Диспетчер учетных записей (SAM). Роль SAM в системе безопасности WindowsNT. Информация, хранящаяся в базе данных SAM

Диспетчер учетных записей (SAM)

В предыдущей главе Вы познакомились в общих чертах с основными составными частями системы безопасности Windows NT. А теперь мы более подробно обсудим роль Диспетчера учетных записей (Security Account Manager, SAM) и проблемы, связанные с хранением и использованием пользовательских паролей. В этой главе мы расскажем о том:

  какая информация находится в базе данных диспетчера учетных записей;

  в каком виде хранятся пароли пользователей;

  как взломщик может получить доступ к этой «жизненно важной», с точки зрения безопасности, информации и каким образом ее можно использовать в дальнейшем;

  какие меры помогут защитить базу данных диспетчера учетных записей от несанкционированного доступа;

  а также сформулируем правила выбора паролей, следуя которым, можно уменьшить вероятность их вскрытия.

Роль SAM в системе безопасности WindowsNT

В предыдущей главе отмечалось, что одним из основных компонентов системы безопасности Windows NT является Диспетчер учетных записей безопасности (или просто диспетчер учетных записей). Он обеспечивает взаимодействие других компонентов системы безопасности, приложений и служб Windows NT с базой данных учетных записей (Security Account Database, далее в тексте — база данных SAM). Одна из основных функций SAM — поддержка механизмов идентификации (identification) и проверки подлинности (authentication) пользователей при интерактивном входе в систему или при доступе по сети. Только через диспетчер учетных записей все остальные компоненты системы безопасности Windows NT (в том числе и Локальный администратор безопасности, LSA) могут получить доступ к информации, хранящейся в базе данных SAM.

Информация, хранящаяся в базе данных SAM

Диспетчер учетных записей обращается к базе данных, в которой хранится информация, необходимая для функционирования системы безопасности. Эта база обязательно имеется на каждом компьютере с операционной системой Windows NT (как Windows NT Workstation, так и Windows NT Server). У компьютера, включенного в рабочую группу, база данных SAM будет локальной, т. е. областью ее действия будет только этот конкретный компьютер. Если же речь идет о компьютере с системой Windows NT Server, функционирующем как контроллер домена, то в его базе данных SAM хранится информация, относящаяся к группе компьютеров, объединенных в данный домен. Благодаря службе Net-logon другие компьютеры домена могут обращаться к базе данных SAM любого из имеющихся в нем контроллеров.

Учетные записи

В базе данных SAM (а она состоит фактически из двух частей, которые обозначаются как Account и Builtin) хранятся учетные записи различных объектов, идентифицируемых системой безопасности Windows NT:

  Учетные записи пользователей. На компьютере с системой Windows NT Workstation или Windows NT Server, работающем как отдельный сервер, эти учетные записи относятся к данному компьютеру и могут использоваться для проверки интерактивного входа в систему или проверки доступа к компьютеру по сети. Учетные записи пользователей из базы SAM компьютера, выполняющего в сети роль контроллера домена, можно применять более широко. С их помощью пользователи могут входить в систему или получать сетевой доступ к ресурсам на самом контроллере домена, на других компьютерах с системой Windows NT, включенных в этот домен, а также на компьютерах других доменов (при наличии доверительных отношений). Правом создавать учетные записи пользователей (обычно для этого применяется программа User Manager) обладают члены групп Administrators, Server Operators, Account Operators и Power Users.

  Учетные записи групп. Это информация о локальных группах, созданных на данном компьютере, и о глобальных группах (если речь идет о контроллере домена). Создать локальную группу и регулировать членство в ней могут даже обычные пользователи (члены встроенной группы Users).

  Учетные записи компьютеров домена используются контроллерами домена для взаимодействия с другими компьютерами, входящими в данный домен. Управлять учетными записями компьютеров домена могут члены групп Administrators и Account Operators, а также пользователи, обладающие привилегией Add workstations to domain.

  Учетные записи доменов используются контроллерами домена для взаимодействия с контроллерами других доменов, если между этими доменами установлены доверительные отношения. Правом устанавливать такие отношения обладают только администраторы (члены группы Administrators).

Записи двух последних типов создаются только в базе данных