Almacenar password con reversible encriptacion

Es un riesgo a tener en cuenta. Que las contraseñas se almacenen con un
sistema *reversible* creo que es bastante claro el término :-)
Aumentas los riesgos ante un ataque a la base de Active Directory

Personalmente trataría de evitar esa opción, pero es una evaluación que
debes tomar tú en base a tu ambiente de red y necesidades de seguridad

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"Americo Fernando" wrote in
message news:

Buen dias,

Quisier saber que implicaciones pueda tener aplicar la politica para todos
los usuarios del dominio en sus propiedades de la cuenta de "Almacenar el
password con reversible encriptacion".
El punto es que se desea cambiar esta caractaristicas en las cuentas de
usuarios para permitir utilizar el protocolo de autenticacion CHAP con los
usuarios de acceso via RRAS, ya que es una condicion para este protocolo.
Esto abriria alguna brecha de seguridad para las cuentas de usuarios en el
dominio ?

Gracias por el interes y su tiempo

Por seguridad lo pensaria...( Tomado de SECURITY RESOURCE KIT Vol 2.)


Store Password Using Reversible Encryption Stores the password in such a way

that it can be decrypted by the operating system to be compared with a
plaintext

password. This option is required when using legacy protocols such as
Challenge

Handshake Authentication Protocol (CHAP) or Shiva Password Authentication

Protocol (SPAP) for authentication. When this option is selected, the next

time the user changes her password, the new password will be stored using a

reversibly encrypted form of the password that will be created. This hash is
sent

across the network for authentication purposes, then is decrypted and
matched

to the plaintext copy of the password. You should set this option only for

accounts that require the plaintext of the password to be known by the
domain

controller, such as those used in IIS digest authentication and
authentication

from Macintosh computers.

Important You cannot set the following account options on the built-in

Administrator account in Windows 2000, although they can be set in Windows

Server 2003:

■ Password Never Expires

■ Store Password Using Reversible Encryption

■ Account Is Disabled (except in Windows XP and Windows Server 2003)

■ Smart Card Is Required For Interactive Logon

■ Account Is Trusted For Delegation

■ Account Is Sensitive And Cannot Be Delegated

■ Use DES Encryption Types For This Account

■ Do Not Require Kerberos Preauthentication


Increasing the Security of Stored Passwords

To protect passwords stored in Active Directory, enable the following
configuration

options:

■ Do not implement protocols that require passwords to be stored in a
reversibly

encrypted format, such as Challenge Handshake Authentication Protocol

(CHAP) or digest authentication for Web applications. A password stored in
this

format is more susceptible to password attacks if attackers gain physical
access

to a domain controller. A password attack can easily decrypt passwords if
they

are stored in this format.

Note A password cracker can still crack passwords stored in Active Directory

that are not reversibly encrypted. The difference is that cracking a
normally

stored password takes much longer.

■ Disable LAN Manager (LM) hash values in the Active Directory database. A

password stored in an LM hash value is more susceptible to password attacks.

You can disable the storage of passwords in this format by enabling the
Network

Security: Do Not Store LAN Manager Hash Values On Next Password

Change Group Policy setting in Security Options. This security option is
available

only when you modify the GPO from a computer running Microsoft Windows

XP or Windows Server 2003. Group Policy is applicable to computers

that run Windows 2000 with Service Pack 2 or later, Windows XP, and Windows

Server 2003.

Caution Ensure that no client computers that require LM authentication

exist on the network. For clients running Microsoft Windows 95, Windows 98,
or

Windows Millennium Edition (Me), install the Directory Services Client
software

from the Windows 2000 Server CD. This client software ensures that computers

running Windows 95 and Windows 98 authenticate by using NT LAN Manager

version 2 (NTLMv2) authentication.


Rodolfo Parrado Gutiérrez
MVP Windows Server Security MCT MCSE MCSA MCP+I
https://mvp.support.microsoft.com/profile/Rodolfo

La seguridad no es binaria. No es un switch o aún una serie de switches. No
es un firewall, IDS, NIDS, PIDS, APIDS, IPS, HIDS. No puede ser expresada en
términos absolutos. No le creas a cualquier persona que intente convencerte
de otra manera. La seguridad es relativa, es solamente más segura y menos
segura. Adicionalmente, la seguridad es dinámica, todo cambia, las personas,
los procesos y la tecnología. Es por eso que en el fondo todos estos
factores hacen el manejo de la seguridad más difícil. Ten siempre en mente
que las personas y los procesos son partes integrales de la seguridad.
Eduque a las personas y las empresas, con los principios, las prácticas y
las recomendaciones, no solamente para estar equipadas para administrar la
seguridad, sino también para que estén equipadas en pensar acerca de la
seguridad. La seguridad interna es importante, no solo la externa.


"Americo Fernando" wrote in
message news:

Buen dias,

Quisier saber que implicaciones pueda tener aplicar la politica para todos
los usuarios del dominio en sus propiedades de la cuenta de "Almacenar el
password con reversible encriptacion".
El punto es que se desea cambiar esta caractaristicas en las cuentas de
usuarios para permitir utilizar el protocolo de autenticacion CHAP con los
usuarios de acceso via RRAS, ya que es una condicion para este protocolo.
Esto abriria alguna brecha de seguridad para las cuentas de usuarios en el
dominio ?

Gracias por el interes y su tiempo