Jak vzniká pocit, že Windows je úplně zabagovanej

Třeba takto. Nějakej "výzkumník" objeví (dlouho známý) velmi těžko zneužitelný nedostatek a když o tom napíše dostatečné hrozivý článek tak je z toho hned poprask a lidi ládují do registrů bezhlavě hodnoty, které zablokují všechno. Ten článek je v podstatě komplet přehnané strašení. Upozorňuje to explicitně navíc na firemní oběti, protože to ani pro workgroup počítače ani pro doménové stroje mimo dosah DC nefunguje.

Zaprvé to využívá SMB přístup do internetu. Jestli má firma na svém firewallu povolen zevnitř přístup na SMB do internetu, tak to se pak nemá proč divit. Druhak jestli firma neimplementuje žádnou multifaktorovou autentizaci, tak se nemá čemu divit. Takže prostor pro útok je minimální.

Třeťak to vychytává NTLMv2 response. Což je zasolená MD5 hash hesla. Takže jestli má uživatel správně dlouhé a komplexní heslo, to znamená alespoň 12 znaků, tak při použití nejrychlejšího nástroje hashcat a jedné GPU za cca 5000 Kč to bude krekovat cca 76 000 let. Takže drama největší. Začal jsem se toho děsně obávat.

Pokud chce někdo vychytávat hesla uživatelů, tak garantuju, že pokud uděláte stránku s nápisem "přihlašte se pomocí svého firemního účtu", tak to do toho formuláře zadá každý druhý uživatel a nemusí se krekovat žádná hash.

Dále rada na konci článku ohledně použití hodnoty RestrictReceivingNTLMTraffic a RestrictSendingNTLMTraffic je už úplný nesmysl, to se na mě nezlobte. Blokovat "receiving NTLM" (neboli Network Security: Restrict NTLM: Incoming NTLM traffic) tzn. příjem NTLM na straně podnikového klienta nejspíš provozně nevadí, ale zaručeně to neřeší popisovanou vulnerabilitu.

Ano, zablokovat "sending NTLM" (neboli Network Security: Restrict NTLM: Outgoing NTLM traffic) by proti tomuto "útoku" ochránilo. Dobrá tak to udělejte a užijte si těch padesát věcí, které vám potom nepojedou. Tohle nastavení, tedy zablokovat NTLM se snažím dělat posledních pár let všude, kde dělám nějaké zabezpečení a ze zkušenosti můžu garantovat, že to udělat nemůžete. Protože vám potom x věcí prostě nepojede. První je RDP v 90% případů. Druhý je SQL klienti v 50% případů. NTLM prostě v podnikové síti vypnout nejde, protože to na to není připravené. Howgh.

Takže až zase budete číst nějaké strašáky, tak to berte jako stejnou propagandu, jako jsou libovolné jiné zaručeně "nejdůvěryhodnější" články o politice, válkách, společnosti, ekologii apod.