LM-Authentifizierung
Vorwort
Sie können mithilfe der LM-Authentifizierung Kompatibilität mit älteren
Betriebssystemen wie Windows 95/98 oder
Windows NT 4.0 Service Pack 3 oder früher herstellen. Es gibt zudem einige
ältere Anwendungen, die auf diese
Authentifizierungsmethode angewiesen sind.
So unterstützen etwa frühe Versionen des Netscape
Navigators nur die LM-Authentifizierung. Allerdings ist die
LM-Authentifizierung das schwächste und am leichtesten zu knackende Protokoll.
In einer Windows Server 2003
Umgebung sollten Sie die LM-Authentifizierung deswegen nicht einsetzen. Aktualisieren
Sie alle Computer
die auf das LM-Protokoll angewiesen sind um diese Sicherheitslücke zu schließen.
Solche ältere Computer sind
ohnehin nicht mehr für den täglichen Betrieb heutzutage geignet.
Speichern von LM-Kennwörtern
Ein wesentlicher Grund für die Nichtverwendung des LM-Protokolls ist die
Tatsache, dass wenn ein Kennwort von
einem Benutzer eingerichtet und für die Verwendung mit LM gespeichert wird,
dieses Kennwort in einem LMHasch
konvertiert wird. Der LM-Hash enthält Benutzernamen und Hashes der entsprechenden
Benutzerkennwörter.
Ein Hash ist eine Form der unidirektionalen Verschlüsselung. Wenn ein Client
versucht, einen Benutzer mithilfe der
LM-Authentifizierung zu authentifizieren, dann wird nicht das Kennwort selbst,
sondern nur der Hash im Netzwerk übertragen.
Der Server kann den Benutzer nur dann authentifizieren, wenn der LM-Hash auf
ihm gespeichert ist.
Der LM-Hash weist einige Schwächen auf, die ihn für Angriffe anfälliger
machen als den NT-Hash.
Er wird nur in Großbuchstaben
gespeicher
Ist auf eine Länge
von 14 Zeichen beschränkt
Wird vor dem Hashing
in zwei getrennte Komponenten unterteilt
Wenn ein gewiefter Angreifer Zugriff auf die LM-Hashes einer großen Anzahl
von Benutzern erhält, besteht eine hohe Wahrscheinlichkeit, dass er das
Kennwort mindestens eines Benutzers ermitteln kann.
Die Folgende Tabelle zeigt Beispiele für Kennwörter und die zugehörigen
LM-Hashes die gespeichert würden:
| Kennwort | LM-Hash |
| tiger | C6E4266FEBEBD6A8AAD3B435B51404EE |
| 12345 | AEBD4DE384C7EC43AAD3B435B51404EE |
| SECTION | D5F34F69EB965B8E3AAD3B435B51404EE |
| SYNERGY | CE910CFA90B123F9AAD3B435B51404EE |
| Player24 | DD4B68A4219ED226FF17365FAF1FFE89 |
Betrachten Sie die Tabelle einmal genauer. Sie werden bemerken, dass bei allen
Kennwörtern mit weniger als acht Zeichen
die letzen 16 Zeichen des LM-Hashes identisch sind. Während der Berechnung
des Hashes wird das ursprüngliche
Kennwort in zwei Ketten mit je 7 Zeichen aufgeteilt. Umfasst das Kennwort maximal
7 Zeichen, dann ist die zweite
Kette mit sieben Zeichen Null. Das führt dazu, dass die lezten 16 Zeichen
des Hashes eine bekannte Folge aufweisen, aus
der der Angreifer ersehen kann, dass das Kennwort weniger als acht Zeichen umnfasst.
Das Wissen, dass es sich um
ein kurzes Kennwort handelt, verringert den Arbeitsaufwand des Angreifers bei
der Ermittlung des ursprünglichen Kennworts
erheblich. Diese Methode der Kennwortspeicherung macht den LM-Hash anfällig
für Angriffe, deren Ziel die Aufdeckung des
unverschlüsselten Kennworts ist.
Schauen Sie sich im Internet einmal nach Tools wie zB. @Stake LC um. Diese Tools
können Sie auf Ihrem Rechner installieren
und anschließend mit wenigen Klicks die Kennwörter auf dem Gerät
entschlüsseln. Sie werden erstaunt sein wie schnell
Ihr Kennwort das vermeindich "sicher" ist entschlüsselt ist.
Testen Sie mit solchen Tools die Stärke Ihrer Kennwörter
damit Sie vor den Angreifern wissen welche Kennwortregeln Sie in Ihrer Windows
Server 2003 Umgebung durchsetzen
wollen.
Deaktivieren von LM-Kennwörtern
Windows Server 2003 ermöglicht Ihnen die Deaktivierung des LM-Hashes, um
die der LM-Authentifizierung eigenen
Sicherheitslücken zu beseitigen. Wenn in Ihrem Netzwerk aller-dings Clients
vorhanden sind, die unter Windows 3.1
oder der ersten Version von Windows 95 laufen und Verbindungen mit einem Computer
unter Windows Server 2003
herstellen müssen, dann dürfen Sie den LM-Hash nicht deaktivieren.
Besser ist jedoch, Sie schauen dass Sie
diese Steinzeit-Rechner schnellstmöglich los werden.
Alternativ können Sie die verwendung der LMHash auf Basis der einzelnen
Konten deaktivieren.
Hierzu müssen Sie einen der folgenden Schritte durchführen:
Sie verwenden Kennwörter mit einer Länge von mindestens 15 Zeichen
Sie aktivieren den Registrierungswert "NoLMHash" lokal auf einem Computer
oder durch verwenden einer Sicherheitsrichtlinie
Sie verwenden spezielle ALT-Zeichen in Kennwörtern. ALT-Zeichen fügen
Sie in einem Kennwort ein, indem Sie die ALT-Taste drücken, den ALT-Code
auf dem numerischen Tastenfeld eingeen und die ALT-Taste dann wieder loslassen.
Es sind nicht alle ALT-Codes zulässig. Sie sollten sich jedoch nur merken,
dass dies der Falls ist und ggf. im
Internet Recherchieren sollten Sie diese Methode verwenden wollen.
Eine weitere Methode besteht in der Möglichkeit per Gruppenrichtlinie:
Computerkonfiguration->Windows Einstellungen->Sicherheitseinstellungen->Lokale
Richtlinien->Sicherheitsoptionen
Hier legen Sie folgende Einstellung auf "aktiviert":
Netzwerksicherheit: "Keine LAN Manager Hashwerte für nächste
Kennwortänderung speichern"
Dies entspricht dem Registry Eintrag "NoLMHash" Siehe auch MS Knowledgebase
Artikel 299656
Sie können in den Sicherheitseinstellungen ebenso die Verwendung von LM,
NTLMv1, NTLMv2, Kerberos beschränken.
Dazu sehen Sie sich die Einstellung "Netzwerksicherheit:LAN Manager-"Authentifizierungsebene
in den Sicherheitseinstellungen an.
Informationen über die Möglichen Einstellungen bringt der MS Knowledgebase
Artikel 823659
Erstellt von: Haßlinger Stefan
Im: Jahr 2006