31-05-04 12:31
[MS Windows] Sigurna autentikacija u Windows okruženju
piše DUBRAVKO NARANDŽIĆ
Microsoft-ovi operativni sustavi koriste nekoliko autentikacijskih protokola. Dok se noviji Kerberos protokol smatra sigurnim (naravno, pod uvjetom da koristite "jake" lozinke), stariji protokoli imaju određenih slabosti. Problem opisan u ovom članku uvršten je na listu od 20 najvećih ranjivosti računalnih sustava (odnosno 10 najvećih ranjivosti sustava u Windows okruženju) prema SANS-u i FBI-u (www.sans.org).
Zloupotreba Lan Manager hasha
Lan Manager (LM), poznat iz starijih Microsoft-ovih operativnih sustava, podržan je i u sustavima Windows 2000, 2003 i XP zbog kompatibilnosti, a došao je na zao glas zbog načina na koji stvara otisak lozinke, hash . Hash je niz znakova koji pri autentikaciji služi za uspoređivanje unesene lozinke i one pohranjene u imeniku ili bazi (npr. Acitive Directory-u ili SAM-u). LM hash je prema današnjim standardima problematičan zbog nekoliko razloga. LM sve slovne znakove, tj. mala i velika slova u lozinci pretvara u velika slova prije nego što iz lozinke generira hash. Ne samo to: LM lozinku koja se sastoji od više od sedam znakova dijeli na dva dijela iz kojih generira dva slaba hasha. Imate li lozinku od 12 znakova, prvih sedam poslužit će za generiranje jednog, a sljedećih pet za generiranje drugog dijela hasha. LM hash se po defaultu pohranjuje u SAM bazi na tvrdom disku računala ili u Active Directory imeniku. Upravo se tu krije ranjivost Microsoft-ovih operativnih sustava. Potencijalni napadač u određenim situacijama može doći do pohranjenog hasha, a tada će lako uz pomoć suvremenih programa za razbijanje lozinki doći do nje. Uočite pri tome da su lozinke koje se sastoje od npr. osam ili devet znakova posebno osjetljive: drugi dio hasha (koji se generira iz znakova koji dolaze nakon prvih sedam, uključujući i razmake koji služe za dopunjavanje - padding) relativno je osjetljiv, a kad se odgonetnu ti znakovi, prvih sedam znakova može se i pretpostaviti. Tako napadač za relativno kratko vrijeme može "razbiti" lozinku.
Ukoliko zbog kompatibilnosti sa starijim operativnim sustavima (Microsoft Windows 95/98) ne morate podržavati Lan Manager autentikacijski protokol na vašoj mreži, preporuka je onemogućiti pohranjivanje LM hasha na računalima. To se može učiniti korištenjem Local Group Policy-a u operativnom sustavu Windows XP i 2003, odnosno Group Policy-a u Active Directory-u Windows-a 2003, uređivanjem Registry-a u sustavu Windows 2000 (SP2 ili kasniji) ili korištenjem lozinke dulje od 15 znakova. Kako ćete to učiniti opisano je sljedećom procedurom:
Windows XP i 2003
1. U Group Policy-u proširite Computer Configuration, zatim Windows Settings, Security Settings, Local Policies, i Security Options.
2. U popisu stavki na desnom dijelu prozora dva put kliknite Network security: Do not store LAN Manager hash value on next password change.
3. Pritisnite Enabled i zatim OK.
Windows 2000 SP2 i kasniji
1. Pokrenite Regedt32.exe.
2. Pronađite sljedeći ključ i pritisnite mišom na njega:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
4. Na izborniku Edit pritisnite Add Key, upišite NoLMHash, te pritisnite ENTER.
5. Zatvorite Regedt32.
6. Restartajte računalo i promijenite lozinku kako bi omogućili nove postavke.
Lozinke dulje od 15 znakova
Najjednostavnija metoda da onemogućite zloupotrebu LM hasha jest da koristite lozinke dulje od 15 znakova. Vrijednost LM hasha generiranog iz takve lozinke ne može se iskoristiti za autentikaciju korisnika.
Problemi koji se mogu javiti
Ako u mrežnom okruženju koristite Windows 95, 98 ili neki od operativnih sustava drugih proizvođača (Macintosh) mogu se javiti problemi zbog toga što ti operativni sustavi ne podržavaju "jače" autentikacijske protokole: korisnici kojima je onemogućeno pohranjivanje LM hasha neće se moći spojiti na računala sa Windows 95/98 operativnim sustavom. Također, korisnici Windows 95/98 operativnih sustava u određenim situacijama neće se moći autenticirati na server ili Domain Controler, neće moći promijeniti lozinku ili će im se zaključati korisnički račun. Korisnici Macintosh Outlook 2001 neće moći pristupiti mailboxu na Microsoft Exchange serveru. Ukoliko želite onemogućiti pohranjivanje LM hasha te i dalje koristiti nekompatibilne operativne sustave i aplikacije, navedene probleme možete izbjeći korištenjem Directory Services Client-a. Više o tome pročitajte na niže navedenim Internet adresama.
Reference
Više o ovoj temi i sigurnosti autentikacije u Windows okruženju možete pročitati u Microsoft Knowledge Base članku 299656 (http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656&) i na sljedećim adresama:
http://www.winnetmag.com/Windows/Article/ArticleID/15893/15893.html
http://atomic.quilogy.com/default.aspx?storyid=pwd2
http://www.sans.org
Oslobađanje od odgovornosti
Postupci opisani u ovom članku, osobito dijelu koju govori o uređivanju Registry-a, mogu dovesti do neželjenih posljedica. Zbog toga se preporučuje dodatna pažnja pri provođenju, te dodatno informiranje o mogućim posljedicama kao i načinima na koji ih se može ublažiti. Naravno, uvijek se preporučuje i korištenje "jakih", kompleksnih lozinki.
|