Учетные записи в Windows NT 4,0/XP. Диспетчер учетных записей безопасности. Возможные атаки на диспетчер учетных записей Windows

Страницы работы

Фрагмент текста работы

менее с помощью программы NTBACKUP любой обладатель права Back up files and directories (выполнение резервного копирования файлов и каталогов) может скопировать его в составе реестра на съемный носитель. Резервную копию реестра также позволяет создать программа REGBACK из Windows NT Resource Kit. Кроме того, взломщик может попытаться переписать копию файла SAM (SAM.SAV) из папки \winnt_root\System32\Config или сжатую архивную копию — файл SAM._ из папки \winnt_root\Repair.

Извлечение информации из базы данных

При наличии физической копии базы данных SAM (в виде файла) извлечь хранящуюся в ней информацию не представляет особого труда. Подгрузив файл SAM в реестр любого доступного Windows NT-компьютера (командой Load Hive в программе REGEDT32), можно детально изучить эту базу учетных записей и узнать, например, имя пользователя Administrator, даже если оно было изменено или узнать хешированные пароли и Lan Manager. Хешированные пароли дополнительно зашифрованы, но DES-шифрование хешированных паролей пользователей выполняется с помощью ключей, построенных на основе RID пользователей, и является обратимой процедурой. Программа, выполняющая такое обратное преобразование давно появилась в Интернете (и, следовательно, легко доступна).

Равнозначность паролей

Поскольку хеширование не является обратимой операцией, знание хешированного пароля пользователя не дает возможности быстро восстановить его в исходном текстовом виде и задействовать для интерактивного входа в систему на компьютере с Windows.

И все же, имея в своем распоряжении хешированный пароль, взломщик может применить его для установления сетевого сеанса с другим компьютером и доступа к его ресурсам. Текстовый пароль пользователя для этого не требуется. Данное свойство называется равнозначностью паролей (password equivalence) и с успехом может быть использовано для проникновения в ту или иную компьютерную систему по сети. Права, которые при этом взломщик получает на атакуемом по сети компьютере, соответствуют правам пользователя, хешированный пароль которого был задействован в момент подключения. Естественно, это может быть и обладатель административных полномочий.

Однако, для интерактивного входа в систему Windows знание пароля в символьном виде все же необходимо.

Восстановление паролей пользователей в текстовом виде

Зная хешированные пароли пользователей Windows, можно попытаться восстановить пароли в исходном текстовом виде. Для этого чаще всего используются два подхода: поиск по словарю (dictionary attack) и прямой подбор, или подбор методом грубой силы (brute-force attack).

В некоторых программах подбора паролей может применяться «комбинированный» метод, когда в качестве словаря используется файл с заранее вычисленными хешированными паролями, соответствующими известным символьным последовательностям. Задача вскрытия пароля при этом фактически сводится к поиску нужной последовательности в файле.

Основные меры защиты базы учетных записей Windows

Ограничение доступа к серверам

Ограничение и административный контроль непосредственного доступа к основным серверам Windows сети позволяет избежать несанкционированного копирования хранящейся на них информации.

Защита файлов, в которых хранится база данных учетных записей

Доступ пользователей ко всем упомянутым ранее копиям базы данных учетных записей и на отдельном компьютере с системой Windows, и особенно на контроллере домена необходимо строго ограничивать. Потенциальным риском является разрешение на доступ к ним даже со стороны администраторов. Например, злоумышленник может попытаться внедрить в систему троянского коня. Запущенная по неосторожности администратором, такая программа может, присвоив его права, передать копию базы данных учетных записей на компьютер взломщика.

Отмена кэширования информации о безопасности на компьютерах защищаемого домена

Если Windows -компьютер входит в домен, то по умолчанию имена и пароли (в хешированном виде) последних десяти пользователей домена, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре (точнее, в разделе SECURITY\Policy\Secrets куста HKEY_LOCAL_MACHINE). Это сделано для того, чтобы пользователи домена в случае необходимости могли войти в систему даже при отсутствии связи с контроллерами домена. Однако локальный администратор данного компьютера в состоянии извлечь эту информацию из реестра, и, если среди десяти пользователей обнаружится администратор домена, его пароль может быть взломан. Во избежание такого поворота событий администратор домена может отменить кэширование информации о безопасности на компьютерах домена.

Дополнительное шифрование хешированных паролей в базе данных учетных записей

Для дополнительной защиты базы данных учетных записей от взлома можно

Похожие материалы

Информация о работе