Vô hiệu hóa LMHash

Một phần của tài liệu Ứng dụng truyền thông và an ninh thông tin harding win2k3 (Trang 39)

III. Windows2003 Authentication

16. Vô hiệu hóa LMHash

Giờ đây bạn đã biết được những yếu điểm của LM hash. Một điều tốt chúng ta là không phải sử dụng chúng nữa. Các hệ điều hành Windows hiện đại có thể được cấu hình để sử dụng

NTLMv2 độc quyền với một vài thay đổi registry.

Bạn có thể vô hiệu hóa kho lưu trữ LM hash bằng cách duyệt đến

HKLM\System\CurrentControlSet\Control\LSA trong registry. Khi đã ở trong đó, hãy tạo một khóa DWORD có tên NoLMHash, với giá trị bằng 1.

Một bước nữa là vô hiệu hóa thẩm định LM trong toàn mạng. Lần nữa, bạn duyệt đến

HKLM\CurrentControlSet\Control\LSA. Khi ở trong đó, tìm đến khóa có tên

LMCompatibiltyLevel. Giá trị của nó có thể được thiết lập bằng 3 cho mục đích gửi đi thẩm định

NTLMv2, đây là cách thức tuyệt vời cho các máy khách trong miền. Ngoài ra có thể thay đổi giá trị của nó thành 5, đây là giá trị được sử dụng để cấu hình thiết bị nhằm chấp nhận các yêu cầu thẩm định, tuyệt vời cho các máy chủ.

Chí có một trường hợp mà ở đó các thiết lập này có thể gây ra vấn đề là trường hợp mà trong đó bạn có các máy tính Windows NT 4 và phiên bản cấp thấp hơn trong mạng. Chính vì vậy, nếu vẫn có các hệ thống đó trên mạng, hãy loại bỏ chúng là lời khuyên bảo mật tốt nhất mà chúng tôi đưa đến bạn.

17. Sử dụng SYSKEY

SYSKEY là một tính năng Windows có thể được sử dụng để add 128 bit mã hóa mở rộng vào file SAM. SYSKEY làm việc bằng cách sử dụng một khóa của người dùng được sử dụng để mã hóa file SAM. Khi kích hoạt, SYSKEY không thể bị vô hiệu hóa.

Bạn cần lưu ý rằng SYSKEY chỉ bảo vệ bản thân file SAM, bảo vệ nó trống lại hành động copy. SYSKEY không bảo vệ chống lại các công cụ trích rút các hash từ bộ nhớ đang chạy, chẳng hạn như Cain và fgdump.

Một phần của tài liệu Ứng dụng truyền thông và an ninh thông tin harding win2k3 (Trang 39)

Tải bản đầy đủ (DOCX)

(52 trang)
w