Do Not Store Lan Manager Hash Value (LM Hash) policy’sini bu yazımızda anlattacağız. Bu policy’in güvenlik önlemleri kapsamında ne işe yaradığından bahsedeceğiz. Uygulanmazsa ne gibi güvenlik açıkları ortaya çıkmaktadır bunlardan bahsedeceğiz.
Policy Hakkında Bilgi
Bu policy ,Windows kullanıcı parolalarının hash olarak saklamaktadır. Bu şifreleri lokal yani SAM veri tabanında veya Active Directory’de saklamaktadır.
HASH şifrelenmesi 2’ye ayrılır.
- LM Hash(Lan Manager)
- NTLM Hash
LM Hash NTLM’e göre çok zayıf bir yapıta sahiptir. Bu zayıflığı şifreleri 7 karakterli olarak saklamasından kaynaklanmalıdır. NTLM veya NTLMV2 14 karaktere kadar saklamaktadır. Bunu açıklamak gerekirse şifreniz 9 karakterli olsun LM bunu 7 karakter ve 2 karakter olarak ayrı ayrı kullanılır.
Şifre hırsızları sondaki iki karakteri kolayca çözmektedir. Bu karakterlerden çıkarım yapabilmektedir. Bu sebepten dolayı NTLM olarak hashleri saklamak gerekir.
Do Not Allow Store LAN Manager Hash Value Policy Uygulaması
Bunun için Group Policy Management açarak , Yeni bir policy oluşturalım. Bu policy’i tüm clientlara gönderebiliriz. Daha sonra editleme yaparak;
Computer Configuration>Policies>Security Settings >Local Policies > Security Options > Network Security: Do Not Allow Store LAN Manager Hash Value on next password changeenable ediyoruz.
Policy’in görüntüsü yukarıdaki gibidir.
Sonuç olarak LM HASH ‘in NTLM Hash’e göre çok daha zayıf olduğunu anlattık. Bu sebepten sistemlerinizde LM HASH olarak saklanmasını önlemek lazım. SAM veri tabanında bulunan bu hash’lerin kırılması oldukça basittir. Diğer güvenlik yazılarımızı aşağıdaki kategorilerden takip edebilirsiniz. LM ve NTLM karşılaştırmasını sayfadan takip edebilirsiniz.