Tekninen yleiskatsaus salasanoihin (2023)

Tämä sovellus: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Tämä IT-ammattilaisille tarkoitettu aihe käsittelee Windows-salasanojen käyttöä Windows Server 2012:sta ja Windows 8.1:stä alkaen alkavissa Windows-versioissa. Siinä käsitellään myös vahvoja salasanoja, tunnuslauseita ja salasanakäytäntöjä.

Kuinka salasanat tallennetaan Windowsissa

Tämä artikkeli sisältää tietoa "levottomasta" salasanan tallentamisesta.

Windows edustaa salasanoja 256 merkin UNICODE-merkkijonoissa, mutta kirjautumisikkuna on rajoitettu 127 merkkiin. Siksi pisin mahdollinen salasana sisältää 127 merkkiä. Ohjelmat, kuten palvelut, voivat käyttää pidempiä salasanoja, mutta ne on asetettava ohjelmallisesti.

Windows-käyttöjärjestelmä tallentaa salasanat monin eri tavoin eri tarkoituksiin.

Salasanat on tallennettu OWF-muodossa

Käytettäväksi Windows-verkoissa, mukaan lukien Active Directory -toimialueet, salasana tallennetaan oletusarvoisesti kahdella eri tavalla: LAN Manager One Direction Function (LM OWF) -funktiona ja NT OWF:nä. "Yksisuuntainen funktio" on termi tietojen yksisuuntaiselle matemaattiselle muunnokselle. Muunnetut tiedot voidaan muuntaa vain yhdellä tavalla salauksella, eikä niitä voi peruuttaa. Yleisin käytössä oleva yksisuuntaisen funktion tyyppi on kryptografinen hajautus. Hajautus on pieni joukko tietoja, jotka liittyvät matemaattisesti suurempaan tietojoukkoon, josta tiiviste lasketaan. Jos suurin tietojoukko muuttuu, myös hajautus muuttuu. Tiivisteet ovat hyödyllisiä esimerkiksi tarkistussummina sen varmistamiseksi, että tiedot eivät ole muuttuneet lähetyksen aikana. Salaustiiviste on tiiviste, joka täyttää tietyt ominaisuudet. Esimerkiksi kryptografinen tiiviste on luotava siten, että on matemaattisesti mahdotonta päätellä suurinta tietojoukkoa kohtuullisessa ajassa pelkästä tiivisteestä. Samoin on matemaattisesti mahdotonta löytää kahta suurta tietojoukkoa, jotka luovat saman hashin.

Yksisuuntaisia ​​toimintoja on monia erilaisia. Kaikki hash-funktiot ovat määritelmän mukaan yksisuuntaisia ​​toimintoja. Kuitenkin yleisiä salaustoimintoja, jotka ovat yleensä palautuvia, voidaan käyttää myös yksisuuntaisen funktion luomiseen. Tämä voidaan tehdä vaihtamalla tiedot ja avain salaustoiminnossa ja salaamalla kiinteä arvo (avain) käyttämällä dataa avaimena. Näin LM-hajautus lasketaan. LM-tiiviste lasketaan seuraavasti:

1. Salasana on täytetty NULL-tavuilla tarkalleen 14 merkkiin. Jos salasana on pidempi kuin 14 merkkiä, se korvataan 14 NULL-tavulla jäljellä oleville toiminnoille.
2. Salasana muunnetaan isoiksi kirjaimille.
3. Salasana on jaettu kahteen 7-tavuiseen (56-bittiseen) avaimeen.
4. Jokaista avainta käytetään kiinteän merkkijonon salaamiseen.
5. Vaiheen 4 kaksi tulosta ketjutetaan ja tallennetaan LM-tiivisteenä.

OWF LM -algoritmi sisältyy Windowsiin taaksepäin yhteensopivuuden takaamiseksi ohjelmistojen ja laitteistojen kanssa, jotka eivät voi käyttää uudempia algoritmeja.

NT hash on vain hash. Salasana hajautetaan MD4-algoritmilla ja tallennetaan. Nt OWF:ää käytetään toimialueen jäsenten todentamiseen sekä Windows NT 4.0:ssa että aiemmissa toimialueissa ja Active Directory -toimialueissa.

NT hash tai LM hash ei ole suolattu. Suolaus on prosessi, jossa salasana yhdistetään satunnaiseen numeeriseen arvoon (salt) ennen yksisuuntaisen funktion laskemista.

Salasanan arkistointi Active Directoryssa

Levottomien tilojen salasanat on tallennettu useisiin Active Directory -tietokannan attribuutteihin (NTDS.DIT-tiedosto). Nämä attribuutit on lueteltu seuraavassa taulukossa:

Kun NT-tiiviste on tallennettu DIT-tiedostoon, se on suojattu kahdella salaustasolla. Windows Server 2016/Windows 10:ssä ja uudemmissa käyttöjärjestelmissä se salataan ensin DES:llä taaksepäin yhteensopivuutta varten ja sitten CNG BCrypt AES-256:lla (katsoCNGBCRYPT_AES_ALGORITHM). Vanhemmat Windows salaavat NT-tiivisteet käyttämällä kahta salaustasoa DES + RC4.

Lisätietoja täydentävistä valtuustiedoista on kohdassaMS-SAMR: täydentävät valtuustiedoteTäydentävät tunnisterakenteet.

Salasanat on tallennettu paikalliseen sam

Työasemilla ja toimialueen jäsenillä paikallisten käyttäjätilien salasanatiivisteet tallennetaan rekisterissä sijaitsevaan paikalliseen Security Account Manager (SAM) -tietokantaan. Ne salataan samoilla salaus- ja hajautusalgoritmeilla kuin Active Directory. Paikallisten käyttäjätilien lisätunnukset-attribuutissa olevat salasanat on myös tallennettu paikalliseen SAM-tietokantaan Windows Server 2016:sta lähtien.

Välimuistissa olevat käyttäjätiedot

Windows tarkistaa myös toimialueen jäsenten salasanat, kun toimialueen käyttäjä kirjautuu kyseiseen toimialueen jäseneen. Tätä todentajaa voidaan käyttää toimialueen käyttäjän todentamiseen, jos tietokone ei pysty käyttämään toimialueen ohjauskonetta. Salasanan vahvistajaa kutsutaan yleisesti myös välimuistissa oleviksi tunnistetiedoksi. Se lasketaan ottamalla NT-tiiviste, yhdistämällä käyttäjänimi ja tiivistämällä sitten tulos käyttämällä MD4-hajautusfunktiota.

Kuinka salasanat toimivat Windowsissa

Windowsissa ja monissa muissa käyttöjärjestelmissä yksi tapa todentaa käyttäjän identiteetti on käyttää tunnuslausetta tai salasalasanaa.

Suosittelemme käyttämään suojattua monitekijätodennusta, kuten älykorttia, FIDOa ja Windows Hello for Businessia. Salasanatodennus vaaditaan kuitenkin edelleen joissakin tilanteissa.

Verkkoympäristösi suojaaminen edellyttää, että kaikki käyttäjät käyttävät vahvoja salasanoja. Tämä auttaa välttämään uhkan, että hyökkääjä arvaa heikon salasanan joko manuaalisin menetelmin tai työkalujen avulla saadakseen vaarantuneen käyttäjätilin tunnistetiedot. Tämä koskee erityisesti hallinnollisia tilejä. Kun vaihdat säännöllisesti vahvan salasanan, vähennät onnistuneen salasanahyökkäyksen todennäköisyyttä.

Salasanakäytäntöasetukset säätelevät salasanojen vahvuutta ja ikää. Salasanakäytännöt vaikuttavat Windowsin salasanoihin, eivät välttämättä sisällä salasanoja.

Käyttäjien mahdollisuutta vaihtaa salasanoja säätelevät salasanakäytännöt ja käytettävissä olevat rajapinnat. Esimerkiksi Secure Desktopin kautta käyttäjät voivat vaihtaa salasanansa milloin tahansa järjestelmänvalvojan tai toimialueen järjestelmänvalvojan hallinnoimien salasanakäytäntöjen perusteella. Windows Vaultin, BitLockerin ja Encrypting File Systemin kaltaisten ominaisuuksien avulla käyttäjät voivat vaihtaa kyseiseen ominaisuuteen liittyviä salasanoja.

Kuinka Windowsin salasanoja käytetään

Kun käyttäjä kirjautuu sisään, käyttäjän kirjoittama salasana muunnetaan molemmiksi yksisuuntaisiksi funktioiksi, ja LSASS-prosessi säilyttää sen muistissa. Jos käyttäjä käyttää todentamiseen paikallista tiliä, NT OWF:ää verrataan paikallisesti tallennettuun NT-hajautusarvoon, ja jos nämä kaksi täsmäävät, käyttäjä kirjautuu sisään. Jos käyttäjä todentaa Active Directory -toimialueen käyttämällä isäntänimeä päästäkseen resurssiin, NT-tiivistettä käytetään Kerberos-kirjautumisessa Key Distribution Centerissä (KDC), joka on yleensä toimialueen ohjain.

Kerberosta ei voi käyttää seuraavissa tilanteissa:

• Todennus vain toimialueella, jossa on Windows NT 4.0 tai vanhempi
• Active Directory -toimialueen jäsenen resurssin käyttäminen käyttämällä IP-osoitetta isäntänimen sijaan
• Pääsy resurssiin tietokoneessa, joka ei ole Active Directory -toimialueen jäsen
• Pääsy resurssiin tietokoneessa, joka on Active Directory -toimialueen jäsen, mutta johon toimialue ei luota
• Pääsy mihin tahansa resurssiin tietokoneessa, joka ei tue Kerberosia

Näissä tilanteissa todennusprosessi käyttää kahta eri protokollaa, joita kutsutaan LAN Manageriksi ja NTLM:ksi. Prosessi alkaa siitä, että asiakas pyytää kyselypyyntöä todennuspalvelimelta. Saatuaan vahvistuspyynnön asiakas laskee vastauksen tähän pyyntöön. Tämä tehdään täyttämällä kaksi salasanatiivistettä 168-bittisillä nolla-arvoilla. Kunkin tiivisteen 168 bittiä jaetaan sitten kolmeen 56-bittiseen DES-avaimeen. Kuutta DES-avainta käytetään sitten pyynnön salaamiseen. Kolme LM-tiivistettä käyttämällä tuotettua salaustekstiä ketjutetaan ja niistä tulee LAN Managerin vastaus. Kolme NT-tiivistettä käyttämällä tuotettua salaustekstiä ketjutetaan ja niistä tulee NTLM-vastaus.

Vasteen laskemiseen käytettyjä toimintoja voidaan muuttaa Compatibility Level -asetuksellaLMkohdassa Verkkosuojaus: todennustasoLAN ManagerPaikallinen ryhmäkäytäntö. Jos tämä arvo on 1 tai pienempi, asiakas lähettää alkuperäiset LAN Manager- ja NTLM-vastaukset. Jos asetus on 2, vain NTLM-vastaus lähetetään. Jos asetus on 3 tai uudempi, molempien protokollien uutta versiota käytetään. NTLM-version nimi on NTLMv2. LAN Managerin versiota kutsutaan usein nimellä LMv2. Molemmat protokollat ​​käyttävät NT-hajautusarvoa vastauksen laskemiseen, ja molemmat käyttävät asiakaspuolen pyyntöä palvelinpyynnön sijasta tai sen lisäksi. Myös, jos Yhteensopivuustaso-asetusLMon asetettu arvoon 1 tai uudempi, NTLM-vaste on aikaleimattu uusintahyökkäysten estämiseksi. AsetustiedotLM-yhteensopivuustaso, näkyVerkkosuojaus: LAN Managerin todennustaso.

Monimutkaiset salasanat

Salasanat tarjoavat ensimmäisen suojan organisaatiosi luvattomalta käytöltä. Windows Server 2003:sta alkaen Windows järjestelmänvalvojan tilin salasanan monimutkaisuus käyttöjärjestelmän asennuksen aikana. Jos salasana on tyhjä tai se ei täytä monimutkaisuusvaatimuksia, Windowsissaperustaasinua pyydetään luomaan vahva salasana järjestelmänvalvojan tilille. Jos jätät tämän salasanan tyhjäksi, et voi käyttää tätä tiliä verkossa.

Heikot salasanat mahdollistavat hyökkääjien pääsyn tietokoneihisi ja verkkoosi helposti, kun taas vahvoja salasanoja on huomattavasti vaikeampi murtaa. Seuraavassa taulukossa verrataan heikkoja ja vahvoja salasanoja.

Esimerkki vahvasta salasanasta on J*p2leO4F>.

Salasana voi täyttää useimmat vahvan salasanan kriteerit, mutta on silti melko heikko. Esimerkiksi Hello2U! se on suhteellisen heikko salasana, vaikka se täyttää useimmat vahvan salasanan kriteerit ja täyttää myös salasanakriteerien monimutkaisuusvaatimukset. H!elZl2o on vahva salasana, koska sanakirjan sanassa on symboleja, numeroita ja muita kirjaimia. On tärkeää kouluttaa käyttäjiä vahvojen salasanojen käytön eduista ja opettaa heitä luomaan todella vahvoja salasanoja.

Voit luoda salasanoja, jotka sisältävät merkkejä laajennetusta ANSI-merkistöstä. ANSI-laajennettujen merkkien käyttö lisää salasanaa luotaessa valittavien merkkien määrää. Tämän seurauksena salasanojen murtautumisohjelmistolla saattaa kestää kauemmin murtaa näitä laajennettuja ANSI-merkkejä sisältäviä salasanoja kuin muiden salasanojen. Ennen kuin käytät ANSI-laajennettuja merkkejä salasanassasi, testaa ne huolellisesti varmistaaksesi, että laajennettuja ANSI-merkkejä sisältävät salasanat ovat yhteensopivia organisaatiosi käyttämien sovellusten kanssa. Laajennettujen ANSI-merkkien käyttäminen salasanoissa on erityisen tärkeää, jos organisaatiosi käyttää useita käyttöjärjestelmiä. Nämä järjestelmät voidaan esimerkiksi standardoida ISO-8859-15:ssä. Varsinainen Windows-protokollan toteutus käyttää usein UNICODE- tai UTF8-koodia todellisen ANSI-koodauksen sijaan.

Esimerkkejä salasanoista, jotka sisältävät merkkejä laajennetusta ANSI-merkistöstä, ovat kUμ![0o ja Wf©$0k#»g¤5ªrd.

Tunnuslause Windowsissa

Tunnuslause on erilainen merkkipohjainen salasana, jossa tunnukset ovat sanoja eikä merkistöjen symboleja. Esimerkki salasanasta on lause, joka sisältää erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia. Pääerot tunnuslauseen ja salasanan välillä ovat:

• Tunnuslause sisältää yleensä välilyöntejä. salasanat eivät.
• Tunnuslause on paljon pidempi kuin useimmat sanat, ja mikä tärkeintä, pidempi kuin mikä tahansa satunnainen kirjainjono, jonka tavallinen ihminen voisi muistaa.

Käytännössä asetetun merkkirajoituksen mukaisia ​​salalauseita on yleensä vaikeampi murtaa kuin salasanoja, koska ne sisältävät enemmän merkkejä. LM- ja NT-tiiviste tallentaa salasanan tai tunnuslauseen, ja LM-tiiviste on heikompi näistä kahdesta.

On useita tapoja varmistaa, että LM-tiivistettä ei tallenneta. yksi niistä on yli 14 merkin pituisten salasanojen tai tunnuslauseiden käyttö. Voit myös käyttää verkon suojausasetusta: Älä tallenna LAN Managerin hajautusarvoa seuraavan salasanan vaihdon yhteydessäRyhmäkäytännön asetus. Tämä käytäntöasetus poistaa Storage LM -tiivisteet käytöstä maailmanlaajuisesti kaikilta tileiltä. Muutos tulee voimaan, kun seuraavan kerran vaihdat salasanasi. Koska käytäntö ei tule voimaan heti, et heti huomaa mahdollisia yhteentoimivuusongelmia, jotka johtuvat siitä, ettei LM-tiivistettä ole tallennettu.

Paikalliset salasanakäytännöt ovat saatavilla Windowsissa

Voit ottaa käyttöön salasanakäytäntöasetuksen, joka pakottaa salasanan monimutkaisuusvaatimukset. Lisätietoja tästä käytäntöasetuksesta on kohdassaSalasanan on täytettävä monimutkaisuusvaatimukset. Lisätietoja salasanakäytäntöjen soveltamisesta on kohdassaKäytä tai muuta salasanakäytäntöä. Lisätietoja kaikista käytettävissä olevista salasanakäytäntöasetuksista on kohdassaSalasanakäytännöt.

Tarkat salasanakäytännöt ovat saatavilla Active Directory Domain Servicesin (Ad DS) kautta

Windows Server 2008:sta alkaen voit käyttää hienojakoisia salasanakäytäntöjä määrittääksesi useita salasanakäytäntöjä ja soveltaaksesi erilaisia ​​salasanarajoituksia ja tilin lukituskäytäntöjä eri käyttäjäryhmille yhden toimialueen sisällä. Esimerkiksi etuoikeutettujen tilien turvallisuuden lisäämiseksi voit soveltaa rajoitetumpia asetuksia etuoikeutetuille tileille ja sitten vähemmän rajoittavia asetuksia muille käyttäjätileille. Joissakin tapauksissa saatat joutua soveltamaan erityisiä salasanakäytäntöjä tileille, joiden salasanat on synkronoitu muiden tietolähteiden kanssa.

Tarkkojen salasanakäytäntöjen tallentamista varten Active Directory Domain Services -skeemassa on kaksi uutta objektiluokkaa:

• Salasana-asetukset-säilö
• Salasana-asetukset

Lisätietoja näistä käytännöistä on kohdassaActive Directory Domain Services: Tarkka salasanakäytäntö.