我有活動目錄和幾個客戶端計算機加入了活動目錄。
在客戶端計算機上,我安裝了wcf客戶端。
在服務器上,wcf服務託管在IIS中。
我使用Windows憑據的消息保密性。wcf windows集成安全
一切工作正常。
但我聽說有一些程序可以從windows中提取密碼(將光盤放入光盤並重新啓動計算機)。
他們可以使用該用戶並通過從其他地方訪問wcf服務並造成損害。
這是真的,我可以採取什麼步驟更安全?
Regards
西拉」的建議是所有有效的地方(不是AD)的Windows帳戶,但我相信您提出的威脅與SAM存儲的本地Windows密碼無關,因爲您正在討論將Windows系統加入域的Active Directory設置。
想必信息安全/ Windows憑據只允許訪問用戶帳戶在Active Directory中已經設置。 [這裏的所有討論都假設我們正在討論那些AD帳戶,而不是每個Windows客戶端上的本地帳戶。]
假設您只允許訪問AD帳戶的WCF服務,那麼WCF服務實際上只是脆弱攻擊者可以檢索(或猜測)明文密碼。由於您提到了現場CD攻擊的幽靈,我會進一步假設您只擔心Windows客戶端受到攻擊,而不是AD域控制器(其物理安全性大大高於Windows客戶端的物理保護) 。
所以你養的威脅是攻擊者能夠以某種方式找到用戶的AD密碼某處的Windows客戶端(或他們的密碼容易破碎當量)的硬盤驅動器上的可能性。這就是而不是 Live CD的攻擊類型通常很有用 - 正如Shiraz指出的那樣,它們非常適合從本地SAM中挖掘密碼哈希並幫助暴力破解嘗試許多密碼組合(或比較他們到當地或在線的「彩虹桌」,其中包含大量的預先計算的密碼值)。其中一些工具還會掃描這些密碼的本地緩存,例如保存密碼進行網站身份驗證的舊版瀏覽器 - 儘管現代瀏覽器現在已經避免了這些明文後門程序。
Windows客戶端上用戶AD密碼的主要緩存是「緩存域憑據」(即使您未連接到網絡,也允許您使用域密碼登錄)。這不是存儲爲您的AD密碼的簡單哈希值 - 而是使用本地SYSKEY加密的雙重哈希值和,使其嘗試蠻力時更加耗時。一個合理的長或強(或兩個)AD密碼使暴力攻擊幾乎不可行,除非是非常專門的攻擊者(如間諜活動,政府等)。因此,確保這是不可行的最有效的工具是設置一個合理的密碼政策 - 複雜的角色和體面的最小長度是好的;非複雜但非常長的密碼(又名密碼短語)也是值得的。
密碼威力的其他高速緩存的存在,但是這完全依賴用戶是否正在使用非常糟糕的應用程序 - 有目前市場上越來越少這樣的應用程序,但從來沒有說永遠。
這將取決於Windows的版本以及它的更新方式。以前有一個問題,您可以使用Linux CD啓動電腦,然後運行一個程序,對包含登錄信息的SAM文件進行暴力攻擊。
但是這造成任何傷害的可能性非常小:
爲了應對這些威脅:
我不能說我聽說過這個問題。我原以爲唯一可以獲得密碼的方法是從Active Directory本身獲取密碼,並且唯一的辦法就是如果您擁有域控制器訪問權限(即使可能)。我不認爲這是一個問題。 – stephenl 2010-10-08 08:05:35
我認爲客戶端還存儲域用戶和密碼,因爲即使活動目錄和域控制器關閉,客戶端仍然可以使用域憑據登錄到客戶端 – darpet 2010-10-08 08:22:21
(至少xp緩存密碼) – darpet 2010-10-08 08:43:39