Hashes NTLM / LM en el controlador de dominio

Navega tus respuestas
3

Me he dado cuenta de que al extraer los hashes de contraseña de un controlador de dominio (usando el auditor proactivo de contraseñas de Elcomsoft) a veces obtengo hashes LM y NTLM, y otras veces solo obtengo hashes NTLM.

Observo que los hashes NTLM + LM (las cuentas que contienen ambos conjuntos) son órdenes de magnitud recuperadas más rápido que los hashes que solo son NTLM.

Tengo curiosidad por saber por qué este es el caso?

Entiendo que LM es el más antiguo y el más débil de los dos, pero no entiendo por qué LM y NTLM se almacenan en estos escenarios.

Más importante aún, dado que parece que los hashes NTLM son la opción más segura, ¿cómo puedo imponer NTLM solo y eliminar los hashes LM existentes para los usuarios?

    
pregunta NULLZ 20.04.2014 - 08:44
fuente

2 respuestas

4

Hay un artículo bastante bueno de Microsoft KB sobre este tema exacto.

Básicamente, LM se usa para la compatibilidad con clientes más antiguos. En concreto, Windows 98 y anteriores. Si no tiene ningún cliente antiguo en la red, es probable que la causa de ambos hash sea que la longitud de la contraseña es de < 15 caracteres.

  

Cuando establece o cambia la contraseña de una cuenta de usuario a una contraseña   que contiene menos de 15 caracteres, Windows genera tanto una LAN   Administrador de hash (hash de LM) y un hash de Windows NT (hash de NT) del   contraseña.

Parece que la razón de esto se debe a las limitaciones de hashing de LM y no a la seguridad.

  

En el caso de que la contraseña del usuario tenga más de 15 caracteres,   el host o el controlador de dominio no almacenarán el hash LM para el usuario;   La respuesta LM no se puede utilizar para autenticar al usuario en este caso.   Todavía se genera una respuesta y se coloca en el campo Respuesta LM,   utilizando un valor nulo de 16 bytes (0x0000000000000000000000000000000000) como   LM hash en el cálculo. Este valor es ignorado por el objetivo.

Se recomienda deshabilitar los hashes LM ya que el protocolo está muy dañado como sugeriste. Para aquellos que no lo saben, algunos de los problemas con LM incluyen:

  • Las contraseñas no distinguen entre mayúsculas y minúsculas.
  • La contraseña se divide en 7 caracteres y se hash por separado, lo que hace que la fuerza bruta sea trivial.
  • Las contraseñas están limitadas a un máximo de 14 caracteres de longitud.

Hay un par de métodos para eliminar hash de LM enumerados en el artículo de KB que mencioné, citaré el método de GPO en caso de que el enlace se estropee.

Método 1: implemente la política de NoLMHash mediante el uso de la política de grupo

Para deshabilitar el almacenamiento de hashes LM de las contraseñas de un usuario en la base de datos SAM de la computadora local mediante el uso de la Política de grupo local (Windows XP o Windows Server 2003) o en un entorno de Active Directory de Windows Server 2003 mediante el uso de la Política de grupo en Active Directory ( Windows Server 2003), siga estos pasos:

  1. En la Política de grupo, expanda Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Políticas locales y, a continuación, haga clic en Opciones de seguridad.
  2. En la lista de políticas disponibles, haga doble clic en Seguridad de red: no almacene el valor de hash de LAN Manager en el próximo cambio de contraseña.
  3. Haz clic en Activado y luego haz clic en Aceptar.
respondido por el David Houde 20.04.2014 - 11:46
fuente
2

Como seguimiento a la respuesta de David, quería señalar este artículo (no puedo agregar un comentario): enlace

Muestra que incluso cuando a los clientes se les dice que no almacenen los hash de LM en la base de datos SAM, seguirán guardados en la memoria y se pueden volcar en un archivo.

    
respondido por el dan0xii 03.07.2014 - 12:35
fuente

Lea otras preguntas en las etiquetas

¿Es AES (Rijndael) más rápido que Blowfish? ¿Cómo cifrar la unidad de disco duro completa sin ninguna solicitud de contraseña?