КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Как защитить улей SAM
Microsoft официально утверждает, что лучший способ защиты Windows/Windows Server— это защита административных паролей, но этого явно недостаточно. Доступ к ульям SAM и Security получают многие пользователи — например, пользователи из группы Backup Operators, в обязанности которых входит резервное копирование реестра.
По умолчанию ни один пользователь (даже администратор) не имеет необходимых прав доступа, которые позволили бы ему получить доступ или хотя бы просмотреть базу данных SAM Windows/Windows Serverс помощью редактора реестра. Но, тем не менее, ульи SAM и Security хранятся на диске точно так же, как и другие файлы, и единственное, что требуется для взлома — это раздобыть копии этих ульев. Обычным копированием этого не сделать — при попытке копирования реестра работающей системы Windows/Windows Serverвы получите сообщение об ошибке
Однако в составе программных продуктов имеются утилиты (Regback в Windows NT 4.0 Resource Kit и REG — в Windows Server Resource Kit), при помощи которых пользователи, принадлежащие к группам администраторов или операторов резервного копирования, могут получать копии реестра работающей системы
Если Windows/Windows Server установлена на томе NTFS, то пользователь, желающий незаконно скопировать ульи SAM и Security, может воспользоваться утилитой NTFSDOS (http://www.sysinternals.com/ntfs30.htm), поторая позволяет монтировать тома NTFS в DOS. Эта утилита и другие ее модификации (имеется также утилита NTFS for Windows 98) вызывают у многих противоречивую реакцию (именно из-за потенциального риска для системы безопасности). После появления первых версий NTFSDOS корпорация Microsoft официально заявила, что истинная безопасность — это физическая безопасность. Тем не менее, эта утилита весьма полезна и может оказаться просто незаменимой при выполнении процедур аварийного восстановления (особенно если надо сделать эту работу быстро). Лично меня она не раз выручала.
Подводя итоги, скажем, что для обеспечения должной защиты файлов SAM и Security от незаконного копирования следует установить защищаемые компьютеры в охраняемом помещении, а также!!!
ЛИШИТЬ ПОЛЬЗОВАТЕЛЕЙ ПРАВА НА ПЕРЕЗАГРУЗКУ КОМПЬЮТЕРА.
Чтобы отредактировать права пользователей в Windows, зарегистрируйтесь в системе от имени пользователя с правами администратора, раскройте окно Control Panel, выполните двойной щелчок мышью на значке Administrative Tools, и выберите опцию Local Security Policy. Разверните дерево консоли ММС, и выберите опцию User Rights Assignment. В правой части окна появится список пользовательских прав, доступных для редактирования списка пользовательских групп, имеющих право на перезагрузку компьютера.
Можно ли теперь сказать, что реестр Windows теперь защищен? Нет, нельзя, потому что еще остаются резервные копии реестра. В системах Windows сразу же после успешной установки операционной системы или в любое время при запуске утилиты Rdisk с ключом /s создаются резервные копии ульев реестра, которые сохраняются в каталоге %SystemRoot% \Repair. Резервные копии реестра Windows Server создаются при каждом резервном копировании системных конфигурационных данных (System State Data), и эта информация сохраняется в каталоге %SystemRoot%\Repmv\Regba.ck Данные файлы не открыты системой, и поэтому, если пользователь зарегистрировался локально (или если каталог с резервной копией является разделяемым), эти файлы могут быть беспрепятственно скопированы В системах Windows права доступа к объектам файловой системы NTFS никак не защищают каталог %SystemRoot%\Repair, все пользователи имеют к этому каталогу доступ с правом чтения, и этого достаточно для копирования файлов. В Windows Server группа Users по умолчанию имеет только право просмотра (List) этого каталога, что не дает возможности копирования файлов. Тем не менее, как уже говорилось в этой главе, если вы выполняли обновление предыдущей версии Windows NT до Windows Server, то права доступа к объектам реестра и файловой системы наследуются от предыдущей версии Windows NT.
Подводя итоги, скажем, что для предотвращения доступа рядовых пользователей домена к файлам SAM и Security следует:
- лишить конечных пользователей права локальной регистрации на серверах;
- использовать файловую систему NTFS;
- обеспечить надлежащую физическую защиту для серверов;
- в системах Windows NT 4.0 и тех системах Windows Server, где операционная система устанавливалась как обновление предыдущей версии Windows NT, следует ужесточить права доступа к каталогу %SystemRoot%\ repair ,
- обеспечить безопасные условия хранения резервных копий и дисков аварийного восстановления (Windows NT 4.0), а также копий данных из набора System State Data (Windows Server).
Для взлома похищенных ульев SAM и Security больших усилий не требуется. Имея эти файлы в своем распоряжении, пользователь может в свободное время провести на них такое количество словарных атак, какое требуется для взлома паролей. Если в его распоряжении имеются такие утилиты, как PWDUMP, PWDUMP2, NT Locksmith (http://www.wintemals.com), LOphtCrack (http://www.10pht.com/10phtcrack) и т. п, то успех проведенной атаки зависит, в основном, от качества используемого для взлома словаря —- чем большее количество слов, дат, чисел, словосочетаний, используемых чаще всего в качестве пароля, содержится в этом файле, тем выше шансы успешного взлома (рис. 9.6).
Таким образом, чтобы защитить систему, следует запретить пользователям использовать пустые пароли и задать системную политику в отношении паролей. Минимальная длина паролей в любом случае не должна быть меньше 8 символов. Помимо этого, в качестве пароля рекомендуется использовать произвольные комбинации букв и цифр, а также задать политику в отношении минимально допустимой сложности паролей.
Рекомендация для домашней отработки темы
Попробуйте представить себя на месте злоумышленника, и взломайте свой собственный улей SAM (при этом учтите, что ваши задачи существенно проще, чем задачи, стоящие перед этим человеком — вам ведь не надо проводить удаленную атаку с целью похищения ульев SAM и Security). С пользователями, пароли которых будут вскрыты автоматически, следует провести разъяснительную работу. Помимо этого, рекомендуется установить правила периодической смены паролей.
|
|
Дата добавления: 2014-10-23; Просмотров: 493; Нарушение авторских прав?; Мы поможем в написании вашей работы!