Jump to content

Windows 7 und UNIX Authentifizierung

Heck

Von Heck
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Heck Apprentice

Heck   10

Geschrieben
Geschrieben

Hallo,

 

ich schreibe gerade eine Seminararbeit an der Uni über Authentifizierungsmethoden bei Betriebssystemen.

Mehrfach habe ich jetzt gelesen, dass das Benutzerpasswort als Hashwert in der verschlüsselten SAM-Datenbank gespeichert wird.

Allerdings finde ich einfach nicht, um welchen Hash-Algorithmus es sich handelt und wie die SAM-Datenbank verschlüsselt ist.

 

Bei meiner Recherche habe ich mehrfach NTLMv2 gelesen, jedoch scheint dies der LanManager oder ähnlich zu sein und gilt glaube ich nur für Client/Server seitige Authentifizierung.

Könnte mir jemand eventuell sagen, um welchen Hashalgorithmus es sich handelt und wie SAM-Datenbank verschlüsselt ist?

Ich habe gelesen, dass man das PW als MD5 Hash auslesen kann, heisst dies, dass es sich um ein MD5 Hasalgorithmus bei der Verschlüsselung handelt?

 

Passt jetzt nicht in dieses Forum aber eventuell kann mir bei dieser Frage ebenfalls jemand weiterhelfen. Bei UNIX-Systemen wird der Salt Hash Algorithmus verwendet aber gibt es dort ebenfalls eine verschlüsselte Datenbank, in der das Passwort gesichert wird?

 

Hoffe mir kann jemand weiterhelfen

Gruß Nico

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

dazu gibt es eine Reihe guter älterer Artikel von Jesper Johansson (ex-Microsoft, jetzt Amazon). Bing mal nach "windows passwords johansson hash".

 

Die SAM-Datenbank ist standardmäßig nicht verschlüsselt, wird aber im laufenden Betrieb vom System geschützt. Offline-Angriffe sind daher möglich. Man kann optional per syskey eine Verschlüsselung aktivieren, aber das tun längst nicht alle Kunden.

 

Gruß, Nils

Link zu diesem Kommentar
Heck Apprentice

Heck   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

dazu gibt es eine Reihe guter älterer Artikel von Jesper Johansson (ex-Microsoft, jetzt Amazon). Bing mal nach "windows passwords johansson hash".

 

Die SAM-Datenbank ist standardmäßig nicht verschlüsselt, wird aber im laufenden Betrieb vom System geschützt. Offline-Angriffe sind daher möglich. Man kann optional per syskey eine Verschlüsselung aktivieren, aber das tun längst nicht alle Kunden.

 

Gruß, Nils

 

Danke für den Tipp!

 

Habe ich das Paper richtig verstanden?

Also es wurde früher als LM "Hash" abgespeichert, jedoch nach Windows NT 4.0 wird das Passwort mit dem NT Hash verwendet, d.h. mit MD4 gehast und als unicode Passwort gespeichert?

 

Bei UNIX werden die Passwörter mit einem Salt versehen, der als plaintext auf dem System gespeichert wird aber gibt es dort eine Datenbank oder ist es einfach ein Passwortfile ?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

in der Standardeinstellung wird der LM Hash immer im alten Format gespeichert, das leicht knackbar ist. Nur wenn man das explizit abschaltet oder wenn man Kennwörter über 14 Zeichen verwendet, geschieht das nicht.

 

Man sollte hierbei allerdings berücksichtigen, dass die Verwendung der SAM-Datenbank nur für lokale Benutzerkonten gilt. Das AD nutzt ein anderes Format. Die LM-Hash-Problematik besteht dort auch, lässt sich aber per Gruppenrichtlinie abschalten (was man aber eben auch ausdrücklich tun muss).

 

Lies dir mal die anderen Artikel von Jesper auch noch durch. Er hat viel dazu geschrieben, und meist ist es sehr gut verständlich. Dabei geht er oft auch auf Unix et al. ein, sodass du die Artikel auf jeden Fall für deine Arbeit nutzen solltest.

 

Gruß, Nils

Link zu diesem Kommentar
Heck Apprentice

Heck   10

Geschrieben
  • Autor
Geschrieben
LM bzw. NTLM bzw. Kerberos sind die Authentifizierungsmechanismen per Netzwerk.

Wie das Passwort in der SAM gespeichert ist hat damit wenig zu tun.

 

Bei Unix gab es passwortfiles mit Klartextpasswörtern und seit längerem ein shadowfile mit dem Verschlüsselten Passwort.

/etc/shadow bzw. /etc/passwd

 

Ja hierin besteht mein Problem es handelt sich bei meiner Seminararbeit nur um Betriebssysteme, d.h. es geht nur um Lokale Benutzerkonten.

 

In dem oben genannten Paper habe ich gelesen, dass grundsätzlich 2 Passwörter gespeichert werden, eines jedoch fehlen kann.

Es wird ein LAN Manager-kompatibles Kennwort und das Windows NT-Kennwort gespeichert.

 

"Das Windows NT-Kennwort basiert auf dem Unicode-Zeichsatz, es kann bis zu 128 Zeichen umfassen, und die Groß- und Kleinschreibung wird berücksichtigt. Die OWF-Version (als Windows NT-OWF-Kennwort bezeichnet) wird mithilfe des RSA MD-4-Verschlüsselungsalgorithmus berechnet. Dieser Algorithmus berechnet aus den Bytes des unverschlüsselten Kennwortes, das in Form einer Zeichenfolge variabler Länge vorliegt, ein 16 Byte umfassendes "Extrakt"."

 

Ist das noch aktuell mit 128 Zeichen und RSA MD-4? Der Artikel ist leider von 2003.

 

"Die LAN Manager-Version des Kennwortes fehlt dann, wenn das Kennwort von einem Client unter Windows NT aus festgelegt oder geändert wurde und wenn das Kennwort nicht über eine LAN Manager-Darstellung verfügt (d.h., wenn es mehr als 14 Zeichen umfasst oder die Zeichen nicht im OEM-Zeichensatz dargestellt werden können)"

 

Also heißt dies, dass standartmäßig immer beide Passwörter erzeugt werden, falls es nicht vorher vom System deaktiviert wurde ein LAN Manager Passwort zu hinterlegen?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

AD gehört auch zum Betriebssystem, man wird das also nicht sinnvoll ignorieren können.

 

An den Algorithmen hat sich meines Wissens nichts Grundlegendes geändert. Und ja, wenn man kurze Kennwörter verwendet und den LM-Hash nicht abgeschaltet hat, speichert Windows beide Varianten (wie ich oben schon schrub).

 

Gruß, Nils

Link zu diesem Kommentar
Heck Apprentice

Heck   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Ok Danke!

 

Noch eine kleine Frage:

 

Sie können das Programm "SysKey" verwenden, um die SAM-Datenbank zusätzlich zu schützen, indem Sie den Verschlüsselungsschlüssel der SAM-Datenbank vom Windows-Computer entfernen. Außerdem kann das Programm "SysKey" zum Konfigurieren eines Startkennwortes verwendet werden, das zum Entschlüsseln des Systemschlüssels eingegeben werden muss, sodass Windows auf die SAM-Datenbank zugreifen kann

 

Ich verstehe den Sinn dahinter leider nicht ganz. Dachte eigentlich, dass ich mit Hilfe des Syskey eine 128 Bit Verschlüsselung erzeugen kann. Worin besteht der Sinn, den Systemschlüssel vom System zu entfernen? Oder ist dies nur für die Benutzeranmeldung gedacht, dass ich den Systemschlüssel auf einem externen Datenträger speichere und diesen dann bei der Anmeldung einlegen muss und dann anhand des Schlüssels auf dem Datenträger mein Kennwort abgeglichen wird?

Wie kann dann Windows auf die SAM-Datenbank zugreifen?

Oder muss ich den Datenträger einlegen, bevor ich das Benutzerkennwort eingebe, der Datenträger dann zuerst die SAM-Datenbank entschlüsselt und anschließend dann mein eingegebenes Benutzerkennwort mit dem in der SAM-Datenbank enthaltenen abgeglichen wird?

 

Wird eigentlich bei der Eingabe des Benutzerkennworts das Kennwort in der SAM-Datenbank entschlüsselt oder anhand des Chiffrats (oder wie oben beschrieben Extrakt) abgeglichen ?

bearbeitet von Heck
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

Syskey ist eine optionale Verschlüsselung der SAM-Datenbank, die Offline-Angriffen vorbeugen soll. Der Schlüssel muss beim Systemstart zur Verfügung stehen. Heutzutage würde man aber eher mit BitLocker arbeiten.

 

Das Kennwort steht nicht in der SAM-Datenbank und auch nicht im AD. Dort steht nur der Hash.

 

Wenn du dich für eine Diplomarbeit mit dem Thema befasst, solltest du aber durchaus noch etwas die zahlreichen vorhandenen Quellen durcharbeiten. Die ganzen Basisfragen sind durchaus umfassend dokumentiert.

 

Gruß, Nils

Link zu diesem Kommentar
Heck Apprentice

Heck   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)
LM bzw. NTLM bzw. Kerberos sind die Authentifizierungsmechanismen per Netzwerk.

Wie das Passwort in der SAM gespeichert ist hat damit wenig zu tun.

 

Bei Unix gab es passwortfiles mit Klartextpasswörtern und seit längerem ein shadowfile mit dem Verschlüsselten Passwort.

/etc/shadow bzw. /etc/passwd

 

Habe leider 4 verschiedene Quellen, in denen immer unterschiedliche Aussagen vor zu finden sind. Ist die Datei in /ect/passwd als plaintext gespeichert oder nicht?

Habe in 2 Papers Aussagen wie diese:

Traditional UNIX systems store the encrypted passwords and other user account

information in the plaintext file /etc/passwd. However, the /etc/passwd file needs to be

globally readable as it is used by many tools such as ‘ls’ to map user IDs to user names

Sind die Benutzernamen Informationen immer noch als plaintext dort gespeichert nur das Passwort mit einem Platzhalter ersetzt, der auf das in dem /shadow Verzeichnis verschlüsselte Passwort verlinkt?

 

Ist eigentlich der DES-Algorithmus mit Salt und der Speicherung des Password im shadow noch aktuell? Es wurde doch mittlerweile durch den MD5 ersetzt oder ?

Wird der Salt als plaintext im lesbaren Verzeichnis gespeichert?

bearbeitet von Heck
Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...