730807

Passwörter: Mehr Sicherheit ohne LM-Hash

19.04.2007 | 11:32 Uhr |

Windows-Passwörter sind nicht wirklich sicher. Windows speichert sie zwar nicht im Klartext, sondern wandelt sie in eindeutigen, alphanumerischen Code um. Dabei berechnet es aus den Anwender-Passwörtern einen Hash-Wert (LAN Manager Hash oder kurz LM-Hash), der lokal abgelegt wird. Die Methode ist aber so schlecht umgesetzt, dass ein Angreifer auf einem aktuellen PC in Minuten daraus das Passwort berechnen kann. Tools wie Ophcrack, Cain & Abel oder Rainbow Crack nutzen die Schwachstelle aus und sind auch von wenig erfahrenen Benutzern zu bedienen. Wir zeigen Ihnen, wie Sie dieses Problem lösen können.

Anforderung:

Profi

Zeitaufwand:

Mittel

Problem:

Windows-Passwörter sind nicht wirklich sicher. Windows speichert sie zwar nicht im Klartext, sondern wandelt sie in eindeutigen, alphanumerischen Code um. Dabei berechnet es aus den Anwender-Passwörtern einen Hash-Wert (LAN Manager Hash oder kurz LM-Hash), der lokal abgelegt wird. Die Methode ist aber so schlecht umgesetzt, dass ein Angreifer auf einem aktuellen PC in Minuten daraus das Passwort berechnen kann. Tools wie Ophcrack, Cain & Abel oder Rainbow Crack nutzen die Schwachstelle aus und sind auch von wenig erfahrenen Benutzern zu bedienen.

Lösung:

Der Grund für dieses Sicherheitsproblem liegt bei der Abwärtskompatibilität. In Windows 2000/XP/2003 wird eine wesentlich sicherere Methode eingesetzt, die Passwörter zu speichern – der NTLM-Hash (NT LAN-Manager). Parallel dazu wird aber auch der LM-Hash geschrieben.

Im Netzwerk könnten sich schließlich noch Clients mit Windows 95/98/ME oder ältere Apple-Computer finden, die diese Information benötigen. Wenn das bei Ihnen nicht der Fall ist, können und sollten Sie dieses Leck auf jeden Fall stopfen.

Bei allen Systemen ab Windows 2000 mit Service Pack 2 lässt sich die automatische Erzeugung des LM-Hashs nämlich vollständig abschalten. Übrig bleibt lediglich der besser verschlüsselte NTLM-Hash. Melden Sie sich dazu bei jedem Client mit Admin-Rechten an, und starten Sie Regedit.

Öffnen Sie dann den Schlüssel

„Hkey_Local_Machine\System\CurrentControlSet\Controlsa“.

windows 2000: klicken sie in der menüleiste auf „bearbeiten, neu, schlüssel“, und geben sie dem neuen unterschlüssel den namen „nolmhash“.

windows xp/2003: hier müssen sie in der registry einen eintrag ergänzen. gehen sie auf „bearbeiten, neu, dword-wert“. dem neuen wert geben sie den namen „nolmhash“ und weisen ihm nach einem doppelklick den wert „1“ zu.

neues kennwort: damit der leicht angreifbare hash-wert aus der sam-datenbank (security account management) und damit auch vom system verschwindet, genügt es nicht, den registry-eintrag zu setzen und das system neu zu starten. erst wenn ein anwender sein passwort ändert, ist der alte gespeicherte lan-manager-wert auch wirklich keine gefahr mehr.

hinweis für admins: bei windows 2000, xp professional und server 2003 können sie sich den weg über die registry der clients sparen, indem sie eine gruppenrichtlinie festlegen. die einstellung findet sich im richtlinieneditor (start, ausführen, gpedit.msc) unter „computerkonfiguration, windows-einstellungen, sicherheitseinstellungen, lokale richtlinien, sicherheitsoptionen“. die option heißt dort „netzwerksicherheit: keine lan manager hashwerte für nächste kennwortänderung speichern“.

0 Kommentare zu diesem Artikel
730807