LAN Manager — это снятая с производства сетевая операционная система (NOS), доступная от нескольких поставщиков и разработанная Microsoft в сотрудничестве с корпорацией 3Com . Он был разработан как замена программному обеспечению сетевого сервера 3+Share от 3Com , которое работало на базе сильно модифицированной версии MS-DOS .
Операционная система LAN Manager OS/2 была разработана совместно IBM и Microsoft с использованием протокола Server Message Block (SMB). Первоначально он использовал SMB поверх протокола NetBIOS Frames (NBF) или специализированной версии протокола Xerox Network Systems (XNS). Эти устаревшие протоколы были унаследованы от предыдущих продуктов, таких как MS-Net для MS-DOS , Xenix-NET для MS-Xenix и вышеупомянутого 3+Share. Также была доступна версия LAN Manager для систем на базе Unix под названием LAN Manager/X . LAN Manager/X лег в основу продукта Pathworks компании Digital Equipment Corporation для OpenVMS , Ultrix и Tru64 . [1]
В 1990 году Microsoft анонсировала LAN Manager 2.0 с множеством улучшений, включая поддержку TCP/IP в качестве транспортного протокола для SMB с использованием NetBIOS поверх TCP/IP (NBT). Последняя версия LAN Manager, 2.2, которая включала базовую операционную систему MS-OS/2 1.31, оставалась стратегической серверной системой Microsoft до выпуска Windows NT Advanced Server в 1993 году . [2]
Многие поставщики поставляли лицензионные версии, в том числе:
Хэш LM вычисляется следующим образом: [3] [4]
1010100
становится 10101000
). Это генерирует 64 бита, необходимые для ключа DES. (Ключ DES якобы состоит из 64 битов; однако на самом деле алгоритмом используются только 56 из них. Биты четности, добавленные на этом этапе, позже отбрасываются.)KGS!@#$%
», [Примечания 2] , в результате чего получаются два 8-байтовых значения зашифрованного текста. Для DES CipherMode должно быть установлено значение ECB, а для PaddingMode должно быть установлено значение NONE
.Аутентификация LAN Manager использует особенно слабый метод хеширования пароля пользователя, известный как LM-алгоритм хэширования, появившийся в середине 1980-х годов, когда основной проблемой были вирусы, передаваемые с дискет. [7] Хотя LM-хэш основан на DES , хорошо изученном блочном шифре , он имеет несколько недостатков в своей конструкции. [8] Это делает такие хэши поддающимися взлому за считанные секунды с помощью радужных таблиц или за несколько минут с помощью грубой силы . Начиная с Windows NT , он был заменен NTLM , который по-прежнему уязвим для радужных таблиц и атак методом перебора, если не используются длинные непредсказуемые пароли, см. взлом паролей . NTLM используется для входа в систему с локальными учетными записями, за исключением контроллеров домена, поскольку Windows Vista и более поздние версии больше не поддерживают хэш LM по умолчанию. [7] Kerberos используется в средах Active Directory.
Основные недостатки протокола аутентификации LAN Manager: [9]
Чтобы устранить недостатки безопасности, присущие схемам шифрования и аутентификации LM, Microsoft представила протокол NTLMv1 в 1993 году с Windows NT 3.1 . Для хеширования NTLM использует поддержку Unicode , заменяя ее LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%")
на , что не требует каких-либо дополнений или усечения, которые могли бы упростить ключ. С другой стороны, для последующих шагов аутентификации использовался тот же алгоритм DES только с 56-битным шифрованием , и подсолки по-прежнему нет. Более того, машины Windows в течение многих лет были настроены по умолчанию на отправку и прием ответов, полученных как из хеша LM, так и из хеша NTLM, поэтому использование хеша NTLM не обеспечивало дополнительной безопасности, пока более слабый хеш все еще присутствовал. Также потребовалось время, чтобы снять искусственные ограничения на длину пароля в таких инструментах управления, как User Manager.NThash=MD4(UTF-16-LE(password))
Хотя LAN Manager считается устаревшим, а текущие операционные системы Windows используют более надежные методы проверки подлинности NTLMv2 или Kerberos , в системах Windows до Windows Vista / Windows Server 2008 хэш LAN Manager по умолчанию включен для обратной совместимости с устаревшими LAN Manager и клиентами Windows ME или более ранними версиями. или устаревшие приложения с поддержкой NetBIOS . В течение многих лет хорошей практикой безопасности считалось отключение скомпрометированных протоколов аутентификации LM и NTLMv1 там, где они не нужны. [11] Начиная с Windows Vista и Windows Server 2008, Microsoft по умолчанию отключила LM-хеш; Эту функцию можно включить для локальных учетных записей с помощью параметра политики безопасности, а также для учетных записей Active Directory , применив тот же параметр с помощью групповой политики домена . Тот же метод можно использовать для отключения этой функции в Windows 2000, Windows XP и NT. [11] Пользователи также могут запретить создание LM-хеша для своего пароля, используя пароль длиной не менее пятнадцати символов. [6] —Хеши NTLM, в свою очередь, в последние годы стали уязвимы для различных атак, которые фактически делают их сегодня такими же слабыми, какими были хэши LanMan в 1998 году .
Многим устаревшим сторонним реализациям SMB потребовалось значительное время, чтобы добавить поддержку более надежных протоколов, которые Microsoft создала для замены LM-хеширования, поскольку сообществам с открытым исходным кодом , поддерживающим эти библиотеки, сначала пришлось перепроектировать новые протоколы — Samba потребовалось 5 лет, чтобы добавить поддержку NTLMv2 . , а на JCIFS ушло 10 лет.
Плохие режимы исправлений после выпуска программного обеспечения, поддерживающего эту функцию, стали доступными, что способствовало тому, что некоторые организации продолжают использовать LM-хэширование в своих средах, даже несмотря на то, что этот протокол легко отключить в самой Active Directory .
Наконец, до выпуска Windows Vista многие процессы автоматической сборки по-прежнему использовали загрузочный диск DOS (вместо Windows PE ) для запуска установки Windows с помощью WINNT.EXE, что требует включения LM-хеширования для устаревшего LAN Manager. сетевой стек для работы.
Хотя Windows Vista еще не вышла, стоит отметить некоторые изменения в этой операционной системе, связанные с этими протоколами.
Наиболее важным изменением является то, что протокол LM больше нельзя использовать для входящей аутентификации, где Windows Vista выступает в качестве сервера аутентификации.