北河さんのWindowsのパスワードネタに関するつぶやき
CIFS/SMBを禁止しても、NTLM認証を有効にしたWebサーバをイントラネットゾーンに立て、誘導すればブラウザが認証情報を自動送信する。(IE,Chromeの場合、FireFoxは入力プロンプトがでる)もうWindowsを禁止するしかないね。
2012-02-26 22:40:48Windowsを使う前提なら、NTLM認証情報をキャプチャされても簡単には解析されないような複雑性を持ったパスワード・ポリシーを強制するしかないのではないか?
2012-02-26 22:44:49Windows7、Server 2008 R2ではグループポリシーで「NTLMを制限する:リモートサーバに対する送信」を設定することによりNTLMv2認証を殺してKerberos認証オンリーに出来るようだが(既定ではもちろん制限なし)http://t.co/wsHPkspB (続
2012-02-27 15:55:50続)Vista以降でNTLMv2認証が既定となっただけで問題が生じ、LAN Manager 認証レベルをXPと同じレベルに落としている組織が多い現在、Kerberosオンリーを実現するのはかなりハードルが高いのではないか
2012-02-27 15:56:17@kitagawa_takuji ぜひ国会のネットワークはKerberosオンリーにして、民間の模範・目標になってもらいたいですね
2012-02-27 16:00:00@kitagawa_takuji 僕も自分なりに考えたのですよ。議員の先生方に使いやすくて、できれば国産で、セキュアで…と考えていったら、そうだ、ガラケーがあった、これしかない、と思いました:)
2012-02-27 16:29:23どうしてADへの認証だけなんでしょうねぇ。SMBやSQLServerなどへのNTML認証が残念。“@ockeghem: @kitagawa_takuji ぜひ国会のネットワークはKerberosオンリーにして、民間の模範・目標になってもらいたいですね”
2012-02-27 17:58:57@moton 業務がすべてKerberos認証に置き換えができたとしても、互換性のためにNTLMv2認証が残っているため、それを無効にしない限り、悪用される可能性は残ります。
2012-02-27 20:21:53@ockeghem 自民党の提言は「政府及び衆参両院は」となっていますね。政府の数十万台の端末がWin7以降に置き換らないとNTLMv2認証を殺すのは無理ですね。Vistaのサポートが切れる17年以降、現実的にはで既定で無効にされているOSが普及する頃まで難しい気がします。
2012-02-27 20:33:27@kitagawa_takuji パスワードの定期変更が役に立つ局面というのは、既に相当やられちゃった後であるわけですが、自民党の提言を作った人たちがそれを理解して書いたがはなはだ疑問ですね
2012-02-28 07:29:17やはりパスワードの定期変更よりもLmCompatibilityLevelの方が重要だな。XP既定の「0.LMとNTLM応答を送信」の場合、パスワードポリシーで「パスワードは、複雑さの要件を満たす必要がある」を有効、「パスワードの最低長」を12文字にしていても危険
2012-02-28 17:36:16「パスワードは、複雑さの要件を満たす必要がある」では大文字、小文字、数字、記号の4カテゴリの内3つを使い6文字以上、記号は必須ではない
2012-02-28 17:36:56g3YA4KsJMCa2の様な12文字のパスワードでもLM応答をキャプチャされると、前半7文字はレインボーテーブルで解析可能。LMは大文字と小文字を区別しないため、後半は英数字5文字の総当りになりこれは瞬殺。
2012-02-28 17:37:58但し、前半7文字部分に記号が含まれていれば、フリーで公開されているレインボーテーブルは使えないので少しは安全。だが、LMには前半後半7文字ずつの分割、大小英字を区別しないという問題があるので数時間以内には解析可能。
2012-02-28 17:38:57XPの場合LmCompatibilityLevelは、Vista,7の既定と同じ「3:NTLMv2応答のみ送信」、古いNASなどを使用していて互換性に問題がある場合は「2:NTLM応答のみ送信」に変更すべき
2012-02-28 17:41:03LmCompatibilityLevelを変更できない場合は、15文字以上のパスワードにすればLM応答は送られない(送られても無効な値が入る)
2012-02-28 17:41:54「NTLMv2応答のみ送信」にした場合にパスワードの最小長を何文字にするかは難しいが、「パスワードは、複雑さの要件を満たす必要がある」が有効という条件で、12文字以上なら有効期限90日、14文字以上なら有効期限なし、英数字記号混在なら13文字以上で有効期限なし、で安心できるかな
2012-02-28 18:36:25