लैन प्रबंधक

लैन प्रबंधक एक बंद नेटवर्क ऑपरेटिंग सिस्टम (एनओएस) है जो कई विक्रेताओं से उपलब्ध है और 3Com के सहयोग से माइक्रोसॉफ्ट द्वारा विकसित किया गया है। इसे 3Com के 3+साझा करें सर्वर (कंप्यूटिंग) सॉफ़्टवेयर के सफल होने के लिए डिज़ाइन किया गया था जो एमएस-डॉस के भारी संशोधित संस्करण पर चलता था।

इतिहास
लैन प्रबंधक OS/2 ऑपरेटिंग सिस्टम आईबीएम और माइक्रोसॉफ्ट द्वारा सर्वर संदेश ब्लॉक (एसएमबी) प्रोटोकॉल का उपयोग करके सह-विकसित किया गया था। यह मूल रूप से नेटबीआईओएस फ्रेम्स (एनबीएफ) प्रोटोकॉल या ज़ेरॉक्स नेटवर्क सिस्टम्स (एक्सएनएस) प्रोटोकॉल के एक विशेष संस्करण के ऊपर एसएमबी का उपयोग करता था। ये लीगेसी प्रोटोकॉल पिछले उत्पादों जैसे एमएस-डॉस के लिए एमएस-नेट ज़ेनिक्स एमएस-जेनिक्स के लिए ज़ेनिक्स-नेट, और पूर्वोक्त 3+शेयर से विरासत में मिले थे। यूनिक्स-आधारित सिस्टम के लिए लैन प्रबंधक का एक संस्करण जिसे लैन प्रबंधक/X कहा जाता है, भी उपलब्ध था। लैन प्रबंधक/X ओपन वीएमएस, अल्ट्रिक्स और Tru64 के लिए डिजिटल उपकरण निगम के पाथवर्क्स उत्पाद का आधार था।

1990 में, माइक्रोसॉफ्ट ने टीसीपी/आईपी (एनबीटी) पर नेटबीआईओएस का उपयोग करते हुए एसएमबी के लिए परिवहन प्रोटोकॉल के रूप में टीसीपी/आईपी के लिए समर्थन सहित कई सुधारों के साथ लैन प्रबंधक 2.0 की घोषणा की। लैन प्रबंधक का अंतिम संस्करण, 2.2, जिसमें MS-OS/2 1.31 बेस ऑपरेटिंग सिस्टम सम्मिलित था, 1993 में विंडोज एनटी3.1 के रिलीज़ होने तक माइक्रोसॉफ्ट का रणनीतिक सर्वर सिस्टम बना रहा है ।

संस्करण

 * 1987 - एमएस लैन मैनेजर 1.0 (बेसिक/एन्हांस्ड)
 * 1989 - एमएस लैन मैनेजर 1.1
 * 1991 - एमएस लैन मैनेजर 2.0
 * 1992 - एमएस लैन मैनेजर 2.1
 * 1992 - एमएस लैन मैनेजर 2.1ए
 * 1993 - एमएस लैन मैनेजर 2.2
 * 1994 - एमएस लैन मैनेजर 2.2ए

कई विक्रेताओं ने लाइसेंस प्राप्त संस्करण भेज दिए, जिनमें सम्मिलित हैं:
 * 3कॉम 3+खोलें
 * एचपी लैन मैनेजर/एक्स
 * आईबीएम लैन सर्वर
 * टेपेस्ट्री टोरस
 * सांता क्रूज़ ऑपरेशन

पासवर्ड हैशिंग एल्गोरिथम
एलएम हैश की गणना निम्नानुसार की जाती है:
 * 1) उपयोगकर्ता का पासवर्ड अधिकतम चौदह वर्णों तक सीमित है।
 * 2) उपयोगकर्ता का पासवर्ड अपरकेस में बदल दिया गया है।
 * 3) उपयोगकर्ता का पासवर्ड सिस्टम ओईएम कोड पृष्ठ में एन्कोड किया गया है।
 * 4) यह पासवर्ड 14 बाइट्स के लिए अमान्य-पैडेड है।
 * 5) "फिक्स्ड-लेंथ" पासवर्ड दो 7-बाइट भाग में विभाजित है।
 * 6) इन मानों का उपयोग दो डेटा एन्क्रिप्शन मानक कुंजी बनाने के लिए किया जाता है, प्रत्येक 7-बाइट आधे से एक, सात बाइट्स को बिट स्ट्रीम में सबसे महत्वपूर्ण बिट के साथ परिवर्तित करके और प्रत्येक सात बिट्स के बाद एक समता द्वियक डालने के लिए उपयोग किया जाता है (इसलिए   बन जाता है  ). यह डीईएस कुंजी के लिए आवश्यक 64 बिट्स उत्पन्न करता है। (एक डीईएस कुंजी में स्पष्ट रूप से 64 बिट्स होते हैं; चूँकि इनमें से केवल 56 वास्तव में एल्गोरिथम द्वारा उपयोग किए जाते हैं। इस चरण में जोड़े गए पैरिटी बिट्स को बाद में छोड़ दिया जाता है।)
 * 7) दो कुंजियों में से प्रत्येक का उपयोग निरंतर एएससीआईआई स्ट्रिंग "KGS!@#$%", [नोट्स 2] को डीईएस-एन्क्रिप्ट करने के लिए किया जाता है, जिसके परिणामस्वरूप दो 8-बाइट सिफरटेक्स्ट मान होते हैं।डीईएस सिफरमोड को ईसीबी पर सेट किया जाना चाहिए, और पैडिंगमोड को . पर सेट किया जाना चाहिए।
 * 8) इन दो सिफरटेक्स्ट मानों को 16-बाइट मान बनाने के लिए जोड़ा जाता है जो कि एलएम हैश है।

सुरक्षा कमजोरियां
लैन प्रबंधक प्रमाणीकरण क्रिप्टोग्राफ़िक हैश फ़ंक्शन की एक विशेष रूप से अशक्त विधि का उपयोग करता है, उपयोगकर्ता का पासवर्ड जिसे एलएम हैश एल्गोरिथम के रूप में जाना जाता है, 1980 के दशक के मध्य से प्रारंभ हुआ जब फ़्लॉपी डिस्क द्वारा प्रसारित वायरस प्रमुख चिंता का विषय थे। चूँकि यह डेटा एन्क्रिप्शन मानक पर आधारित है एक अच्छी तरह से अध्ययन किया गया ब्लॉक सिफर, एलएम हैश की डिजाइन में कई कमिया हैं।

यह इस तरह के हैश को कुछ ही सेकंड में इंद्रधनुष तालिका का उपयोग करके या कुछ ही मिनटों में पशुबल का आक्रमण का उपयोग करके क्रैक करने योग्य बनाता है। विंडोज एनटी से प्रारंभ करते हुए इसे एनटीएलएम द्वारा बदल दिया गया था, जो अभी भी इंद्रधनुषी तालिकाओं के लिए अशक्त है और जब तक लंबे, अप्रत्याशित पासवर्ड का उपयोग नहीं किया जाता है, तब तक क्रूर बल के हमले होते हैं, पासवर्ड क्रैकिंग देखें। एनटीएलएएम का उपयोग डोमेन नियंत्रकों को छोड़कर स्थानीय खातों के साथ लॉगऑन के लिए किया जाता है क्योंकि विंडोज विस्टा और बाद के संस्करण डिफ़ॉल्ट रूप से एलएम हैश को बनाए नहीं रखते हैं। करबरोस (प्रोटोकॉल) सक्रिय निर्देशिका वातावरण में प्रयोग किया जाता है।

लैन मैनेजर ऑथेंटिकेशन प्रोटोकॉल की प्रमुख कमिया हैं:
 * 1) पासवर्ड की लंबाई एएससीआईआई या एएससीआईआई प्रिंट करने योग्य वर्णों से चुने गए अधिकतम 14 वर्णों तक सीमित है।
 * 2) पासवर्ड केस सेंसिटिव नहीं होते हैं। हैश मान उत्पन्न करने से पहले सभी पासवर्ड अपरकेस में परिवर्तित हो जाते हैं। इसलिए एलएम हैश PassWord, password, PaSsWoRd, PASSword और अन्य समान संयोजनों को पासवर्ड के समान मानता है। यह अभ्यास एलएम हैश कुंजी स्थान (क्रिप्टोग्राफी) को प्रभावी रूप से 69 वर्णों तक कम कर देता है।
 * 3) एक 14-वर्ण का पासवर्ड 7+7 वर्णों में विभाजित किया गया है और हैश की गणना प्रत्येक आधे के लिए अलग-अलग की जाती है। हैश की गणना करने के इस विधि से क्रैक करना नाटकीय रूप से आसान हो जाता है, क्योंकि हमलावर को केवल पूरे 14 वर्णों के अतिरिक्त दो बार ब्रूट-फोर्स अटैक ब्रूट-फोर्स 7 वर्णों की आवश्यकता होती है। यह 14-वर्ण वाले पासवर्ड की प्रभावी शक्ति को केवल $$2\times69^{7} \approx 2^{44}$$ के समान बनाता है, या 7-वर्ण वाले पासवर्ड का दोगुना, जो कि 3.7 ट्रिलियन गुना कम जटिल है $$69^{14} \approx 2^{86}$$ 14-अक्षर सिंगल-केस पासवर्ड की सैद्धांतिक ताकत 2020 तक हाई-एंड ग्राफिक्स प्रोसेसर (जीपीयू) से लैस एक कंप्यूटर प्रति सेकंड 40 बिलियन एलएम-हैश की गणना कर सकता है। उस दर पर 95-वर्ण सेट से सभी 7-वर्ण पासवर्ड का परीक्षण किया जा सकता है और आधे घंटे में तोड़ा जा सकता है; सभी 7-वर्ण अक्षरांकीय पासवर्ड का परीक्षण किया जा सकता है और 2 सेकंड में तोड़ा जा सकता है।
 * 4) यदि पासवर्ड 7 वर्ण या उससे कम है तो हैश का दूसरा भाग हमेशा समान स्थिर मान (0xAAD3B435B51404EE) उत्पन्न करेगा। इसलिए, एक पासवर्ड जो 7 अक्षरों से कम या समान है, उसे उपकरणों का उपयोग किए बिना स्पष्ट रूप से पहचाना जा सकता है (चूँकि उच्च गति वाले जीपीयू हमलों के साथ, यह कम मायने रखता है)।
 * 5) हैश वैल्यू बिना साल्ट (क्रिप्टोग्राफी) के नेटवर्क सर्वर को भेजी जाती है, जिससे यह हैश पास करने जैसे मैन-इन-द-बीच हमलों के लिए अतिसंवेदनशील हो जाता है। साल्ट के बिना, टाइम-मेमोरी ट्रेडऑफ़ पूर्व-गणना शब्दकोश हमला, जैसे रेनबो टेबल, संभव हैं। 2003 में, रेनबो टेबल विधि के एक कार्यान्वयन ओफक्रैक को प्रकाशित किया गया था। यह विशेष रूप से एलएम एन्क्रिप्शन की कमियों को लक्षित करता है, और कुछ सेकंड में लगभग सभी अल्फ़ान्यूमेरिक एलएम हैश को क्रैक करने के लिए पर्याप्त पूर्व-गणना डेटा सम्मिलित करता है। कई क्रैकिंग उपकरण, जैसे कि रेनबोक्रैक, हश्चत , L0pht क्रैक और कैन (सॉफ़्टवेयर) अब समान हमलों को सम्मिलित करते हैं और एलएम हैश को क्रैक करना तेज़ और तुच्छ बनाते हैं।

समाधान
एलएम एन्क्रिप्शन और प्रमाणीकरण योजनाओं में निहित सुरक्षा कमियों को दूर करने के लिए माइक्रोसॉफ्ट ने 1993 में विंडोज एनटी3.1 के साथ एनटीएलएमवी1 प्रोटोकॉल प्रस्तुत किया। हैशिंग के लिए एनटीएलएम यूनिकोड समर्थन का उपयोग करता है प्रतिस्थापित करता है  द्वारा , जिसके लिए किसी पैडिंग या ट्रंकिंग की आवश्यकता नहीं होती है जो कुंजी को सरल बनाती है। नकारात्मक पक्ष पर उसी डीईएस एल्गोरिथ्म का उपयोग बाद के प्रमाणीकरण चरणों के लिए केवल 56-बिट एन्क्रिप्शन के साथ किया गया था, और अभी भी कोई सल्टिंग नहीं है। इसके अतिरिक्त एलएम हैश और एनटीएलएम हैश दोनों से प्राप्त प्रतिक्रियाओं को भेजने और स्वीकार करने के लिए विंडोज मशीनों को डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया था, इसलिए एनटीएलएम हैश के उपयोग ने कोई अतिरिक्त सुरक्षा प्रदान नहीं की जबकि अशक्त हैश अभी भी उपस्थित था। उपयोगकर्ता प्रबंधक जैसे प्रबंधन उपकरणों में पासवर्ड की लंबाई पर कृत्रिम प्रतिबंध हटाने में भी समय लगा था ।

जबकि लैन प्रबंधक को अप्रचलित माना जाता है और वर्तमान विंडो ऑपरेटिंग सिस्टम शसक्त एनटीएलएमवी2 या करबरोस (प्रोटोकॉल) प्रमाणीकरण विधियों का उपयोग करते हैं, विंडो विस्टा/विंडो सर्वर 2008 से पहले के विंडो सिस्टम ने विरासत लैन प्रबंधक और विंडो एमई या के साथ पश्चगामी संगतता के लिए लैन प्रबंधक हैश को डिफ़ॉल्ट रूप से सक्षम किया था। पुराने ग्राहक, या लीगेसी नेटबीआईओएस-सक्षम अनुप्रयोग। कई वर्षों से समझौता किए गए एलएम और एनटीएलएमवी1 प्रमाणीकरण प्रोटोकॉल को अक्षम करने के लिए अच्छा सुरक्षा अभ्यास माना जाता है जहाँ उनकी आवश्यकता नहीं होती है।

विंडो विस्टा और विंडो सर्वर 2008 से प्रारंभ करते हुए, माइक्रोसॉफ्ट ने डिफ़ॉल्ट रूप से एलएम हैश को अक्षम कर दिया; सुविधा को सुरक्षा नीति सेटिंग के माध्यम से स्थानीय खातों के लिए और सक्रिय निर्देशिका खातों के लिए डोमेन समूह नीति के माध्यम से समान सेटिंग प्रयुक्त करके सक्षम किया जा सकता है। विंडो 2000, विंडो एक्सपी और एनटीमें सुविधा को बंद करने के लिए उसी विधि का उपयोग किया जा सकता है। उपयोगकर्ता कम से कम पंद्रह वर्णों के पासवर्ड का उपयोग करके एलएम हैश को अपने स्वयं के पासवर्ड के लिए उत्पन्न होने से रोक सकते हैं। --एनटीएलएम हैश हाल के वर्षों में विभिन्न हमलों के प्रति संवेदनशील हो गया है जो प्रभावी रूप से उन्हें आज उतना ही अशक्त बना देता है जितना 1998 में लैनमैन हैश वापस आ गया था।

एलएम हैश के निरंतर उपयोग के कारण
कई लीगेसी तृतीय पक्ष सर्वर मैसेज ब्लॉक कार्यान्वयन ने शसक्त प्रोटोकॉल के लिए समर्थन जोड़ने में अधिक समय लिया है जो माइक्रोसॉफ्ट ने एलएम हैशिंग को बदलने के लिए बनाया है क्योंकि इन पुस्तकालयों का समर्थन करने वाले विवर्त स्रोत सॉफ्टवेयर समुदायों को पहले नए प्रोटोकॉल-सांबा (सॉफ़्टवेयर रिवर्स इंजीनियरिंग को रिवर्स करना पड़ा था। एनटीएलएमवी2 समर्थन को जोड़ने में 5 वर्ष लगे, जबकि जेसीआईएफएस को 10 वर्ष लगे।

उपलब्ध होने वाली सुविधा का समर्थन करने वाले सॉफ़्टवेयर रिलीज़ के बाद खराब पैचिंग व्यवस्थाओं ने कुछ संगठनों को अपने वातावरण में एलएम हैशिंग का उपयोग जारी रखने में योगदान दिया है, तथापि प्रोटोकॉल सक्रिय निर्देशिका में ही आसानी से अक्षम हो गया हो।

अंत में, विंडोज विस्टा की रिलीज से पहले, कई अनअटेंडेड बिल्ड प्रोसेस अभी भी WINNT.EXE का उपयोग करके विंडोज की स्थापना प्रारंभ करने के लिए एक डॉस बूट डिस्क (विंडोज पीई के अतिरिक्त ) का उपयोग करते थे कुछ ऐसा जिसके लिए लीगेसी लैन मैनेजर के लिए एलएम हैशिंग को सक्षम करने की आवश्यकता होती है। काम करने के लिए नेटवर्किंग स्टैक है।

यह भी देखें

 * एनटी लैन प्रबंधक
 * सक्रिय निर्देशिका
 * पासवर्ड क्रैकिंग
 * शब्दकोश हमला
 * रिमोट प्रोग्राम लोड (आरपीएल)
 * सुरक्षा खाता प्रबंधक

बाहरी संबंध

 * https://web.archive.org/web/20170212195243/http://msdn.microsoft.com/en-us/library/cc237025.aspx