लैन प्रबंधक

LAN प्रबंधक एक बंद नेटवर्क ऑपरेटिंग सिस्टम (NOS) है जो कई विक्रेताओं से उपलब्ध है और 3Com के सहयोग से Microsoft द्वारा विकसित किया गया है। इसे 3Com के 3+साझा करें सर्वर (कंप्यूटिंग) सॉफ़्टवेयर के सफल होने के लिए डिज़ाइन किया गया था जो MS-DOS के भारी संशोधित संस्करण पर चलता था।

इतिहास
LAN प्रबंधक OS/2 ऑपरेटिंग सिस्टम IBM और Microsoft द्वारा सर्वर संदेश ब्लॉक  (SMB) प्रोटोकॉल का उपयोग करके सह-विकसित किया गया था। यह मूल रूप से NetBIOS फ्रेम्स (NBF) प्रोटोकॉल या ज़ेरॉक्स नेटवर्क सिस्टम्स (XNS) प्रोटोकॉल के एक विशेष संस्करण के ऊपर SMB का उपयोग करता था। ये लीगेसी प्रोटोकॉल पिछले उत्पादों जैसे MS-DOS के लिए MS-Net, Xenix|MS-Xenix के लिए Xenix-NET, और पूर्वोक्त 3+Share से विरासत में मिले थे। यूनिक्स-आधारित सिस्टम के लिए LAN प्रबंधक का एक संस्करण जिसे LAN प्रबंधक/X कहा जाता है, भी उपलब्ध था। LAN प्रबंधक/X OpenVMS, Ultrix और Tru64 के लिए डिजिटल उपकरण निगम के Pathworks उत्पाद का आधार था। 1990 में, माइक्रोसॉफ्ट ने टीसीपी/आईपी (एनबीटी) पर नेटबीआईओएस का उपयोग करते हुए, एसएमबी के लिए परिवहन प्रोटोकॉल के रूप में टीसीपी/आईपी के लिए समर्थन सहित कई सुधारों के साथ लैन प्रबंधक 2.0 की घोषणा की। LAN प्रबंधक का अंतिम संस्करण, 2.2, जिसमें MS-OS/2 1.31 बेस ऑपरेटिंग सिस्टम शामिल था, 1993 में Windows NT 3.1 के रिलीज़ होने तक Microsoft का रणनीतिक सर्वर सिस्टम बना रहा।

संस्करण

 * 1987 - एमएस लैन मैनेजर 1.0 (बेसिक/एन्हांस्ड)
 * 1989 - एमएस लैन मैनेजर 1.1
 * 1991 - एमएस लैन मैनेजर 2.0
 * 1992 - एमएस लैन मैनेजर 2.1
 * 1992 - एमएस लैन मैनेजर 2.1ए
 * 1993 - एमएस लैन मैनेजर 2.2
 * 1994 - एमएस लैन मैनेजर 2.2ए

कई विक्रेताओं ने लाइसेंस प्राप्त संस्करण भेज दिए, जिनमें शामिल हैं:
 * 3कॉम 3+खोलें
 * एचपी लैन मैनेजर/एक्स
 * आईबीएम लैन सर्वर
 * टेपेस्ट्री टोरस
 * सांता क्रूज़ ऑपरेशन

पासवर्ड हैशिंग एल्गोरिथम
एलएम हैश की गणना निम्नानुसार की जाती है:
 * 1) उपयोगकर्ता का पासवर्ड अधिकतम चौदह वर्णों तक सीमित है।
 * 2) उपयोगकर्ता का पासवर्ड अपरकेस में बदल दिया गया है।
 * 3) उपयोगकर्ता का पासवर्ड सिस्टम ओईएम  कोड पृष्ठ  में एन्कोड किया गया है।
 * 4) यह पासवर्ड 14 बाइट्स के लिए NULL-पैडेड है।
 * 5) "फिक्स्ड-लेंथ" पासवर्ड दो 7-बाइट हिस्सों में विभाजित है।
 * 6) इन मानों का उपयोग दो डेटा एन्क्रिप्शन मानक कुंजी बनाने के लिए किया जाता है, प्रत्येक 7-बाइट आधे से एक, सात बाइट्स को बिट स्ट्रीम में सबसे महत्वपूर्ण बिट के साथ परिवर्तित करके, और प्रत्येक सात बिट्स के बाद एक  समता द्वियक  डालने के लिए उपयोग किया जाता है (इसलिए   बन जाता है  ). यह DES कुंजी के लिए आवश्यक 64 बिट्स उत्पन्न करता है। (एक डीईएस कुंजी में स्पष्ट रूप से 64 बिट्स होते हैं; हालांकि, इनमें से केवल 56 वास्तव में एल्गोरिथम द्वारा उपयोग किए जाते हैं। इस चरण में जोड़े गए पैरिटी बिट्स को बाद में छोड़ दिया जाता है।)
 * 7) दो चाबियों में से प्रत्येक का उपयोग निरंतर ASCII स्ट्रिंग को डीईएस-एन्क्रिप्ट करने के लिए किया जाता है " ”, जिसके परिणामस्वरूप दो 8-बाइट सिफरटेक्स्ट मान होते हैं। डीईएस सिफरमोड को ईसीबी पर सेट किया जाना चाहिए, और पैडिंगमोड को सेट किया जाना चाहिए.
 * 8) इन दो सिफरटेक्स्ट मानों को 16-बाइट मान बनाने के लिए जोड़ा जाता है, जो कि एलएम हैश है।

सुरक्षा कमजोरियां
LAN प्रबंधक प्रमाणीकरण क्रिप्टोग्राफ़िक हैश फ़ंक्शन की एक विशेष रूप से कमजोर विधि का उपयोग करता है, उपयोगकर्ता का पासवर्ड जिसे LM हैश एल्गोरिथम के रूप में जाना जाता है, 1980 के दशक के मध्य से शुरू हुआ जब फ़्लॉपी डिस्क द्वारा प्रसारित वायरस प्रमुख चिंता का विषय थे। हालांकि यह डेटा एन्क्रिप्शन मानक पर आधारित है, एक अच्छी तरह से अध्ययन किया गया ब्लॉक सिफर, एलएम हैश की डिजाइन में कई कमजोरियां हैं। यह इस तरह के हैश को कुछ ही सेकंड में इंद्रधनुष तालिका  का उपयोग करके, या कुछ ही मिनटों में  पशुबल का आक्रमण  का उपयोग करके क्रैक करने योग्य बनाता है। विंडोज एनटी से शुरू करते हुए, इसे एनटीएलएम द्वारा बदल दिया गया था, जो अभी भी इंद्रधनुषी तालिकाओं के लिए कमजोर है, और जब तक लंबे, अप्रत्याशित पासवर्ड का उपयोग नहीं किया जाता है, तब तक क्रूर बल के हमले होते हैं, पासवर्ड क्रैकिंग देखें। NTLM का उपयोग डोमेन नियंत्रकों को छोड़कर स्थानीय खातों के साथ लॉगऑन के लिए किया जाता है क्योंकि Windows Vista और बाद के संस्करण डिफ़ॉल्ट रूप से LM हैश को बनाए नहीं रखते हैं। Kerberos (प्रोटोकॉल) सक्रिय निर्देशिका वातावरण में प्रयोग किया जाता है।

लैन मैनेजर ऑथेंटिकेशन प्रोटोकॉल की प्रमुख कमजोरियां हैं:
 * 1) पासवर्ड की लंबाई ASCII#ASCII प्रिंट करने योग्य वर्णों से चुने गए अधिकतम 14 वर्णों तक सीमित है।
 * 2) पासवर्ड केस सेंसिटिव नहीं होते हैं। हैश मान उत्पन्न करने से पहले सभी पासवर्ड अपरकेस में परिवर्तित हो जाते हैं। इसलिए LM हैश पासवर्ड, पासवर्ड, PaSsWoRd, पासवर्ड और अन्य समान संयोजनों को पासवर्ड के समान मानता है। यह अभ्यास LM हैश कुंजी स्थान (क्रिप्टोग्राफी) को प्रभावी रूप से 69 वर्णों तक कम कर देता है।
 * 3) एक 14-वर्ण का पासवर्ड 7+7 वर्णों में विभाजित किया गया है और हैश की गणना प्रत्येक आधे के लिए अलग-अलग की जाती है। हैश की गणना करने के इस तरीके से क्रैक करना नाटकीय रूप से आसान हो जाता है, क्योंकि हमलावर को केवल पूरे 14 वर्णों के बजाय दो बार ब्रूट-फोर्स अटैक|ब्रूट-फोर्स 7 वर्णों की आवश्यकता होती है। यह 14-वर्ण वाले पासवर्ड की प्रभावी शक्ति को केवल के बराबर बनाता है $$2\times69^{7} \approx 2^{44}$$, या 7-वर्ण वाले पासवर्ड का दोगुना, जो कि 3.7 ट्रिलियन गुना कम जटिल है $$69^{14} \approx 2^{86}$$ 14-कैरेक्टर सिंगल-केस पासवर्ड की सैद्धांतिक ताकत। 2020 तक, हाई-एंड ग्राफिक्स प्रोसेसर (जीपीयू) से लैस एक कंप्यूटर प्रति सेकंड 40 बिलियन एलएम-हैश की गणना कर सकता है। उस दर पर, 95-वर्ण सेट से सभी 7-वर्ण पासवर्ड का परीक्षण किया जा सकता है और आधे घंटे में तोड़ा जा सकता है; सभी 7-वर्ण अक्षरांकीय पासवर्ड का परीक्षण किया जा सकता है और 2 सेकंड में तोड़ा जा सकता है।
 * 4) यदि पासवर्ड 7 वर्ण या उससे कम है, तो हैश का दूसरा भाग हमेशा समान स्थिर मान (0xAAD3B435B51404EE) उत्पन्न करेगा। इसलिए, एक पासवर्ड जो 7 अक्षरों से कम या बराबर है, उसे उपकरणों का उपयोग किए बिना स्पष्ट रूप से पहचाना जा सकता है (हालांकि उच्च गति वाले जीपीयू हमलों के साथ, यह कम मायने रखता है)।
 * 5) हैश वैल्यू बिना  नमक (क्रिप्टोग्राफी)  के नेटवर्क सर्वर को भेजी जाती है, जिससे यह हैश पास करने जैसे मैन-इन-द-बीच हमलों के लिए अतिसंवेदनशील हो जाता है। नमक के बिना, टाइम-मेमोरी ट्रेडऑफ़ पूर्व-गणना शब्दकोश हमला, जैसे रेनबो टेबल, संभव हैं। 2003 में, रेनबो टेबल तकनीक के एक कार्यान्वयन ओफक्रैक को प्रकाशित किया गया था। यह विशेष रूप से एलएम एन्क्रिप्शन की कमजोरियों को लक्षित करता है, और कुछ सेकंड में लगभग सभी अल्फ़ान्यूमेरिक एलएम हैश को क्रैक करने के लिए पर्याप्त पूर्व-गणना डेटा शामिल करता है। कई क्रैकिंग टूल, जैसे कि रेनबोक्रैक,  हश्चत, L0phtCrack और कैन (सॉफ़्टवेयर), अब समान हमलों को शामिल करते हैं और LM हैश को क्रैक करना तेज़ और तुच्छ बनाते हैं।

वर्कअराउंड्स
LM एन्क्रिप्शन और प्रमाणीकरण योजनाओं में निहित सुरक्षा कमजोरियों को दूर करने के लिए, Microsoft ने 1993 में Windows NT 3.1 के साथ NTLMv1 प्रोटोकॉल पेश किया। हैशिंग के लिए, एनटीएलएम यूनिकोड समर्थन का उपयोग करता है, प्रतिस्थापित करता है  द्वारा , जिसके लिए किसी पैडिंग या ट्रंकिंग की आवश्यकता नहीं होती है जो कुंजी को सरल बनाती है। नकारात्मक पक्ष पर, उसी डीईएस एल्गोरिथ्म का उपयोग बाद के प्रमाणीकरण चरणों के लिए केवल 56-बिट एन्क्रिप्शन के साथ किया गया था, और अभी भी कोई नमकीन नहीं है। इसके अलावा, एलएम हैश और एनटीएलएम हैश दोनों से प्राप्त प्रतिक्रियाओं को भेजने और स्वीकार करने के लिए विंडोज मशीनों को डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया था, इसलिए एनटीएलएम हैश के उपयोग ने कोई अतिरिक्त सुरक्षा प्रदान नहीं की, जबकि कमजोर हैश अभी भी मौजूद था। उपयोगकर्ता प्रबंधक जैसे प्रबंधन उपकरणों में पासवर्ड की लंबाई पर कृत्रिम प्रतिबंध हटाने में भी समय लगा।

जबकि LAN प्रबंधक को अप्रचलित माना जाता है और वर्तमान Windows ऑपरेटिंग सिस्टम मजबूत NTLMv2 या Kerberos (प्रोटोकॉल) प्रमाणीकरण विधियों का उपयोग करते हैं, Windows Vista/Windows Server 2008 से पहले के Windows सिस्टम ने विरासत LAN प्रबंधक और Windows ME या के साथ पश्चगामी संगतता के लिए LAN प्रबंधक हैश को डिफ़ॉल्ट रूप से सक्षम किया था। पुराने ग्राहक, या लीगेसी NetBIOS-सक्षम अनुप्रयोग। कई वर्षों से समझौता किए गए LM और NTLMv1 प्रमाणीकरण प्रोटोकॉल को अक्षम करने के लिए अच्छा सुरक्षा अभ्यास माना जाता है जहाँ उनकी आवश्यकता नहीं होती है। Windows Vista और Windows Server 2008 से प्रारंभ करते हुए, Microsoft ने डिफ़ॉल्ट रूप से LM हैश को अक्षम कर दिया; सुविधा को सुरक्षा नीति सेटिंग के माध्यम से स्थानीय खातों के लिए और सक्रिय निर्देशिका खातों के लिए डोमेन समूह नीति के माध्यम से समान सेटिंग लागू करके सक्षम किया जा सकता है। Windows 2000, Windows XP और NT में सुविधा को बंद करने के लिए उसी विधि का उपयोग किया जा सकता है। उपयोगकर्ता कम से कम पंद्रह वर्णों के पासवर्ड का उपयोग करके एलएम हैश को अपने स्वयं के पासवर्ड के लिए उत्पन्न होने से रोक सकते हैं। -- एनटीएलएम हैश हाल के वर्षों में विभिन्न हमलों के प्रति संवेदनशील हो गया है जो प्रभावी रूप से उन्हें आज उतना ही कमजोर बना देता है जितना 1998 में लैनमैन हैश वापस आ गया था।

एलएम हैश
के निरंतर उपयोग के कारण कई लीगेसी तृतीय पक्ष सर्वर मैसेज ब्लॉक कार्यान्वयन ने मजबूत प्रोटोकॉल के लिए समर्थन जोड़ने में काफी समय लिया है जो Microsoft ने LM हैशिंग को बदलने के लिए बनाया है क्योंकि इन पुस्तकालयों का समर्थन करने वाले खुला स्रोत सॉफ्टवेयर समुदायों को पहले नए प्रोटोकॉल-सांबा (सॉफ़्टवेयररिवर्स इंजीनियरिंग को रिवर्स करना पड़ा था। NTLMv2 समर्थन को जोड़ने में 5 वर्ष लगे, जबकि JCIFS को 10 वर्ष लगे।

उपलब्ध होने वाली सुविधा का समर्थन करने वाले सॉफ़्टवेयर रिलीज़ के बाद खराब पैचिंग व्यवस्थाओं ने कुछ संगठनों को अपने वातावरण में LM हैशिंग का उपयोग जारी रखने में योगदान दिया है, भले ही प्रोटोकॉल सक्रिय निर्देशिका में ही आसानी से अक्षम हो गया हो।

अंत में, विंडोज विस्टा की रिलीज से पहले, कई अनअटेंडेड बिल्ड प्रोसेस अभी भी WINNT.EXE का उपयोग करके विंडोज की स्थापना शुरू करने के लिए एक डॉस बूट डिस्क (विंडोज पीई के बजाय) का उपयोग करते थे, कुछ ऐसा जिसके लिए लीगेसी लैन मैनेजर के लिए एलएम हैशिंग को सक्षम करने की आवश्यकता होती है। काम करने के लिए नेटवर्किंग स्टैक।

यह भी देखें

 * एनटी लैन प्रबंधक
 * सक्रिय निर्देशिका
 * पासवर्ड क्रैकिंग
 * शब्दकोश हमला
 * रिमोट प्रोग्राम लोड (RPL)
 * सुरक्षा खाता प्रबंधक

बाहरी संबंध

 * https://web.archive.org/web/20170212195243/http://msdn.microsoft.com/en-us/library/cc237025.aspx