۱۰.۱۷.۱۳۸۷

رمزهای عبور : امنیت بیشتر

رمزهای عبور ویندوز واقعا ایمن نمی‌باشند. ویندوز این رمزها را به حالت عادی ثبت نمی‌كند. بلكه ابتدا آنها را ابتدا به كدهایی تبدیل كرده و سپس ذخیره می‌كند. در این میان از رمزهای عبور كاربر یك ارزش hash درست می‌كند كه به صورت محلی ذخیره می‌گردد.

● مشكل:
رمزهای عبور ویندوز واقعا ایمن نمی‌باشند. ویندوز این رمزها را به حالت عادی ثبت نمی‌كند. بلكه ابتدا آنها را ابتدا به كدهایی تبدیل كرده و سپس ذخیره می‌كند. در این میان از رمزهای عبور كاربر یك ارزش hash درست می‌كند كه به صورت محلی ذخیره می‌گردد. اما متاسفانه این روش به قدری ضعیف می‌باشد كه یك مزاحم تنها در چند دقیقه در كامپیوترهای جدید رمز را پیدا می‌كند. ابزارهایی مانند Cain & Abel ،ophcrack و Rainbow Crack از این نقطه ضعف استفاده می‌كنند و حتی اشخاصی كه تجربه كامپیوتری زیادی ندارند می‌توانند از آنها استفاده كنند.
● راه حل:
این مشكل امنیتی به علت سازگاری مسیر می‌باشد. در ویندوز ۲۰۰۰، ایكس‌پی، ۲۰۰۳ از روش مطمئن‌تری استفاده می‌شود و آن هم NTLM-Hash می‌باشد البته علاوه بر آن از LM-Hash نیز استفاده می‌گردد. در شبكه ممكن است هنوز كلاینت‌هایی با ویندوز ME/۹۸/۹۵ یا كامپیوترهای اپل قدیمی‌تر پیدا شود كه به این اطلاعات احتیاج داشته باشند.
اگر این مسئله در مورد شما صدق نمی‌كند بهتر است كه این شكاف را از میان بردارید.
در تمامی سیستم‌عامل‌ها از ویندوز ۲۰۰۰ به بعد با SP۲ امكان از كار انداختن اتوماتیك LM-Hash وجود دارد. پس تنها چیزی كه باقی می‌ماند كلید NTLM-Hash می‌باشد. برای این كار به عنوان Admin وارد شوید و Regedit را اجرا كنید.
سپس كلید زیر را باز كنید:
HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcotrolsa
▪ ویندوز ۲۰۰۰:
در نوار ابزار گزینه‌های Edit->New->Key را برگزینید و به زیر كلید جدید نام nolmhash را بدهید.
▪ ویندوز ۲۰۰۳/ ایكس‌پی:
در اینجا باید در رجیستری گزینه‌ای را كامل كنید. ابتدا گزینه‌های Edit->New->DWORD->Value را انتخاب كنید. به ارزش جدید، نام nolmhash را بدهید و سپس ارزش عددی ۱ را پس از دوبار كلیك كردن به آن بدهید.
▪ رمز عبور جدید:
برای اینكه ارزش hash از سیستم و ازبانك اطلاعاتی Security Account Management) SAM) به صورت كامل پاك شود این تنها كافی نخواهد بود كه گزینه رجیستری را ایجاد كرده و سیستم را Restart كنید بلكه ابتدا وقتی این رمز واقعا بی خطر خواهد شد كه كاربر رمز خود را عوض كند.
ـ نكته‌ای برای admins:
در ویندوز ۲۰۰۰، Xp Professional و سرور ۲۰۰۳ می‌توانید از مسیر طی شده در رجیستری صرفنظر كنید، برای این كار باید «حقوق گروهی» را تشكیل دهید.
تنظیمات مربوط به این قسمت را توسط Start->Run->gpedit.msc می‌توانید تغییر و یا معین كنید. گزینه‌های زیر را برگزینید:
Computer Configuration->Windows->Settings->Security->Settings->Lokal Policy->Security Options
در اینجا به گزینه‌ای برخواهید خورد كه با انتخاب آن مشكل درست شده كاملا برطرف خواهد شد.
Network Security: Do not Store LAN manager hash- value on next password - change
ارسال شده توسط محمد در ۲۰:۱۸

هیچ نظری موجود نیست:

ارسال یک نظر

اشتراک در: نظرات پیام (Atom)
http://up.iranblog.com/images/0z5dgraxwa4j49a5ts77.gif http://up.iranblog.com/images/gv83ah5giec9g8jkopmc.gif