  5. (kiemelt téma)
Keresés

Hirdetés

Új hozzászólás Aktív témák

  • #9946 brd nagyúr Egon #9944
    Új Válasz #9946
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    brd

    nagyúr

    válasz Egon #9944 üzenetére

    Hűha, mire kellhet az 2015-ben? Felnyomni kell password-öt, vagy újabb OS<->nagyon régi OS irányban kellene kommunikálni?

    The only real valuable thing is intuition.

  • #9967 brd nagyúr Egon #9949
    Új Válasz #9967
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    brd

    nagyúr

    válasz Egon #9949 üzenetére

    Nincs olyan, hogy NTLM v1 és v2 hash. LM hash és NTLM hash van. Az NTLM verziója az authentikáció módszerét írja le. Az LM hash-t és az NTLMv1 authentikációt kell megszüntetni.

    Sorban:

    1. Group policy-ből: Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options, Network security: LAN Manager authentication level: "Send NTLMv2 response only. Refuse LM & NTLM" (DC-kre is vonatkozzon!). Ha esetleg van nem domaintag gép, akkor registryből is állítható, még Home-on is. Így viszont régebbi OS-ekkel/software-ekkel (amelyek nem ismerik az NTLMv2 típusú authentikációt) egyáltalán nem lehet majd kommunikálni, rossz username/password üzenetet fognak kapni. Vista/2008-tól felfelé az alap az NTLMv2, tehát a DC-n valószínűleg már amúgy is csak ez van, ha valaki hozzá nem nyúlt a policy-hez. Az, hogy a DC-ken van-e tárolva LM hash, tökmindegy; ha érdekel, kifejtem miért. Amit még be kellene kapcsolnod az XP-k, esetleg 2003 domain memberek miatt az a "Do not store LAN Manager hash value on next password change", ha még nem lenne.
    2. De igen, Win2000 (SPvalahány) óta már a v2-t lehet használni. Az LM még a Win95/98 maximuma volt (kiszolgálóként; kliensként bele lehetett hekkelni a v2-t is).
    3. Igen, jelszót kell változtatni, hogy az XP-ken esetleg tárolt LM hash eltűnjön (a fenti 2 beállítás után persze). Vista/2008-tól felfelé alapból nem is tárol el ilyet (de bekapcsolható).
    4. Azok már alapból NTLMv2-vel próbálkoznak.
    5. 4-es pont+3-as pont.

    Egyébként ha valakinek a jelszava hosszabb, mint 14 karakter, akkor nem is lesz LM hash-e, mert az max. annyit kezel.

    The only real valuable thing is intuition.

  • #9974 brd nagyúr Egon #9972
    Új Válasz #9974
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    brd

    nagyúr

    válasz Egon #9972 üzenetére

    Igen.
    Nem felesleges. Az esetleges problémákat elkerülendő/időben felderítendő. Pl. egy tartományon kívüli Vista/2008-nál régebbi OS-sel így majd nem tudsz kapcsolódni a tartományi gépekhez, ha nincsen ugyanígy force-olva rajtuk az NTLMv2 (és a Kerberos nem megy neki valamiért, mert azzal is próbálkozik), trükkös a dologban, hogy pl. RDP-vel sem (ami nem mindenkinek nyilvánvaló elsőre). Ill. pl. arra is figyelni kell, hogy egy régebbi multifunkciós eszköz nem biztos, hogy kezel NTLMv2-t (pl. a scannert nem tudja megosztásba menteni a képeket). Egyébként a LAN Manager authentication level mellett van még 2 beállítás, azt is érdemes bekapcsolni, ha nem okoz gondot: Network security: Minimum session security for NTLM SSP based (including secure RPC) clients ill. servers, és ezekben az NTLMv2-es, ill. a 128 bit-es sor.
    Igen, a jelszóváltoztatás hiányának ennyi a hátránya.
    Ahhoz ugye, hogy meg tudja szerezni valaki/valami a DC-ről a SAM adatbázist, vagy offfline kell hozzáférnie, vagy backup szinten (VSS), vagy az lsass címteréből. Amennyiben ezekre képes, akkor nem az lesz a legnagyobb baj, hogy vissza tudja fejteni a jelszavakat, hanem az, hogy olyan jogai lesznek, amivel bármit megtehet a domain-ben.

    The only real valuable thing is intuition.

Új hozzászólás Aktív témák