Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: UNITY
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ...
ارسال پیام خصوصی
امتیازات این مطلب
نکته: چگونه استفاده از LM Hash را در شبکه ها غیرفعال کنیم ؟
چه بخواهید و چه نخواهید ، چه باور کنید و چه نکنید !! هنوز در برخی از شبکه های مایکروسافتی از سیستم عامل های قدیمی مثل ویندوز 2000 ، ویندوز 98 ، ویندوز XP و حتی سرورهای 2000 و 2003 استفاده می شود. قبل از اینکه مکانیزم های جدید و امن تر نگهداری از Hash پسوردها در پایگاه داده SAM وجود داشته باشد ، این سیستم عامل های قدیمی از نوع نگهداری Hash یا در واقع الگوریتم Hashing ای به نام LM استفاده می کردند که بسیار از نظر امنیتی ضعیف و قابل نفوذ بود. در واقع به دلیل مکانیزم ضعیف نگهداری پسوردها در این نوع رمزنگاری ، این نوع رمزنگاری این روزها بایستی در شبکه ها بصورت کامل غیرفعال شوند ، هر چند سیستم عامل های جدید مایکروسافت به کلی بر روی NTLM Hash فعالیت می کنند اما به هر حال ما باید این نوع نگهداری را اساسا در شبکه غیرفعال کنیم ، دقت کنید که تنها یکی از آسیب پذیری های مرسوم در این نوع رمزنگاری این بود که براحتی از روی کاراکترهای Hash ای که ایجاد شده بود پسوردهای زیر 7 کاراکتر به راحتی قابل شناسایی بود ! برای غیرفعال کردن این نوع Hash در سیستم عامل های ویندوز XP و 2000 و 2003 سرور شما بایستی با استفاده از اعمال Policy ای به نام NoLMHash در تنظیمات Group Policy این قابلیت را غیرفعال کنید ، برای اینکار به مسیر زیر در Group Policy بروید :
1-Computer Configuration
2-Windows Settings
3-Security Settings
4-Local Policies
5-Security Options
6- Network security : Do not store LAN Manager hash value on next password change
با فعال کردن گزینه بالا چه توسط Group Policy شبکه و چه توسط Local Policy این نوع ذخیره سازی Hash در کامپیوترها غیرفعال می شود. برخی از دوستان اشاره می کردند که چرا باید به چنین چیز قدیمی با وجود سرورهای جدید توجه کنیم ! پاسخ مشخص است ! اگر بدانید که هنوز بسیاری از ادارات و سازمان های ما سرورهای ویندوز 2000 و 2003 و کلاینت های ویندوز XP دارند حتما ضرورت غیرفعال کردن این قابلیت را در ویندوز درک می کردید . امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید

نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
دیدگاه ها

هیچ دیدگاهی برای این مطلب ارسال نشده است

برای ارسال نظر وارد شوید.

Countdown