lokaler passwort hash auf nt

[vision 10]

hallo,

 

auf dem domänencontroller kann man die passwörter vor "brute force" attacken schützen, indem man die accounts nach 5 fehlversuchen sperrt. die lokal gecachten passwörter auf den workstations sind aber den angriffen frei ausgesetzt (ist doch so, oder ??) deshalb denke ich mir, sollte man diese passwörter besser schützen.

hat jemand erfahrung mit dem lokalen passwort hash von nt? man kann den lokalen verschlüsslungs algorythmus von 56bit auf 128 bit (NTLMv2 o.ä.) erhöhen. denn inzwischen kann jeder dritte radfahrer mit der linux-boot disk und dem l0phtcrack die lokalen passwörter relativ schnell knacken. bei 128 bit, sollte es etwas länger dauern ;-)

 

hat das irgendwelche auswirkungen aus den netzwerkbetrieb?

was muß man dabei beachten?

 

ciao

vision

[Nic 10]

Hi Vision!

 

 

Durch die Konfiguration der "lokalen Sicherheitsrichtlinie" (W2K) bzw. einer lokalen Policy-Datei (bei NT) kannst du auch unter diesen beiden Betriebssystemen einstellen, dass das Konto X nach Y missglückter Anmeldeversuche für die Zeit Z deaktiviert bzw. gesperrt wird.

 

Gruss

 

Nic

[vision 10]

das dürfte aber nichts mit den gecachten passwörtern zu tun haben. sondern nur mit lokalen accounts.

wenn jemand an der workstation sitzt und mit ner linux boot diskette bootet kommt er an die hash passwörter dran, ohne das windows etwas merkt.

[Lian 2.331]

Hallo vision,

 

da hilft wohl nur ein Bios-passwort und ein nicht-0815-Bios (AWARD?SW und andere Scherze). Dann booten von Floppy abklemmen und fertig.

 

l0phtcrack: Das High Encryption Pack (wie Du sagtest) und einigermassen komplexe Passwörter sollten helfen.