今回は前回に引き続きAbelの強力な機能をご紹介。
ナニナニ、もう試しちゃっただって?
知らねーよそんなコトまぁそう言わずに聞いてくれたまえよ。
前回はAbelのConsole機能を紹介したので、今回はHashes機能を紹介する。
このHashes機能はLMハッシュ(Lan Manager ハッシュ)というハッシュ値を取り出す機能だ。
このハッシュ値はパスワードに対して不可逆な演算を施して生成した擬似乱数、まぁ平たく言えば暗号化されたパスワードだな。
まず、前回同様 [Network] タブを開いてAbelを実行しているマシン開く。
ここで [Hashes] をクリックするとダイアログボックスが表示されるので、「はい」か「いいえ」のどちらかをクリックする。
(ちなみにこのダイアログはパスワードの変更履歴を表示するか聞いているだけなのでどちらでもヨシ)
(クリックで元画像表示)
これでLMハッシュが取り出せたってワケだな。
(例によって赤で塗りつぶしているのはここでは開示できない情報です。)
(クリックで元画像表示)
ではここで対策をば。
このLMハッシュはレジストリのSAM(セキュリティ アカウント マネージャ)に保存されている。
(ファイルでいうと%systemroot%\system32\configにあるsamファイル)
なので、このLMハッシュが保存されないようにしてやればいいのだ。
方法として調べた3つの方法を書くことにしよう。
1つ目、もっともカンタンな方法としては15文字以上のパスワードを使うことだ。
パスワードを忘れない自信があるならこの方法がもっとも手っ取り早い。
2つ目、15文字のパスワードが面倒ならグループポリシーを変更する方法がある。
グループポリシーオブジェクトエディタにて [コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[セキュリティオプション] の順に展開し、[ネットワークセキュリティ: 次のパスワードの変更でLAN Managerのハッシュの値を保存しない]を有効にすればいい。
(クリックで元画像表示)
3つ目、あまりオススメはしないがレジストリを編集する方法がある。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaを展開し、新規DWORD値としてNoLMHashを作成すればいい。
(レジストリの編集は自己責任ということでひとつ。もはやナンセンスな警告だけど一応ね。)
(クリックで元画像表示)
3つの方法を挙げたが、もちろんLMハッシュは暗号化された姿なので、そのままパスワードとしては使えない。
そこで次回はこの暗号を解除する(いわゆるパスワードクラックやね)方法を書いてみることにしよう。
といったところでまた次回。
え?なに?
いいトコロで次回とか言うな?
このイケズ?
やーん、イケズなんて言わんとってぇ。
あんまり長くなるとアレだと思っただけなんだ。ホントなんだ。
決してもうメンドクサイし次回でいいかとかそんなこと考えてたワケじゃないんだ。