Forside Profil IT sikkerhed Søgemaskineoptimering Reference Ressourcer

Midlertidige links: Ekspertise og vidensbank

BufferZone

Gennemtving sikkert valg af password i NT 4.0

Som du har læst i artiklen "IT sikkerhed - Gode råd om valg af passwords", er password væsentlig for sikkerheden på de fleste netværkssystemer. Problemet med næsten all sikkerhed er at det koster. Sikkerhed er besværligt og sikkerhed tager tid og hvis ikke det koster penge koster det brugervenlighed. For passwords vedkommende er dilemmaet at korte password, der er lette at huske og skrive, er lette at bryde. Lange komplekse password er svære at huske og kræver derfor ofte at folk skriver dem ned. Passwordpolitik er derfor et kompromis mellem sikkerhed og brugervenlighed, er der findes metoder til at sikre ad den valgte passwordpolitik følges af ALLE brugere i netværket.

Sikkerheden på de fleste systemer består at password og brugernavne. Hvis en hacker har haft fysisk adgang til f.eks. en server, eller til en tilfældig maskine på netværket, kan han have fået fat i de nødvendige filer med krypterede oplysninger om brugernavne og tilhørende passwords, hvorefter det kun er et spørgsmål om tid før har har de oplysninger, han skal bruge.

Der findes på nettet adskillige værktøjer til at cracke passwordes og brugernavne. De fleste forsøger først at finde passwords ved hjælp af en ordliste med populære brugernavne. derefter med en ordbog (de gode værktøjer kan bruge ordbogslister fra de anerkendte ordbøger der findes i handler, og er derfor ikke sprogafhængige). Til sidst bruges et brute-force attack, hvor alle mulige kombinationer af bogstaver forsøges, først med små bogstaver, derefter med små og store bogstaver, derefter med små og store bogstaver og tal, tilsidst med små og store bogstaver og tal og specialtegn.

Lange komplekse passwords med små og store bogstaver og tal og specialtegn tager meget lang tid at cracke. brud derfor følgende tre metoder til at gennemtvinge din passwordpolitik.

Metode 1: NT default. In the User Manager–Policies–Account, sættes længden af password, hvor ofte det skal skiftes, hvor lang tid der skal gå for det kan skiftes igen, samt mange andre nyttige indstillinger, der alle bør anvendes fornuftigt.

Metode 2: PASSPROP.EXE. Denne fil findes på NT Resource kittet i \I386\NETADMIN, og kan bruges til at gennemtvinge en stærkere passwordpolitik. Kør PASSPROP.EXE fra en dos promt med følgende 4 switches:

/simple—Restorer simple passwords (NT default)

/complex—Tvinger brugeren til at bruge både små og store store bogstaver, tal eller specialtegn.

/adminlockout—Tillader at Administrator account bliver "locked out" undtagen for interaktive sessioner fra Domain Controlleren.

/noadminlockout—Restorer NT default hvor Administrator accounten ikke kan blive "locked out".

Metode 3: Service Pack 2. Installering af denne DLL giver mulighed for at gennemtvinge en meget stærk passwordpolitik, med passwords der er mindst 6 karaktere lange, med 3 af de 4 følgende muligheder: store bogstaver, små bogstaver, tal eller specialtegn. Ud over dette forbydes brug af username eller dele af det fulde navn i passwordet. Eneste ulempe ved denne DLL er at du kun man modificere funktionaliteten ved at kode en ny DLL selv. Således implementeres password filteret på alle domain controller.

kopier PASSFILT.DLL fra SP2-CD'en til \WINNT\SYSTEM32.

[Start]–Run–Type REGEDT32–[Enter].

Create (eller edit) følgende Key: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Add en REG_MULTI_SZ value med navnet "Notification Packages" og en value af PASSFILT (hvis valuen FPNWCLNT allerede findes, editeres denne value således at PASSFILT addes under FPNWCLNT).

Click OK og luk Registry Editor [Alt+F4].

Genstart server.

Ligesom Microsoft skriver tages der selvfølgelig forbehold for fejl og mangler samt skader der kan ske som følge af ovenstående. Det er altid en god ide at gennemprøve noget sådant på en test installation inden det gennemføres på det rigtige net

Dette emne kan du finde mere om på Microsoft Technet ved at søge på "strong Password".

Mail gerne jeres erfaringer til mig, ligesom jeg gerne vil høre hvis I finder andre gode oplysninger eller har erfaringer, vi andre kan nyde godt af

Læs også disse serier

Søgemaskineoptimering
Søgemaskinepositionering
Webpromotion
IT sikkerhed
Hacking

Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk

Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone

FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering
- IT sikkerhed
- SEO
- Hacking