LCP www.lcpsoft.com a.

Fungsi LCP LCP adalah sebuah software yang berfunsi untuk pemulihan dan audit Password pada Microsoft Windows NT/2000/XP/2003. Sandi audit & alat recovery untuk Microsoft Windows NT/2000/XP/2003. Meskipun dapat menyebabkan PC Anda untuk menjalankan sedikit lambat, program ini efektif pulih password user lupa untuk sistem Windows Anda. Antarmuka fungsional LCP adalah cukup mudah digunakan dan dimengerti. Program ini menggunakan beberapa password-recovery teknik, seperti kekerasan, hibrida, dan serangan kamus, dengan cepat dan akurat memulihkan password administrator hilang. Untuk meningkatkan waktu pengambilan, Anda mengatur panjang minimum dan maksimum karakter, karakter set (huruf, angka, dan karakter khusus), dan berbagai kombinasi. Pertama mencoba serangan kamus bila Anda telah menggunakan kata yang bermakna untuk password Anda. Anda juga dapat menggunakan kamus lainnya dan periksa semua kombinasi huruf kecil dan huruf besar mungkin. Kami melihat penurunan sistem selama sesi pemulihan, tetapi LCP cepat dan akurat pulih password administrator kami. Untuk pengguna yang telah lupa password login Windows mereka, program ini freeware merupakan solusi yang layak.

b. Jaringan yang di butuhkan  Menggunakan root register  Menggunakan Syskey sebagai tambahan mengenkripsi hash password dari account pengguna  Built-in sniffer LC5 c. Langkah -langkah audit dan pemulihan password di Windows NT/2000/XP/2003 Windows NT/2000/XP/2003 sistem operasi menjaga password mereka ke dalam bentuk terenkripsi yang disebut "hash". Password tidak dapat diambil langsung dari hash. Untuk memulihkan password kita perlu untuk menghitung hash dengan password yang mungkin dan membandingkannya dengan hash yang ada. Audit meliputi pemeriksaan Password cara yang mungkin untuk mengambil informasi account pengguna. Hasil pemulihan password password dalam bentuk kasus-sensitif. 1. Mendapatkan hash password

Ada beberapa cara untuk mendapatkan hash password, tergantung pada lokasi dan akses yang ada. Hash password dapat diperoleh dari file SAM atau cadangan, langsung dari registri komputer lokal atau remote, dari Direktori registri atau Aktif di komputer lokal atau remote dengan cara injeksi DLL, dari sniffer jaringan. y Mendapatkan password hash dari file SAM

Akun pengguna, yang juga berisi nama pengguna dan password mereka, disimpan dalam registri Windows dan persis NT/2000/XP/2003 dalam file SAM (Security Account Manager). File ini dapat ditemukan pada disk di% SystemRoot% \ system32 \ config direktori, darurat perbaikan disk atau pada backup tape. Tidak mungkin untuk mendapatkan akses ke file SAM yang terletak di% SystemRoot% \ system32 \ config direktori, sedangkan Windows NT/2000/XP/2003 berjalan karena digunakan oleh sistem operasi. Jika ada akses fisik ke mesin, adalah mungkin untuk menyalin file SAM dengan copy sistem operasi boot atau sistem operasi lain. Jika Windows NT/2000/XP/2003 diinstal ke disk dengan sistem file NTFS, mengakses dari MS-DOS atau Windows 95/98/ME akan memerlukan software tambahan. Dalam MS-DOS dapat digunakan program-program seperti NTFSDOS dan NTFSDOS Profesional, di Windows 95/98/ME - NTFS untuk Windows 98 (oleh Mark Russinovich dan Bryce Cogswell). Mengakses dari sistem operasi Linux akan membutuhkan dukungan NTFS dihidupkan. Hal ini juga memungkinkan untuk boot dari floppy disk dan copy file SAM, memiliki meluncurkan sebuah program untuk mengakses NTFS terlebih dahulu. Setelah ini Anda perlu mengimpor dari file SAM. Mengekstrak hash password dari file SAM pertama kali dikembangkan dan diterapkan dalam program SAMDump (oleh Dmitry Andrianov). Selama operasi impor file SAM, memperoleh informasi akun pengguna dilakukan. Impor dari file SAM mirip dengan mendapatkan hash password menggunakan metode pwdump, kecuali kenyataan bahwa alih-alih fungsi Windows API, mendukung operasi registry, emulasi mereka digunakan. Selama impor dari file SAM dengan SAMDump, semua karakter non-Latin, yang terkandung dalam nama pengguna, akan terdistorsi. Program LCP bebas dari kerugian ini. Cara untuk mendapatkan file SAM di sistem operasi Windows NT, yang tidak memerlukan komputer reboot, adalah menyalin dari% SystemRoot% \ repair direktori atau disk perbaikan darurat. Setiap kali ketika perbaikan darurat disk pada Windows NT diciptakan oleh rdisk program, file SAM dikemas dan disimpan ke sebuah file sam._, yang sebenarnya di copy cadangan dari file SAM. Sebuah file sam._ adalah sebuah arsip dalam format kabinet. File ini dapat dibongkar oleh perintah "memperluas sam._ sam". Kerugian dari metode ini adalah bahwa beberapa password mungkin telah berubah sejak penciptaan perbaikan darurat disk dan file sam._ mungkin ketinggalan jaman. Program LCP memiliki built-in kemampuan untuk mengimpor file SAM dari sebuah file sam._ tanpa menggunakan program berkembang. Sebuah file sam._ adalah awal dibongkar sedangkan impor dari proses daftar akun pengguna dan kemudian impor file SAM yang sebenarnya dilakukan.

Sebuah file SAM juga disalin ketika salinan cadangan lengkap dibuat. Jika ada akses ke salinan cadangan, file SAM dapat pulih dari% SystemRoot% \ system32 \ config direktori untuk mesin yang berbeda dan setelah semua hash password ekstrak dari itu. Kerugian dari metode ini adalah juga bahwa password mungkin telah berubah sejak terakhir kali penciptaan salinan cadangan. Ada alat Syskey, yang pertama kali muncul di Service Pack 3 untuk Windows NT. Syskey tambahan mengenkripsi hash password dari account pengguna, yang membuat impor dari file SAM dengan SAMDump berguna. Syskey dapat digunakan dalam salah satu varian sebagai berikut:     kunci startup dihasilkan disimpan dienkripsi untuk registri pada hard disk local. untuk mendapatkan kunci startup password startup dipilih oleh administrator yang digunakan. kunci startup yang dihasilkan disimpan ke floppy disk, yang harus dimasukkan selama memulai sistem operasi. Windows NT Izin Key Sistem Enkripsi Kuat SAM.

Untuk perlindungan ekstra, alat Syskey harus diaktifkan secara manual setelah instalasi Service Pack yang diperlukan dalam Windows NT. Pada Windows 2000/XP/2003 sistem operasi alat Syskey utama dipasang dan diaktifkan. Impor dari file SAM dengan enkripsi Syskey tambahan, pertama kali menyadari dalam program SAMInside (oleh PolASoft dan Ocean). Algoritma Syskey pertama kali diterbitkan oleh FlashSky dari Tim Xfocus. Untuk mengimpor dari file SAM, ketika kunci startup disimpan dalam registri, diperlukan untuk menyalin file SAM dan SYSTEM dari% SystemRoot% \ system32 \ config direktori dan kemudian membukanya. Jika tidak ada cukup ruang pada floppy disk, file dapat dikompresi sebelum mengcopy. Salinan cadangan file juga dapat ditemukan di% SystemRoot% \ direktori perbaikan, dalam kasus mereka telah diarsipkan ada sebelumnya. Sambil menjaga kunci startup pada floppy disk, StartKey.Key file ini juga diperlukan untuk mengimpor dari file SAM. LCP membuat impor dari file SAM dengan atau tanpa enkripsi tambahan pada setiap varian menyimpan kunci startup mungkin. y Mendapatkan password hash dari registry sistem operasi

Mendapatkan password hash dari registri sistem operasi membutuhkan akses langsung ke registri. Mengimpor informasi membutuhkan hak akses administratif pada komputer, yang Anda butuhkan dump password buat. Jika tidak komputer lokal, akses remote ke registri dan hak istimewa yang diperlukan harus diizinkan. Hash Memperoleh melalui metode ini pertama kali dilakukan dalam program pwdump (oleh Jeremy Allison). Selama mengimpor informasi menggunakan metode ini oleh program pwdump, nama pengguna berisi karakter non-Latin akan terdistorsi. Disarankan untuk menggunakan LCP untuk mendapatkan hash password dari registri.

Dalam hal Syskey program diaktifkan, hash password akan dienkripsi tambahan. Hal ini membuat impor oleh program pwdump tidak berguna, karena tidak mungkin untuk memulihkan password dari hash dienkripsi tambahan. Dalam LCP Program mendapatkan hash password dari registri ditingkatkan dengan dukungan enkripsi tambahan, oleh karena itu disarankan untuk menggunakan LCP. y Mendapatkan password hash oleh injeksi DLL

Metode ini pertama kali dikembangkan dan diwujudkan dalam program pwdump2 (oleh Todd A. Sabin). Mendapatkan hash password dengan metode pwdump2 mungkin tanpa hal program Syskey diaktifkan atau tidak. Untuk membuat dump password dengan metode pwdump2, Anda perlu SeDebugPrivilege tersebut. Secara default, Administrator hanya memiliki hak ini, sehingga hak administrator diperlukan untuk menggunakan metode ini. Metode Pwdump2 berlaku untuk mesin lokal saja. Metode Pwdump2 menggunakan injeksi DLL untuk pembuatan dump password. Satu proses pasukan proses lain (lsass.exe), dengan menggunakan pengidentifikasi proses, untuk memuat DLL (samdump.dll) dan mengeksekusi beberapa kode dari DLL dalam proses lain (lsass.exe 's) ruang alamat. Dalam hal ini, samdump.dll dimuat ke lsass (sistem pelayanan LSASS - Keamanan Subsistem Otoritas Lokal), menggunakan API internal yang sama yang msv1_0.dll menggunakan untuk mengakses hash password. Hal ini berarti dapat mendapatkan hash tanpa melakukan kerja keras menarik mereka keluar dari registri dan mendekripsi mereka. Program ini tidak tahu atau peduli apa algoritma enkripsi atau kunci. Ada kesalahan dalam pwdump2 versi program yang mendukung Active Directory, yang mencegah mendapatkan hash password jika dalam sistem operasi ada account dengan karakter non-Latin dalam nama pengguna. Kesalahan ini adalah tetap dalam program LCP, oleh karena itu dianjurkan untuk menggunakannya untuk mendapatkan hash password dengan metode ini. Metode yang digunakan dalam program pwdump2 dikembangkan lebih lanjut untuk mendapatkan hash password tidak hanya dari lokal, tetapi komputer remote juga dalam program pwdump3/pwdump3e (oleh Phil Staubs). Sebuah layanan eksekutif file dan file DLL yang disalin ke komputer remote. Setelah proses penyalinan selesai, layanan baru, sama dengan pwdump2 program pada komputer lokal, dibuat dan mulai. Setelah mendapatkan hash password, layanan dan file sebelumnya disalin dihapus. Transfer informasi akun pengguna dilakukan melalui kunci registri pada komputer remote. Kunci ini sementara dibuat dan dihapus secara permanen setelah proses penyalinan selesai. Dalam program pwdump3e enkripsi tambahan data yang ditransfer oleh Diffie-Hellman dilakukan. Hal ini dilakukan dengan tujuan untuk mencegah akses ilegal ke data yang ditransfer dalam kasus penangkapan jaringan. Metode ini juga membutuhkan hak akses administratif pada komputer, dimana pengguna account informasi yang Anda butuhkan untuk mendapatkan.

Selama mengimpor informasi menggunakan metode ini dengan program-program pwdump3/pwdump3e, nama pengguna berisi karakter non-Latin akan terdistorsi. Disarankan untuk menggunakan LCP untuk mendapatkan hash password dengan injeksi DLL. Dalam kasus Anda tidak memiliki hak akses administratif pada komputer lokal, adalah mungkin untuk menggunakan kerentanan Windows NT/2000/XP/2003 sistem operasi, yang sebenarnya memungkinkan untuk mengubah screen saver, diluncurkan dalam kasus tidak adanya logon untuk tertentu jumlah waktu (itu adalah 15 menit untuk Windows NT/2000 dan 10 menit untuk Windows XP/2003 oleh default) untuk program yang berbeda. Untuk melakukan ini, Anda perlu mengubah% SystemRoot% \ system32 \ logon.scr ke file yang diinginkan eksekutif (cmd.exe misalnya), yang akan diluncurkan oleh sistem operasi bukan screen saver dengan hak istimewa sistem. Perubahan ini dapat dilakukan dengan metode yang digunakan untuk menyalin file SAM. Anda bisa mendapatkan akses dengan kemampuan menulis ke disk NTFS dengan NTFSDOS Profesional atau NTFS untuk Windows 98 program. Setelah ini Anda perlu mendapatkan hash dengan metode pwdump2 atau pwdump3/pwdump3e. y Menggunakan Jaringan menangkap paket otentikasi

Bahkan dalam kasus ketika Syskey program diinstal dan diaktifkan dan tidak ada akses yang diperlukan ke komputer remote atau lokal, masih ada kemungkinan untuk mendapatkan hash password dari account pengguna. Dengan kemungkinan ini kita maksudkan menangkap jaringan paket otentikasi - sniffing. Sebuah mesin klien adalah pertukaran paket otentikasi dengan server setiap kali diperlukan untuk membuktikan hak pengguna. Hal ini hanya diperlukan bahwa komputer penargetan di segmen jaringan yang sama seperti milik Anda. Built-in sniffer LC5, bekerja di mesin dengan Ethernet adaptor dan mendukung Windows dan Windows 95/98/ME NT/2000/XP/2003. LC5 program perlu diluncurkan dalam modus pengambilan jaringan dan kiri untuk jumlah waktu tertentu untuk mengumpulkan hash password yang dibutuhkan. Data yang diambil harus disimpan ke file. Setelah ini, Anda perlu mengimpor file sesi LC5 di LCP. Untuk mencegah mendapatkan hash password dengan metode ini, Microsoft telah mengembangkan sebuah peningkatan pada mekanisme otentikasi disebut NTLMv2. Penggunaannya menjadi mungkin setelah Service Pack 4 untuk instalasi Windows NT. Untuk rincian lebih lanjut mengenai penggunaan NTLMv2 lihat artikel KB147706 Bagaimana Nonaktifkan Otentikasi LM pada Windows NT. Password pemulihan Sandi dapat diturunkan dengan cara yang berbeda: serangan kamus, serangan brute force, kekuatan serangan hibrida dari kamus dan kasar, serangan hash precomputed. Dalam serangan kamus, hash secara bertahap dihitung untuk setiap kata tunggal atau modifikasi kata dari sebuah kamus dan dibandingkan dengan hash password setiap pengguna tertentu. Dalam kasus hash menyelesaikan pertandingan password ditemukan. Keuntungan dari metode

ini adalah kecepatan tinggi, kerugian - password hanya sangat sederhana, yang didasarkan pada kata-kata yang ada kamus yang digunakan, dapat diambil dengan metode ini. Brute force menggunakan set karakter dan menghitung hash untuk setiap password yang mungkin, disusun dari karakter ini. Sementara menggunakan metode ini Anda dapat yakin bahwa password akan pulih dalam kasus yang mengandung karakter dari set karakter saat ini. Kerugian hanya dari metode ini adalah sejumlah besar waktu yang mungkin diperlukan untuk mengambil password. Karakter yang lebih yang terkandung dalam set karakter yang dipilih - semakin banyak waktu yang akan dihabiskan untuk mengambil password. Sementara password pulih oleh hibrida dari kamus dan serangan kekerasan, karakter ditambahkan ke kanan dan / atau kiri dari kata atau modifikasi kata-kata. Sebuah hash dihitung untuk setiap kombinasi dirakit dan dibandingkan dengan hash password pengguna. Untuk melakukan serangan hash precomputed, hash precomputed dan pasangan password / hash yang disimpan untuk semua kemungkinan kombinasi karakter set yang dipilih. Hash password Tersedia sedang dicari antara hash precomputed. Keuntungan dari metode ini adalah kecepatan yang sangat tinggi, kelemahan adalah waktu yang lama untuk hash precompute dan jumlah besar ruang disk diperlukan untuk menyimpan mereka. setelah mendapatkan hash password, Anda dapat mulai pulih password. Ada dua jenis file dasar yang berisi hash password: - pwdump (password dump) dan - Sniff file. Setiap string dari file pwdump dikompilasi dalam format berikut: "UserName: RID: LMhash: NThash: nama lengkap, Keterangan: HomeDirectory:" Masing-masing dari tujuh karakter bagian sandi dienkripsi secara independen dari yang lain di LM hash karena algoritma DES (standar federal mantan Amerika Serikat), NT hash dikompilasi sebagai hasil dari enkripsi password karena MD4 seluruh algoritma (RSA Security, Inc). LM hash berisi informasi password dalam kasus-insensitive bentuk (dalam huruf besar), NT hash dalam kasus-sensitif bentuk. Ada account pengenal pengguna yang unik - RID (relatif identifier) tepat setelah nama pengguna, yang tidak digunakan untuk komputasi hash. Identifier dari account administrator built-in adalah sama dengan 500, rekening tamu - 501. LM hash digunakan untuk kompatibilitas dengan sistem operasi lain (LAN Manager, Windows for Workgroups, Windows 95/98/ME, dll). Keberadaannya menyederhanakan password pulih. Jika panjang password PB melebihi 14 karakter, LM hash sesuai dengan password kosong. Dalam hal kehadiran LM hash, password pemulihan awalnya dilakukan karena LM hash. Ketika password LM ditemukan, NT hash akan digunakan untuk menentukan password PB.

Setiap string dari file Sniff dikompilasi dalam format berikut: "UserName: 3: ServerChallenge: LMresponse: NTresponse" LM respon dikompilasi sebagai hasil dari enkripsi LM hash, respon NT - sebagai hasil dari enkripsi NT hash. Enkripsi dilakukan karena algoritma DES, sehingga adalah mungkin untuk memulihkan password LM dan NT hanya dalam kasus password seluruh check out. Selain itu, tantangan server terpisah yang digunakan dalam setiap kasus tunggal. Oleh karena itu password pulih oleh Sniff file membutuhkan waktu lebih banyak. Program pertama untuk memulihkan password Windows NT adalah L0phtCrack (sekarang disebut LC5) oleh Peiter Mudge Zatko dan Chris Wysopal dari L0pht Heavy Industries, Inc (sekarang @ stake, Inc). Jika karakter non-Latin yang digunakan dalam password maka password mungkin tidak akan pulih dengan LC5, dianjurkan untuk menggunakan LCP untuk password pulih. Mengubah password pengguna tanpa memulihkan mereka Dalam hal pemulihan Windows NT/2000/XP/2003 password pengguna tidak diperlukan, adalah mungkin untuk mengubah mereka memiliki akses ke komputer lokal. Pengguna perubahan password dilakukan di NT Password Offline & Program Registry Editor (oleh Petter NordahlHagen). Untuk melakukan ini, Anda perlu boot dari floppy disk Linux dan memilih pengguna untuk mengubah password. Setelah masukan password, password hash akan dihitung dan SAM file akan berubah dalam sistem disk. Program ini mendukung Windows NT/2000/XP/2003 bahkan dalam kasus Syskey diaktifkan. kemungkinan memperoleh informasi password Dalam kasus ada komputer dengan Windows 3.11, Windows for Workgroups atau Windows 95/98/ME dipasang di jaringan, ada kemungkinan tambahan untuk memperoleh informasi password. Pengguna password caching dilakukan ke%% WinDir \ <username>. PWL (daftar password) file dalam sistem operasi tersebut secara default. Password dienkripsi disimpan dalam kasusinsensitive bentuk (dalam huruf besar). Password enkripsi algoritma diubah mulai dari Windows 95 OSR2, karena kesalahan dideteksi dikoreksi. Oleh karena itu password dari file PWL pulih tua adalah jauh lebih mudah. Dalam hal ini Anda dapat menggunakan program seperti Glide (oleh Frank Andrew Stevenson), PWL_Key (oleh Arthur Ivanov), PwlHack (oleh Vladimir Kalashnikov), PwlTool (oleh Vitas Ramanchauskas dan Eugene Korolev). Untuk memulihkan password dari file PWL baru Anda dapat menggunakan PwlHack atau PwlTool.

Jika password caching diizinkan, ada kemungkinan untuk menentukan password pengguna selama sesi dalam program PwlView (oleh Vitas Ramanchauskas dan Eugene Korolev). Program ini dapat menunjukkan password cache pada mesin lokal untuk pengguna saat ini menggunakan fungsi API Windows terdokumentasi. Dalam kasus Windows NT/2000/XP/2003 pengguna pada saat yang sama pengguna di Windows 3.11, Windows for Workgroups atau Windows 95/98/ME dan password nya sudah diambil (untuk Windows 3.11, Windows for Workgroups atau Windows 95 / 98/Me), password untuk Windows NT/2000/XP/2003 dapat dengan mudah diambil oleh LCP. Hal ini diperlukan untuk menentukan karakter dari Windows, pulih 3.11 Windows for Workgroups atau Windows 95/98/ME password sebagai karakter password diketahui. Rekomendasi untuk Windows 3.11, Windows for Workgroups dan Windows 95/98/ME administrator Pada komputer dengan Windows 3.11, Windows for Workgroups dan Windows 95/98/ME diinstal: menonaktifkan caching password di Windows 3.11 dan Windows for Workgroups. Tambahkan ke%% WinDir \ system.ini file parameter berikut: menonaktifkan password caching di Windows 95/98/ME. Cari DisablePwdCaching nilai biner dalam registri oleh registry editor dan set ke 1 (jika nilai tidak ada, tambahkan) ke kunci registri berikut: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network menghapus semua file PWL dari disk dan sistem operasi reboot setelah menonaktifkan caching password; mengubah sistem operasi Anda ke Windows NT/2000/XP/2003 dalam kasus komputer Anda memenuhi persyaratan perangkat keras. Rekomendasi untuk Windows NT/2000/XP/2003 administrator.Pada komputer dengan Windows NT/2000/XP/2003 diinstal: y y y y y membuat kasus komputer tidak dapat diakses untuk membuka. Ini akan mencegah kemungkinan melepas hard disk dengan sistem operasi atau koneksi dari disk lain; izin untuk boot hanya dari hard disk dalam Setup untuk mencegah boot dari perangkat lain; mengatur sandi Setup, mencegah setting boot berubah; Windows NT/2000/XP/2003 harus sistem operasi hanya diinstal pada komputer. Itu membuat file mungkin menyalin dan mengubah dari sistem operasi lain; menggunakan sistem file NTFS hanya dan menolak menggunakan FAT dan FAT32;

y y

y y y

pastikan bahwa Windows NT Service Pack 3 atau yang lebih baru terinstal dan Syskey diaktifkan; menolak menyimpan kunci startup di registri, startup menyimpan mengubah kunci dalam program Syskey untuk penggunaan password startup atau menyimpan pada sebuah floppy disk; menggunakan Windows 2000/XP/2003 built-in kemampuan enkripsi file melalui EFS (Encrypting File System), yang merupakan bagian dari NTFS5; mencegah manajemen remote registry dengan menghentikan layanan yang tepat; melarang hak istimewa SeDebugPrivilege. Dalam "Kebijakan Keamanan Lokal" klik "Pengaturan Keamanan \ Kebijakan Lokal \ Hak Pengguna Penugasan" dan menghapus semua pengguna dan grup dari daftar pada properti dari kebijakan "Debug program"; menghapus saham administrasi ADMIN $, C $ dll, yang memungkinkan pengguna dengan hak akses administratif untuk menghubungkan mereka melalui jaringan. Tambahkan AutoShareWks (untuk Workstation dan versi Profesional) atau AutoShareServer (untuk versi Server) nilai DWORD dan set ke 0 untuk kunci registri berikut: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ Parameter Range: 0-1, default - 1. 0 - tidak membuat saham administratif; 1 - membuat saham administratif.

y y y

Hapus Saham Administrasi pada Windows 2000 (untuk versi Server); mencegah atau membatasi maksimal jumlah saham; membatasi akses anonim dalam operasi sistem Windows NT/2000, yang memungkinkan untuk mendapatkan akses ke informasi tentang pengguna, kebijakan keamanan dan saham. Pada Windows NT/2000 menambah nilai DWORD RestrictAnonymous ke kunci registri berikut: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA Range: 0-2, default - 0 untuk Windows NT/2000, 1 - untuk Windows XP/2003. 0 - tidak membatasi, bergantung pada hak akses default; 1 - tidak mengizinkan penghitungan rekening dan nama pengguna; 2 - tidak ada akses tanpa izin eksplisit anonim (tidak tersedia pada Windows NT).

mencegah penyimpanan LM hash di Windows 2000/XP/2003 sistem operasi untuk memulihkan password mempermalukan bagi penyusup, memaksanya untuk menggunakan NT hash. Tambahkan nilai DWORD NoLMHash dan set ke 1 untuk kunci registri berikut: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA Range: 0-1, default - 0. 0 - toko LM hash; 1 - tidak menyimpan LM hash. Bagaimana Mencegah Windows dari Menyimpan LAN Manager Hash Password Anda di Active Directory dan Lokal SAM Database dalam kasus tidak ada Windows for Workgroups dan Windows 95/98/ME klien di jaringan, disarankan untuk menonaktifkan otentikasi LM. Ini akan mempermalukan password pulih bagi penyusup jika paket otentikasi ditangkap. Dalam kasus ada klien tersebut, Anda dapat memungkinkan penggunaan otentikasi LM hanya oleh permintaan server. Anda dapat melakukannya dengan aktivasi tambahan untuk NTLM NTLMv2 disebut. Tambahkan nilai berikut ke registri: LMCompatibilityLevel DWORD nilai kunci HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA Range: 0-5, default - 0. 0 - mengirim tanggapan LM dan NT, tidak pernah menggunakan otentikasi NTLMv2; 1 - gunakan otentikasi NTLMv2 jika dinegosiasikan; 2 - mengirim respons NT hanya; 3 - menggunakan otentikasi NTLMv2 saja; 4 - domain controller menolak otentikasi LM; 5 - domain controller menolak LM dan NT otentikasi (NTLMv2 menerima saja). NtlmMinClientSec atau NtlmMinServerSec nilai DWORD ke tombol HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA \ MSV1_0 Range: logika OR dari salah satu nilai berikut: 0x00000010 - integritas pesan;

0x00000020 - kerahasiaan pesan; 0x00080000 - NTLMv2 keamanan sesi; 0x20000000 - 128 bit enkripsi. Bagaimana Nonaktifkan Otentikasi LM pada Windows NT dalam kasus hanya ada Windows 2000/XP/2003 klien di jaringan, disarankan untuk menggunakan protokol otentikasi Kerberos. menyembunyikan nama pengguna login terakhir pada pengguna di kotak dialog logon. Tambahkan DontDisplayLastUserName nilai string dan set ke 1 untuk kunci registri berikut: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Range: 0-1, default - 0. 0 - menampilkan nama pengguna terakhir; 1 - tidak menampilkan nama pengguna terakhir. Menyembunyikan Logged Pada Username dalam Dialog Logon; menonaktifkan layar logon saver, diluncurkan dalam kasus tidak adanya logon untuk jumlah waktu tertentu. Mengatur nilai string ScreenSaveActive ke 0 untuk kunci registri berikut: HKEY_USERS \ DEFAULT \ Control Panel. \ Desktop Mengubah Logon Screen Saver pada Windows; mengikuti aturan berikut pada pilihan Windows NT/2000/XP/2003 password.tidak memilih password atau bagian password, yang muncul kata kamus atau modifikasi tersebut. y y Password Windows NT harus setidaknya 7 karakter (14 karakter maksimum), Windows 2000/XP/2003 sandi - lebih dari 14 karakter (128 karakter maksimum); password harus mengandung karakter dari set karakter maksimum yang mungkin. Jangan menggunakan karakter AZ saja, mencoba untuk memasukkan huruf, angka dan simbolsimbol khusus ke password (jika panjang password kurang atau sama dengan 14, karakter serupa harus di setiap tujuh-karakter bagian password); karakter password yang huruf harus huruf besar dan huruf kecil. Ini akan mempersulit password pulih dengan NT hash; menginstal service pack dan hotfix dari sistem operasi pada waktunya; mengubah nama account administrator dan tamu, menonaktifkan akun tamu; account administrator tidak harus di komputer lain sebagai account biasa;

y y y y

y y

hanya memiliki satu account dengan hak akses administratif; menyesuaikan kebijakan akun (account lockout setelah upaya logon tidak valid, usia maksimum password, panjang password minimum, persyaratan kompleksitas untuk password, menegakkan sejarah password dll); mengaktifkan audit logon kegagalan;

menggunakan program dari Microsoft Security Tool Kit, seperti HFNetChk dan Microsoft Baseline Security Analyzer (oleh Shavlik Technologies LLC untuk Microsoft). Alat ini dapat memindai hilang hotfixes dan kerentanan keamanan. Demikian penjelasan tentang software hacker LCP yang cukup menguras pikiran untuk memahami nya. Semoga bermanfaat.