Názory k článku
Vydána duhová tabulka pro prolomení Net-NTLMv1 v krátkém čase
-
BobTheBuilderStříbrný podporovatelNa Windows serverech to už docela dlouho by default povoleno není a musí se to explicitně zapnout. Ve W10 snad taky, W7 si nejsem jistý.
NTLMv1 vyžadovaly WinXP a pak nejedna síťová multifunkce, která měla sambu s dost dlouho default nastavením, zakazujícím vyšší verzi protokolu.
Když jsem to (po smrti posledních XP v síti) na serverech zakázal, museli jsme ty starší multifunkce překlopit na ftp a zbyli někteří uživatelé Linuxu, kteří měli neaktualizované smb.conf, ale tam to spravily 2 řádky. -
Povoleno znamená, že v tom LDAPu jsou doopravdy i ty staré LM hashe, tedy že ty hesla jsou efektivně zkrácena na 13 znaků max?
Jsem doteď vážně žil v tom, že u nových instalací někdy od 2003 je alespoň tohle zakázané a je tam jenom ta v2... která je teda taky příšerná, protože zase v LDAPu jsou MD4 nesolené hashe a NTLM to pak akorát s challengí prožene MD5kou, takže taky něco co patří spíše do devadesátek...
-
Ehm ... Get-ADReplAccount (pustis to as admin na DC) ... vrati ti to vsechny varianty hashu ktery tam jsou. Samo vcetne tech kratkych.
Tuhle je to vcetne samplu.
A neni to zdaleka jen o ntml, kerb ve widlich taky bydefault pouziva rc4, a zbavit se toho je pomerne silena operace s nejistym vysledkem a nutnosti primet uzivatele aby si opakovane menili hesla. (prej ... ale jen prej, to tak v 2k25 bydefault uz nebude, nevim, netestoval sem, to jeste neni ani k testovani pouzitelny ...)
-
Protoze to mas nejakou politikou vypnuty, rec byla o bydefault stavu.
Network security: LAN Manager authentication level Send NTLMv2 response only. Refuse LM & NTLM
atd
Jako bonus cca posledni 3 roky soudruzi z ms veci ve velkym rozbijej, pak je zase spravujou, vydavaj na to vsemozny opravy opravenych oprav ... a to vse proto, ze prakticky odjakziva widle a vsechny nejen ms produkdy prosazujou politiku, ze kdyz nejaky zabezpeceni, tak vzdy to nejhorsi dostupny.
Kuprikladu .NETti appky ti tls 1.2+ bez dalsiho nepouzijou. A kdyz si na widlich, i tech nejnovejsi, pokusis vypnout tls 1.2 (sak prece ms tvrdi, ze to umi 1.3 ....) tak ti ani nenabootujou.
-
Jako, já na tu politiku nesahal a trochu pochybuju, že z těch pár lidí co šlo okolo toho systému by na tohle sahali... ale úplně vyloučit to nemůžu :-)
Co se týče TLS - ano, u toho jsem se nasmál zrovna včera, když jsem tam chtěl doinstalovat ty powershell scripty abych to pustil. Nemohlo to nainstalovat nuget. Protože přímo ta stránka s repozitářem na doméně microsoft.com vynucuje jenom novější TLS, než to ten Server 2016 připustí. Nebo obráceně. To prostě člověk nevymyslí... :-)
ČLÁNKY DO MAILU