Inicio > Seguridad > Proteger contraseñas en Windows

Proteger contraseñas en Windows

martes, 3 de marzo de 2009 Dejar un comentario Ir a comentarios

 

Ya hemos visto que cuando Windows almacena las contraseñas de los usuarios en los archivos SAM o en el Active Directory, estas no están en texto en claro como a muchos les gustaría, sino que estas aparecen cifradas en algo que se conoce como Hash. De hecho en un configuración típica nos vamos a encontrar por norma con dos Hashes. Una LM (Lan Manager) y una NTLM (Windows NT).

Como ya hemos visto, romper una Hash LM es relativamente fácil si la contraseña no es muy, muy, muy…. complicada. En cambio con la Hash NTLM es otra cosa.

Entonces, ¿ porque Windows almacena la Hash LM ?. La respuesta es para mantener compatibilidad con las versiones anteriores a Windows 2000 (95, 98 Milenium…).
.

Si este no es nuestro caso y la red es formado por maquinas con Windows 2000, XP o superiores (2003, 2008…), lo mejor que podemos hacer si queremos evitarnos algún que otro problemilla es deshabilitar el almacenamiento de la hash LM.

Si disponemos de un Controlador de Dominio lo podemos realizar de una forma sencilla a través de las Directivas de Grupo.

Vamos a la siguiente opción del menu:

Herramientas Administrativas – Configuración del equipo – Configuración de Windows- Configuración de seguridad-Directivas locales- Opciones de seguridad

Doble-click en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña, y habilitar la opción

LSA

Si no disponemos de un controller también lo podríamos realizar a través de las Directiva de grupo local.

Si somos de los que nos gusta enredar con el registro debemos ejecutar regedit (Inicio-Ejecutar) e irnos a la siguiente rama del registro :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Nuevo – NoLMHash (Le asignamos el valor 1)

Ahora solo nos queda reiniciar el equipo para que se actualice la configuración.

Comentar que también solventaremos este problema si usamos contraseñas con una longitud igual o superior a 15 caracteres. En estos casos la hash de LM que almacena Windows no es valida para autenticar al usuario.

El problema en estos casos es dejar el ordenador accesible al control de gente con no muy buenas intenciones. La gente puede llegar a ser muy retorcida si se lo propone.

Por ejemplo imaginar que os dejáis el ordenador abierto sin bloquear. Alguien podria aparecer de la nada y hacer muchas cosas….

Hay varias cosas que hemos podido aprender. La primera es controlar lo que puede pasar con nuestro ordenar y siempre que no estemos delante del mismo bloquear la session.

Modificar la bios para que nunca arranque desde un CD y proteger la misma con un contraseña, aunque sabemos que esto tampoco es santo remedio como se explica en el blog de Txipi.

También podemos cifrar nuestro disco EFS (Encripted File System) con lo cual empezaríamos a tener algún que otro problemilla.

Al final sabemos que no existe nada 100% seguro, pero cuantas mas zancadillas podamos poner y dependiendo del interés de quien intente acceder, podemos llegar a tener mas o menos suerte.

Microsoft
Txipi

Enviar a un amigo: Share this page via Email
Categories: Seguridad Tags: , ,
  1. Sin comentarios aún.
  1. Sin trackbacks aún.