Para deshacerse de los hashes LM en las bases de datos SAM locales, se puede confiar en el famoso GPO NoLMHash
domain, que indica a los clientes que no almacenen los hashes de contraseña con el algoritmo LM localmente ("No almacene el valor hash de LAN Manager en la siguiente cambio de contraseña ").
Sin embargo, como lo menciona claramente la etiqueta de la política, no tiene un efecto inmediato en los hash que ya están almacenados en las bases de datos SAM de varios clientes. Por supuesto, cada usuario tendrá que cambiar su contraseña en las próximas semanas, y la política NoLMHash
se aplicará de manera que el hash LM de su nueva contraseña no se almacenará más, pero esto no es cierto para ningún otro usuario. que inició sesión en esa misma estación en el pasado (piense en el personal de TI, el soporte de la mesa de ayuda, el usuario que anteriormente era propietario de la misma computadora, etc.). Estas contraseñas nunca se volverán a cambiar en la misma estación de trabajo y, por lo tanto, aún son vulnerables a la reversión de hash de LM (¿o me perdí algo?). Incluso si estas contraseñas invertidas ya no son válidas debido a la política de rotación, un atacante probablemente podría encontrar fácilmente un patrón entre todos los usuarios (si un hash LM dado se invierte a, por ejemplo, "Colorado$04-2014"
y esta contraseña ha caducado, todavía hay una posibilidad de que la contraseña posterior de este usuario se haya establecido en algo como "Colorado$07-2014"
).
Mi pregunta es: ¿hay una manera (un comando, un script, lo que sea) para averiguar si todavía hay hashes LM almacenados en una computadora determinada? Dicho de otra manera, me gustaría asegurarme de que, en una computadora determinada, solo se almacenen los hashes NTLMv2.
¡Gracias por tu ayuda!