Читать статья по информатике, вычислительной технике, телекоммуникациям: "Старые протоколы Windows: как с ними бороться" Страница 2


назад (Назад)скачать (Cкачать работу)

Функция "чтения" служит для ознакомления с работой. Разметка, таблицы и картинки документа могут отображаться неверно или не в полном объёме!

в семействе 9х никак не получится.

Windows NT

Как уже было сказано ранее, изначально ОС этого семейства работали так же ,как и 9х. Однако в SP4 появился NTLMv2.

Windows 2000/XP/2003

Ясно, что эти системы уже работают со всеми четырьмя протоколами - LM, NTLM, NTLMv2 и Kerberos. При работе с AD и компьютерами, входящими в AD, используется Kerberos. В рабочих группах в ход вступает NTLMv2, ну а для работы с устаревшими операционками уже используется LM и NTLM.

Борьба со стариной

LM/NTLM

Если вы еще не поняли, то все компьютеры в вашей Windows-сети поддерживают эти два устаревших протокола. Что можно с ними сделать?

1. По умолчанию LM и NTLM хеши посылаются по сети в процессе аутентификации, причем это случается даже когда ХР коннектится, например, к домену на Windows 2003. Для выключения лезем в Group Policy Object и запрещаем передачу хешей по сети:

В политике возможен выбор из 6 вариантов:

Самый безопасный вариант - последний.

2. Следующая опция запретит генерацию устаревших хешей. По умолчанию се компьютеры для обратной совместимости генерируют LM и NTLM хеши, даже если они и не требуются.

Немедленного эффекта эта опция не даст, она сработает только при изменении пароля.

3. Если все же в вашей сети есть устройства или компьютеры работающие с LM можно обойти хранение хеша применением пароля длиннее 14 символов. В таком варианте хеш не сохраняется.

NTLMv2

Совсем запретить использование протокола пока невозможно, так как он используется для работы групп в Windows 2000 и более новых операционных системах. Однако, как обычно, возможно предпринять ряд шагов для защиты от взлома хешей.

1. Чем длиннее и сложнее пароль тем лучше, правило по умолчанию.

2. Надо заставить пользователей чаще менять пароли:

3. Предложите использовать фразы вместо пароля. Согласитесь, что запомнить @3*()!b& труднее, чем "Я живу в Москве". К тому же использование фраз обезопасит от перебора, ибо брутфорсом в приемлемые сроки никакой пароль не сломать.

Мораль

Пароли для защиты сети необходимы, однако не все пароли одинаково полезны. Системному администратору необходимо следить за применением различных средств аутентификации и объяснять пользователям полезность длинных паролей и периодической их смены.

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://www.nodevice.ru/



Интересная статья: Быстрое написание курсовой работы