6. Zaštita

Prva stvar koju je potrebno uraditi, jest isključiti spremanje sažetaka korisničkih lozinki u LM formatu [20]. To se radi na sljedeći način u Windowsima XP, a za ostale se upute mogu naći na Internet stranici [20]:

  • Pokrenemo registry editor: start -> run -> regedit
  • U stablu s lijeve strane pronađemo i odaberemo sljedeću stavku: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • Na edit meniju odaberemo New te DWORD value, unesemo NoLMHash te pritisnemo enter.
  • Na edit meniju odaberemo Modify, unesemo 1 te pritisnemo OK.
  • Izađemo iz registry editora, ponovno pokrenemo računalo te promijenimo lozinku da bismo aktivirali novu postavku.

Moguće je i odjednom cijeloj grupi korisnika maknuti spremanje lozinki u obliku LM sažetka:

  • Pokrenemo security settings konzolu: start -> run -> mmc /a
  • Otvaramo redom u stablu s lijeve strane sljedeće stavke: Computer configuration -> Windows settings -> Security settings -> Local policies -> Security options.
    • Ako je cijela površina konzole prazna potrebno je stvoriti Snap-in. File -> New File -> Add/remove Snap-in > Add -> Group Policy Object Editor -> Add -> Finish -> Close -> Ok. Zatim otvorimo gore navedenu stavku u stablu.
  • Odaberemo stavku Network security: Do not store LAN Manager hash value on next password change, te pritisnemo enable te OK.

Sljedeća stvar na koju treba pripaziti jest da je minimalna duljina lozinki barem 8, iako, budući da je kod NTLM-a ograničenje duljine lozinke 127, može biti i puno dulja. Na primjer rečenica iz neke knjige, stih neke pjesme ili nešto slično. Ovo možemo staviti kao politiku koju će svi korisnici morati poštivati:

  • Pokrenemo security settings konzolu: start -> run -> mmc /a
  • Otvaramo redom u stablu s lijeve strane sljedeće stavke: Computer configuration -> Windows settings -> Security settings -> Account policies > Password policies. Ako je konzola prazna, slijedimo proceduru opisanu u dijelu o micanju LM sažetka.

Ovdje se nalazi više postavki, između kojih su bitnije Maximum passwod age kojom možemo odabrati broj dana nakon kojeg korisnici moraju promijeniti lozinku. Zatim postoji Minimum password length kojom možemo postaviti minimalnu dužinu lozinke.

Za obranu protiv USB Switchbladea i USB Hacksawa jest dovoljno isključiti automatsko pokretanje CD-ova i DVD-ova. To možemo učiniti ili za stalno, ili držanjem shift tipke prilikom umetanja USB diskova u računalo pa se samo za ovo umetanje neće pokrenutu autorun. Za stalno, to činimo na sljedeći način:

  • Pokrenemo registry editor: start -> run -> regedit
  • Otvorimo sljedeću stavku: HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> Cdrom.
  • Odaberemo stavku AutoRun dvostrukim klikom mišem te u polje Value unesemo 0. Pritisnemo OK te ponovno pokrenemo računalo.

Za obranu od samo određenih paketa kod USB Switchbladea i Hacksawa potrebno je osigurati sustav od svakog željenog paketa, što je vrlo nezahvalan posao, te je jednostavnije i sigurnije isključiti automatsko pokretanje CD-ova i DVD-ova.

U svakom slučaju, preporučljivo da se nikad u Internet preglednicima ne spremaju nikakve lozinke za Internet stranice, poput računa Internet bankarstva, čijom bi krađom mogla biti počinjena šteta, bilo financijska bilo emocionalna.