À chaque fois qu’un utilisateur se connecte à un domaine réseau Windows, le contrôleur de domaine utilise le mot de passe pour émettre des jetons de sécurité également appelés « hash ». Ces derniers servent à connecter l’ordinateur de l’utilisateur aux différents serveurs et applications intégrés au réseau de l’entreprise. En raison de sa conception, le système d’authentification unique de Windows est dépourvu de mécanisme garantissant l’utilisation exclusive du hash par son propriétaire légitime. Ainsi, les pirates sont en mesure de dérober ces jetons et de les utiliser pour accéder aux parties sensibles de l’infrastructure informatique de l’entreprise, voler des informations précieuses ou prendre le contrôle du réseau.

Hash Guard apporte le mécanisme de sauvegarde manquant : tout comme un pare-feu, il est déployé en amont des serveurs de l’entreprise et surveille les messages d’authentification du trafic réseau. Il vérifie que les hashs sont utilisés par leur propriétaire légitime et, si ce n’est pas le cas, met automatiquement fin à la connexion. Le prototype supporte l’authentification via smart card qui permet à l’utilisateur de saisir uniquement son PIN quand il se connecte à son ordinateur. À partir de ce moment, Hash Guard contrôle régulièrement les connexions entrantes vers les serveurs. À chaque demande d’authentification, il vérifie la présence de la smart card de l’utilisateur sur l’ordinateur concerné afin de garantir la légitimité de la connexion.

Hash Guard protège les protocoles d’authentification utilisant LAN Manager (LM) ou NT LAN Manager (NTLM), y compris les protocoles SMB (Server Message Block, IMAP (Internet Message Access Protocol) et SMTP (Simple Mail Transfer Protocol), entre autres. Il n’est pas nécessaire de modifier ces protocoles.