¿Por qué es vulnerable su empresa si se tiene compatibilidad con windows 9x?
Porque la compatibilidad de Windows 9x permite que en la SAM local (y del directorio activo) se almacenen dos tipos de hash: Hash LM (compatibles con windows 9x) y Hash NTLM. Las debilidades de LM permite que sea ‘crackeado’ en poco tiempo. (Ver cracking lm vs ntlm).
Puede que en su empresa no tengan ningún equipo 9x, pero Windows 2000, xp y 2003, TIENEN HABILITADOS POR DEFECTO la compatibilidad con windows 9x, y por lo tanto almacenan en la SAM tanto LM como NTLM.
¿Cómo evitar almacenar hashes LM?
Seguir las recomendaciones de microsot en su artículo:
Porque la compatibilidad de Windows 9x permite que en la SAM local (y del directorio activo) se almacenen dos tipos de hash: Hash LM (compatibles con windows 9x) y Hash NTLM. Las debilidades de LM permite que sea ‘crackeado’ en poco tiempo. (Ver cracking lm vs ntlm).
Puede que en su empresa no tengan ningún equipo 9x, pero Windows 2000, xp y 2003, TIENEN HABILITADOS POR DEFECTO la compatibilidad con windows 9x, y por lo tanto almacenan en la SAM tanto LM como NTLM.
¿Cómo evitar almacenar hashes LM?
Seguir las recomendaciones de microsot en su artículo:
http://support.microsoft.com/kb/299656 el cual practicamente dice:
- 1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
- 2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
- 3. Haga clic en Habilitado y después en Aceptar.
Visto en www.zettalife.com
No hay comentarios:
Publicar un comentario