000000 ランダム
 HOME | DIARY | PROFILE 【お気に入りブログ登録】 【ログイン】

noahnoah研究所

2006/09/21
XML
カテゴリ:セキュリティ
またもや某所でパスワード解析ツールが紹介され、話題になっていました。

例によってツールを紹介するのみで、悪用を助長するだけの内容でしたが。

パスワードが設定されたPCでも管理者権限で使えるとされる、このパスワード解析ツールからPCを守るためには、以前「弱いWindowsパスワードを強化する」で紹介した通り、15文字以上のパスワードを使うか、LMハッシュでパスワードが保存されないように設定を変更するだけで済むと考えられます。

Windows でパスワードの LAN Manger ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

普通は覚えやすい短いパスワードを使うでしょうから、LMハッシュによる弱いパスワードが保存されない設定にする方が現実的ですね。

WindowsXPや2000ならレジストリエディタでNoLMHashを設定する方法がおすすめですが、宗教上の理由でレジストリは直接さわりたくないという人は、Microsoft Shared Computer Toolkit for Windows XPを使うとよいかもしれません。

この怪しげなツールのダウンロードには、正規のWindowsを使っているかチェックが入ったり、「User Profile Hive Cleanup Service」を事前にインストールしておく必要があるなど、とても面倒なのですが、レジストリを修正するよりも効果が判りやすいと思います。

インストール後、「はじめに」を起動すると「Shared Computer Toolkitをお使いになる前に」という画面が出ますが、「手順2.コンピュータセキュリティ設定を選択する」を選ぶと、LMハッシュを使わない設定にできるだけでなく、パスワードの安全性チェックもできるようになります。

「Windowsに(LMHashを使用せずに)セキュリティ保護された形式でパスワードを格納するよう強制する。」にチェックするだけです。
Windowsに(LMHashを使用せずに)セキュリティ保護された形式でパスワードを格納するよう強制する。

あらかじめレジストリで修正しておくと、チェックが入った状態で表示されますので、動作確認にもなりますね。

設定した後にパスワードを一度更新するだけで有効になりますが、その効果は「パスワードをテスト」をクリックするだけで確認できます。
パスワードをテスト

無事テストに合格すると、こんな表示が出ます。
このアカウントのパスワードを推測できませんでした。パスワードテストに合格しました。

ついでに「Internet ExplorerでMicrosoft Officeドキュメントを開くことができないようにする。」にもチェックを入れておくことをおすすめします。
Internet ExplorerでMicrosoft Officeドキュメントを開くことができないようにする。

ブラウズ中に危険なOfficeファイルを踏んでしまう場合もありますので。






Last updated  2006/09/22 02:13:51 AM
コメント(0) | コメントを書く


Copyright (c) 1997-2017 Rakuten, Inc. All Rights Reserved.