Безопасность сервера SMB. Microsoft Windows 95 и Windows for Workgroups. Диалекты протокола SMB, страница 12

Выключение передачи пароля открытым текстом

Возможность передачи по сети пароля пользователя открытым текстом делает систему безопасности уязвимой со стороны атаки Downgrade. Для своих операционных систем компания Microsoft выпустила ряд обновлений, выключающих эту возможность в клиентах SMB. Однако необходимо учитывать, что некоторые SMB-серверы не принимают пароль в зашифрованной форме. Примером могут служить серверы SAMBA (в определенной конфигурации) и LAN Manager for UNIX.

В операционной системе Windows NT 4.0 после установки третьего пакета обновления (Service Pack 3) автоматически отключается возможность передачи пароля открытым текстом. Если все же требуется снова включить эту функцию, установите в реестре значение:

куст:       HKEY_LOCAL_MACHINE\SYSTEM

раздел:   CurrentControlSet\services\rdr\Parameters

параметр: EnablePlainTextPassword

тип:         REG_DWORD

значение: 1

Приведенная информация содержится в статье Q166730 из Microsoft Knowledge Base.

Для операционной системы Windows 95 также опубликована заплата из двух файлов.

Имя файла                 Версия               Дата/время            Размер

Vredir.vxd                    4.00.1114             6/2/97 11:14а           156,773

Vnetsup.vxd                 4.00.1112            6/2/97 11:12а           17,595

Получить эти файлы можно бесплатно из библиотеки Microsoft Software Library в виде самораспаковывающегося архива с именем VRDRUPD.EXE.

Если указанными в таблице файлами заменить исходные, находящиеся в папке System операционной системы, то клиент 8MB на этом компьютере перестанет передавать пароль пользователя в открытом виде, даже если это требуется серверу. Подробнее об этом обновлении см. статью Q165403 в Microsoft Knowledge Base.

Насколько нам известно, для других операционных систем соответствующих обновлений не существует, так что сети, в которых применяется, например, Windows for Workgroups, защитить от атаки Downgrade программными средствами невозможно.

Выключение пароля LANManager

В связи с появлением программы, которая осуществляет подбор паролей по паре «вызов» — «ответ», извлеченной из перехваченных пакетов открытия сеанса SMB, Microsoft выпустила для Windows NT 4.0 заплату lmfix, позволяющую более гибко контролировать используемый клиентом этой операционной системы способ проверки подлинности. О том, как получить эту заплату, см. статью Q147706 в Microsoft Knowledge Base.

Установив заплату, можно использовать ключ реестра:

куст:       HKEY_LOCAL_MACHINE\SYSTEM

раздел:   currentcontrolset\control\LSA

параметр: LMCompatibilityLevel

тип:        REG_DWORD

значение: 0, 1 или 2

Значение           Описание

0  Редиректор всегда возвращает два ответа, основанные на хешированном пароле NT и на хешированием пароле LAN Manager.

1  Редиректор передает ответ, основанный на хешированном пароле LAN Manager, только если это запрашивает сервер.

2  Редиректор никогда не передает ответ, основанный на хешированном пароле LAN Manager.

По умолчанию принимается значение 0. Более прочную защиту пароля обеспечивает значение 2, так как именно пароль LAN Manager обладает пониженной стойкостью к подбору прямым перебором. Но помните: отказ от паролей LAN Manager на компьютере с Windows NT может привести к проблемам совместимости. Во-первых, работая на таком компьютере, нельзя подключиться к ресурсам многих других серверов 8MB, например, к общей папке Windows 95 или Windows for Workgroups. Во-вторых, если пользователь последний раз устанавливал свой пароль соответствующими средствами Windows for Workgroups или LAN Manager client for DOS, то в базе учетных записей Windows NT будет содержаться только хешированный пароль LAN Manager, и с компьютера, не работающего с паролем LAN Manager, такой пользователь не подключится даже к серверу Windows NT.

SMB с электронной подписью