Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

22 Kapitel 2: Authentifizierung und Authentifizierungsprotokolle
Windows nutzt Abwandlungen aller dieser Techniken, um Kennwörter zu speichern. In den
folgenden Abschnitten beschreibe ich die fünf wichtigsten Methoden, wie Windows Kennwörter
speichert, mit denen Benutzer in Windows selbst authentifiziert werden.
LM-Hash
Der LM-Hash ist genau genommen gar kein Hashwert, auch wenn er einige Eigenschaften
damit gemeinsam hat. Es handelt sich um eine unidirektionale Funktion, die intern normalerweise
als LMOWF (LanManager One-Way Function) bezeichnet wird. In Windows Vista
und Windows Server 2008 wird der LM-Hash in der Standardeinstellung nicht gespeichert,
und er wird auch nicht bei einer Netzwerkauthentifizierung benutzt. In älteren Windows-
Versionen wurde der LM-Hash dagegen normalerweise gespeichert und übertragen. Daher
sollten Sie wissen, wie der LM-Hash funktioniert. Beachten Sie, dass sowohl Windows Vista
als auch Windows Server 2008 so konfiguriert werden können, dass sie den LM-Hash speichern
und die Authentifizierung damit durchführen. Davon wird aber abgeraten, weil die
Algorithmen Schwächen aufweisen.
Direkt aus der Praxis: Geschichte von LM-Hash
Der LM-Hash wurde von Microsoft erstmals im LAN-Manager-Netzwerkbetriebssystem
verwendet, dessen letzte Version Anfang der 1990er erschien. LAN Manager lief über
dem Betriebssystem OS/2 von IBM. Als 1993 die erste Version von Windows NT erschien,
war es unverzichtbar, dass dieses neue Betriebssystem Interoperabilität mit LAN
Manager bot, damit für die Organisationen, die in LAN Manager investiert hatten, diese
Investitionen nicht plötzlich wertlos wurden. Das bedeutete aber auch, dass Windows NT
trotz seiner weit besseren Sicherheitsstrukturen im Vergleich zu LAN Manager unter
Schwächen von Entwurfsentscheidungen litt, die für LAN Manager Mitte der 1980er getroffen
wurden. Im Jahr 2006 lieferte Microsoft das erste Betriebssystem aus, das den
LAN-Manager-Kennworthashingmechanismus standardmäßig deaktivierte. Dieser
Mechanismus kann aber nach wie vor aktiviert werden. Es dauerte 13 Jahre, bis dieses
Feature in der Standardeinstellung als veraltet abgeschaltet wurde.
Jesper M. Johansson
Windows Security MVP
Der LM-Hash wird mithilfe zahlreicher relativ komplizierter Schritte generiert, die Abbildung
2.2 zeigt. Der Prozess beginnt, wenn ein Benutzer ein neues Kennwort anlegt. Das
gesamte Kennwort wird sofort in Großbuchstaben konvertiert. Anders ausgedrückt: Bei
Kennwörtern, die als LM-Hash gespeichert sind, wird nicht zwischen Groß- und Kleinschreibung
unterschieden.
Nachdem das Kennwort in Großbuchstaben konvertiert wurde, wird es auf eine Länge von
14 Zeichen aufgefüllt. Falls das Kennwort bereits länger als 14 Zeichen ist, müsste es in
diesem Schritt theoretisch verkürzt werden, aber in der Praxis schlägt der Prozess einfach
fehl: Es wird kein LM-Hash generiert, falls das Kennwort länger ist als 14 Zeichen. Aus
diesem Grund erhalten Sie eine Warnung, dass die Kompatibilität zu älteren Betriebssystemen
nicht gewährleistet ist, wenn Sie ein Kennwort festlegen, das länger ist als 14 Zeichen.