Jump to content

Nachteile bei Deaktivierung des NTLM Hash?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

man kann per GPO den NTLM Hash deaktivieren, damit das Kennwort cracken erschwert wird.

Anschließend muss das Kennwort geändert werden, damit der Hash gelöscht wird.

 

Hat dieses Deaktivieren des NTLM Hash irgendwelche Nachteile?

Wir nutzen nur Server ab Windows 2000 SP4 /überwiegend 2003 SP2, Clients XP SP2.

 

Viele Grüße

Stefan

Link zu diesem Kommentar
Es gibt natürlich auch einen ntlm hash, da ntlm auch mit hashes arbeitet.

Diesen kann man in der Version 1 auch per GPO deaktivieren, indem man nur noch ntlm v2 erlaubt.

 

Du darfst mir ruhig glauben, ich weiß in dem Fall ziemlich genau, was ich schreibe.

Ansonsten empfehle ich dir auch die ganzen Artikel und Bücher und Security Resource Kits (einige Zig an der Zahl) dazu durchzulesen, so wie ich es die letzten 10 Jahre ununterbrochen getan habe :wink2:

Besonders gut zu diesem Thema die Artikel von Jesper Johannson, teilw. auch von Steve Riley.

 

grizzly999

Link zu diesem Kommentar

Hash Attacken sind echt ein alter Hut nur so nebenbei! Man sollte nur noch Kerberos V5 zur Authentiizierung nutzen. Was Grizzly gesagt hat kann ich nur empfehlen, denn die Artiekl/Bücher/Session von Jesper Johanson sind absolut Pflicht. Dort wird auch erklärt, dass ein saltet Hásh keine Alternative ist.

 

Sicherheit flächendeckend zu implementieren ist ein langer und gut geplanter Prozess.

Link zu diesem Kommentar

Moin,

 

Hash Attacken sind echt ein alter Hut nur so nebenbei! Man sollte nur noch Kerberos V5 zur Authentiizierung nutzen.

[...]

Dort wird auch erklärt, dass ein saltet Hásh keine Alternative ist.

 

sorry, aber knapp vorbei ist auch daneben.

 

AD legt Kennwörter als Hashes in seiner Datenbank ab. Darum geht es. Das hat mit dem Authentifizierungsprotokoll erst mal nichts zu tun. Auch im Fall von Kerberos ist eine Kennwortauthentisierung nötig, es sei denn man hat auf Smartcards o.ä. umgestellt.

 

Gruß, Nils

Link zu diesem Kommentar

Hi,

 

da möchte ich mich Nils anschließen - als kleiner Querverweis dazu sei noch die Datenschleuder #93 genannt, die auf Seite 34 auf das Problem (bei lokalen Konten) eingeht.

 

Im Grunde ist es aber das gleiche Problem in AD Umgebungen - dort muß der Zugriff auf die AD-Objekte bzw. konkret die jeweiligen Attribute / die Datenbank oder den LSASS-Prozess entsprechend möglich sein, was jedoch mit etwas Arbeit eines "Profis" theoretisch möglich ist. Die Registirerung ist auf DCs auch ein Thema, da dort das Konto des Wiederherstellungskontos gespeichert ist (lokale SAM).

 

Den LM-Hash zu deaktivieren ist also schon einmal eine gute Sache, das steigert die Sicherheit, selbst wenn der NTLM-Hash dann immer noch "gebrochen" werden kann - hier ist jedoch mehr Rechenpower bzw. Aufwand notwendig als beim LM-Hash. Starke Kennwörter bieten dann bei NTLM noch eine Sicherheitssteigerung, das Verschlüsseln der HDD bei DCs ist eine weitere Schutzmaßnahme (falls diese entwendet werden). Gleiches gilt natürlich auch für die Backups der Systeme.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

das habe ich oben schon geschrieben. ;)

 

Allein lange Kennwörter helfen jedoch nicht, das ist heutztage nur ein kleiner Stolperstein - LM-Hash hat kein "salt", wenn ich mich recht entsinne. Daher ist ein Angriff keine "große Sache" - Stichwort "rainbow tables" etc.

 

Zusätzlich helfen Dir längere Kennwörter bei LM-Hash auch recht wenig, da diese in mehrere Teile gesplittet werden, die wiederum "unabhängig" voneinander angegriffen werden können. Lediglich Kennwörter größer 16-Zeichen helfen da, jedoch wären dann Applikationen, die LM-Hash nutzen wollen, eh außen vor. Von daher kann man es also gleich Deaktivieren.

 

Eine Einzelmaßnahme ist jedoch nicht viel Wert, es muß immer ein Gesamtkonzept erarbeitet werden. Das Deaktivieren eines "schwachen Hashes" wie dem LM-Hash ist da nur eine Komponente.

 

Das Deaktivieren macht etwa wenig Sinn, wenn man danach nicht alle Kennwörter vom Computer- und Benutzerkonten ändert. Das vergessen meiner Erfahrung nach viele Unternehmen. Gerade bei Service-Accounts verzichten viele Firmen darauf - und genau diese Accounts sind recht gefährdet, denn der alte Hash ist demnach immer noch gültig, bis irgendwann vielleicht doch einmal eine Kennwortänderung erfolgt.

 

Viele Grüße

olc

Link zu diesem Kommentar
Lediglich Kennwörter größer 16-Zeichen helfen da, jedoch .....

Kennwörter länger als 14 Zeichen ;) Für den LM-Hash werden die Kennwörter in 2x 7 Zeichen lange Chunks gesplittet.

 

Allein lange Kennwörter helfen jedoch nicht, .....

Das stimmt haargenau, gilt aber auch für NT-Hashes. Wenn man die Hashes hat, ist man bereits gehackt! :eek:

Ein "guter" Angreifer braucht die Hashes nicht mehr Hacken, der startet den Angriff nur allein mit dem Hash. Habe ich auch schon ein paar mal demonstriert. Dabei kann das Kennwort auch volle 127 Zeichen lang sein. Das würde ich nie cracken können, aber authentifizieren kann ich mich damit problemlos.

 

Von daher ist die Deaktivierung des LM-Hashes zwar eine klitzekleine Maßnahme, mehr aber auch nicht. Wichtiger ist: es erst dar niemand an die Hashes kommen, was aber im Bereich der lokalen Rechner sehr schwierig bis gar nicht zu verwirklichen ist.

 

Wie olc es sagte, ein Security-Konzept diesen Bereich betreffend muss umfassend und weitreichend sein, ansonsten sind Aktionen wie Deaktivieren von bestimmten Hashes oder Unterbinden von bestimmten Authentifizierungsverfahren unnützer Aktionismus.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...