Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> WindowsNT: удалённое вторжение, Технология.... И способы защиты
WereWolf | Профиль
  Дата 15 Май, 2004, 20:39
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


WindowsNT: удалённое вторжение

Автор: группа Rhino9 (http://rhino9.ml.org/
Русский перевод - AnSer (http://anser.webjump.com/ fycth@iname.com).

Введение

Этот документ - попытка группы Rhino9 документировать технику и методы, используемые в нападении на основанные на WindowsNT сети. Цель данного документа состоит в том, чтобы научить администраторов и профессионалов защиты способам проникновения в NT-сети. Этот документ пытается следовать шагам классического текста "Как улучшить защиту вашего сайта вторжением в него" , который написали Dan Farmer и Wietse Venema.

Конечно, этот текст не будет содержать все известные методы вторжения в NT. Мы попытались собрать текст, который Администраторы могли бы использовать для изучения основных методов проникновения, чтобы проверить уязвимость их собственных сетей. Администратор должен иметь хорошие знания относительно того, как проникновения происходят и должен быть способен использовать эти знания чтобы далее защитить свою сеть.

Этот файл не предназначен для людей, которые плохо знакомы с защитой или технологиями организации сетей. Авторы предполагают, что люди, читающие этот документ, имеют некоторое понимание протоколов, технологий и архитектуры сервера и сети.

Использование

Текст написан в процедурной манере. Мы очень подробно всё описали, чтобы подойти как можно ближе к реальному вторжению. Большинство методов, обсуждаемых в этом тексте, довольно просто выполнить, как только наступит понимание того, как, что и почему делается.

Документ разделен на 3 части: NetBIOS, WebServer, и Разное, каждая из которых описывает различные методы сбора информации и методов проникновения.

Часть 1 - "NETBIOS"

Начальный шаг, который делает хакер, это сканирование портов целевой машины или сети. Удивительно, как техника атаки может стать основанной на открытых портах целевой машины. Вы должны понять, что это норма для NT-машины, - иметь различные открытые порты с Unix-машиной. Как правило хакер может по результатам сканирования портов сказать, является ли компьютер NT- или Unix-машиной с довольно точными результатами. Очевидно имеются некоторые исключения из данного правила, но вообще это может быть сделано.

При нападении на NT-сеть, NetBIOS имеет тенденцию брать главный удар на себя. По этой причине, NetBIOS будет первой серьезной темой для обсуждения.

Сбор информации с NetBIOS может быть довольно простой вещью, хотя и занимает некоторое время. NetBIOS вообще имеет тенденцию быть очень медленным, поэтому и требует много времени.

Если при сканировании портов выясняется, что на целевой машине порт 139 открыт, следует естественный процесс. Первый шаг - выполнение команды NBTSTAT.

Команда NBTSTAT может использоваться, чтобы сделать запрос сетевых машин относительно NetBIOS информации. Это может также быть полезно для чистки NetBIOS кэша и предзагрузки файла LMHOSTS. Эта команда может быть чрезвычайно полезна при выполнении ревизий защиты. Результаты её выполнения могут иной раз показать больше, чем вы могли бы подумать.

Использование: nbtstat [-a компьютер] [-A IP-адрес] [-c] [-n] [-R] [-r] [-S] [-s] [интервал]

Ключи:
-a вывести таблицу имён удаленного компьютера по имени.
-A вывести таблицу имён удаленного компьютера по IP-адресу.
-c вывести кэш имён, включая адреса IP.
-n вывести локальные имена NetBIOS.
-r вывести имена, найденные передачей и через WINS.
-R произвести чистку и кэш таблицы имён.
-S вывести таблицу сеансов с целевым адресом IP.
-s вывести преобразования таблицы сеансов.

Заголовки столбца, произведенные NBTSTAT имеют следующие значения:

Input
Число полученных байт.
Output
Число отосланных байт.
In/Out
Подключение от локального компьютера или от другой системы к
локальному компьютеру.
Life
Остающееся время до того, как ваш компьютер очистит кэш таблицы имён.
Local Name
Локальное NetBIOS имя, данное подключению.
Remote Host
Имя или адрес IP удаленного главного компьютера.
Type
Имя может иметь один из двух типов: уникальный или группа.
Последний байт из 16-символьного имени NetBIOS часто означает кое-что потому что то же самое имя может присутствовать в нескольких экземплярах на том же самом компьютере. Это показывает последний байт имени, преобразованный в hex-формат.
State
Ваши NetBIOS подключения будут находиться в одном из следующих "состояний":

Состояние
Значение
Accepting
входящее подключение находится в процессе
Associated
подключение находится в конечной точке и ваш компьютер связал его с адресом IP.
Connected
это хорошее состояние! Оно означает, что вы связаны с удаленным ресурсом
Connecting
ваш сеанс пробует решить преобразование имени в IP-адрес ресурса адресата
Disconnected
сеанс связи закончен
Disconnecting
ваш компьютер запросил разъединение, и ожидает ответа от удаленного компьютера
Idle
компьютер был открыт в текущем сеансе, но в настоящее время он не принимает подключения
Inbound
входящий сеанс пробует соединиться
Listening
компьютер доступен
Outbound
ваш сеанс создает подключение TCP
Reconnecting
если ваше подключение потерпело неудачу на первой попытке, это состояние показывает попытку повторного соединения

Имеется образец фактического ответа команды NBTSTAT:

C:>nbtstat -A x.x.x.x

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
DATARAT <00> UNIQUE Registered
R9LABS <00> GROUP Registered
DATARAT <20> UNIQUE Registered
DATARAT <03> UNIQUE Registered
GHOST <03> UNIQUE Registered
DATARAT <01> UNIQUE Registered

MAC Address = 00-00-00-00-00-00

Используя таблицу ниже, что вы можете сказать о компьютере ?

Name Number Type Usage
=========================================================================
<computername> 00 U Workstation Service
<computername> 01 U Messenger Service
<\_MSBROWSE_> 01 G Master Browser
<computername> 03 U Messenger Service
<computername> 06 U RAS Server Service
<computername> 1F U NetDDE Service
<computername> 20 U File Server Service
<computername> 21 U RAS Client Service
<computername> 22 U Exchange Interchange
<computername> 23 U Exchange Store
<computername> 24 U Exchange Directory
<computername> 30 U Modem Sharing Server Service
<computername> 31 U Modem Sharing Client Service
<computername> 43 U SMS Client Remote Control
<computername> 44 U SMS Admin Remote Control Tool
<computername> 45 U SMS Client Remote Chat
<computername> 46 U SMS Client Remote Transfer
<computername> 4C U DEC Pathworks TCPIP Service
<computername> 52 U DEC Pathworks TCPIP Service
<computername> 87 U Exchange MTA
<computername> 6A U Exchange IMC
<computername> BE U Network Monitor Agent
<computername> BF U Network Monitor Apps
<username> 03 U Messenger Service
<domain> 00 G Domain Name
<domain> 1B U Domain Master Browser
<domain> 1C G Domain Controllers
<domain> 1D U Master Browser
<domain> 1E G Browser Service Elections
<INet~Services> 1C G Internet Information Server
<IS~Computer_name> 00 U Internet Information Server
<computername> [2B] U Lotus Notes Server
IRISMULTICAST [2F] G Lotus Notes
IRISNAMESERVER [33] G Lotus Notes
Forte_$ND800ZA [20] U DCA Irmalan Gateway Service

Unique (U): имя может иметь только один адрес IP, назначенный для него. Может показаться, что на сетевом устройстве присутствуют многократные случаи одного и того же имени, но суффикс будет уникален, делая имя также полностью уникальным.

Group (G): нормальная группа; одиночное имя может существовать со многими адресами IP.

Multihomed (M): имя уникально, но из-за множественных сетевых интерфейсов на одном и том же компьютере, эта конфигурация необходима чтобы разрешить регистрацию. Максимальное число адресов - 25.

Internet Groupt (I): это специальная конфигурация имени группы, используемая для управления WinNT именами домена.

Domain Name (D): Новый в NT 4.0.

Хакер может использовать таблицу выше и результат от nbtstat против ваших машин, чтобы начать собирать информацию относительно их. По этой информации хакер может сказать, какие услуги выполняются на целевой машине и иногда, какие пакеты программ были установлены. Традиционно, каждый сервисный или главный пакет программ идет со своими ошибками, так что этот тип информации полезен для хакера.

Следующим логическим шагом был бы подбор возможных имён пользователей удаленной машины. Сетевой вход в систему состоит из двух частей - имени пользователя и пароля. Как только хакер имеет правильный список имен пользователей, он имеет половину из нескольких правильных входов в систему. Теперь, используя команду nbtstat, хакер может получить входное имя любого, кто подключён локально к данной машине. В результатах команды nbtstat, строки с идентификатором <03> - имена пользователей или имена компьютеров. Подбор имён пользователей может также быть выполнен через нулевой сеанс IPC и инструментальные средства SID (для получения дополнительной информации относительно инструментальных средств SID читать приложение cool.gif.

IPC$ (меж-процессовая связь) - стандартный скрытый ресурс на NT машине, которая главным образом используется для связи сервер-сервер. NT машины были разработаны для соединений друг с другом и получения различных типов необходимой информации через этот ресурс. Как и со многими особенностями проекта в любой операционной системе, хакеры научились использовать эту особенность в их собственных целях. Соединяясь с этим ресурсом хакер получает, для всех технических целей, допустимое подключение к вашему серверу. Соединяясь с этим ресурсом как нулевое соединение, хакер способен установить подключение без необходимой аутентификации.

Чтобы соединиться с ресурсом IPC$ как нулевое соединение, хакер выполняет следующую команду:

c:>net use \[ip address of target machine]ipc$ "" /user:""

Если подключение успешно, хакер может делать множество других вещей, кроме как подбор имён пользователей, но давайте сначала поговорим именно об этом. Как упомянуто ранее, эта методика требует нулевого сеанса IPC и инструментальных средств SID, которые написал Evgenii Rudnyi. Инструментальные средства SID состоят из двух различных частей, User2sid и Sid2user. User2sid будет брать имя аккаунта или группы и давать Вам соответствующий SID. Sid2user будет брать SID и давать Вам имя соответствующего пользователя или группы. Как автономный инструмент, это - процесс ручной и очень требует время. Userlist.pl - perl скрипт, написанный Mnemonix, который автоматизирует этот процесс размола SID, он решительно сокращает время, трубующееся хакеру на подбор информации.

На данном этапе хакер знает какие услуги выполняются на удаленной машине, какие главные пакеты программ были установлены (в некоторых пределах), и имеет список правильных имён пользователей и групп для данной машины. Хотя это может походить на тонну информации для постороннего, чтобы иметь её относительно вашей сети, нулевой сеанс IPC открыл другие способы сбора информации. Группа Rhino9 разработала полную политику защиты для удаленной машины. Такие вещи, как блокировка аккаунта, минимальная длина пароля, возраст пароля, уникальность пароля для каждого пользователя и группы, которой он принадлежит, и индивидуальные ограничения домена для данного пользователя - все через нулевой сеанс IPC. Некоторые из доступных инструментальных средств для сбора большего количества информации через нулевой сеанс IPC, будут обсуждены ниже.

При помощи нулевого сеанса IPC хакер может также получить список сетевых ресурсов, которые не могут иначе быть доступны. По очевидным причинам, хакер хотел бы знать то, какие сетевые ресурсы Вы имеете доступными на ваших машинах. Для сбора такой информации используется стандартная сетевая команда следующим образом:

c:>net view \[IP-адрес целевой машины]

В зависимости от политики защиты целевой машины, этот список может или не может быть отклонен. Пример ниже (ip-адрес не был указан по очевидным причинам):

C:>net view \0.0.0.0
System error 5 has occurred.

В доступе отказано.

C:>net use \0.0.0.0ipc$ "" /user:""
The command completed successfully.


C:>net view \0.0.0.0
Shared resources at \0.0.0.0


Share name Type Used as Comment
-------------------------------------------------------------------------------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk

Команда выполнилась успешно.

Как Вы можете видеть, список ресурсов на этом сервере не был доступен, пока не был установлен нулевой сеанс IPC. Теперь вы начинаете понимать, насколько может быть опасно это подключение IPC, но методы IPC, известные нам, фактически самые основные. Возможности, предоставленные ресурсом IPC, только начинают исследоваться.

Выпуск WindowsNT 4.0 Resource Kit предоставил новый набор инструментальных средств, доступных и администратору, и хакеру. Ниже - описание некоторых из Resource Kit Utilities, которые группа Rhino9 использовала вместе с нулевым сеансом IPC$ для сбора информации. Читая эти описания инструментов и информацию, которую они выдают, имейте в виду, что нулевой сеанс, который используется, НЕ обеспечивает удалённую сеть любой реальной аутентификацией.

UsrStat: эта утилита командной строки показывает имя пользователя, полное имя, и дату и время последнего входа в систему для каждого пользователя в данном домене. Ниже - фактический результат работы данного инструмента, используемого через нулевой сеанс IPC против удалённой сети:

C:NTRESKIT>usrstat domain4

Users at \STUDENT4
Administrator - - logon: Tue Nov 17 08:15:25 1998
Guest - - logon: Mon Nov 16 12:54:04 1998
IUSR_STUDENT4 - Internet Guest Account - logon: Mon Nov 16 15:19:26 1998
IWAM_STUDENT4 - Web Application Manager account - logon: Never
laurel - - logon: Never
megan - - logon: Never

Чтобы полностью понять, что происходит при сборе данных, давайте обсудим это. Прежде, чем фактическое нападение имело место, отображение было помещено в файл lmhosts, который отобразил Student4 машину, и это - состояние деятельности домена, используя #PRE/#DOM теги (объяснены более подробно ниже.). Вход был тогда предзагружен в NetBIOS кэш, и нулевой сеанс IPC был установлен. Как Вы можете видеть, команда запущена против имени домена. Инструмент тогда сделает запрос Первичного Контроллера Домена для данного домена.

Global: эта утилита командной строки отображает членов глобальных групп на удаленных серверах или доменах. Как сказано выше, эта утилита используется вместе с отображением Lmhosts/IPC. Ниже - фактический сбор данных данного инструмента. Например, "пользователи домена" - стандартная, заданная по умолчанию группа, присутствующая в WindowsNT домене. Для этого примера, мы использовали инструмент, чтобы сделать запрос Domain1 для листинга всех пользователей в группе "пользователи домена".

C:>global "Domain Users" domain1
Bob
SPUPPY$
BILLY BOB$
Bill
IUSR_BILLY BOB
IWAM_BILLY BOB
IUSR_SPUPPY
IWAM_SPUPPY

Local: этот инструмент делает то же, что и Global, но он делает запрос машины на членов локальной группы вместо глобальной. Ниже - пример работы данного инструмента:

C:>local "administrators" domain1
Bob
Domain Admins
Bill

NetDom: инструмент, который сделает запрос сервера о его роли в домене, а также на PDC машины. Этот инструмент также работает с отображением Lmhosts/IPC. Ниже - стандартный вывод данного инструмента:

Querying domain information on computer \SPUPPY ...
The computer \SPUPPY is a domain controller of DOMAIN4.
Searching PDC for domain DOMAIN4 ...
Found PDC \SPUPPY
The computer \SPUPPY is the PDC of DOMAIN4.

NetWatch: инструмент, выдающий список ресурсов на удаленной машине. Опять же, этот инструмент работает с отображением Lmhosts/IPC. Плохая вещь относительно этого инструмента состоит в том, что группа Rhino9 имеет обыкновение использовать его для поиска списка скрытых ресурсов на удаленной машине.

Пустое подключение IPC может позволить хакеру получить доступ к вашему системному реестру. Как только нулевой сеанс IPC был установлен, хакер запустит его локальную утилиту regedit и сделает попытку опции Connect Network Registry. Если это произойдёт успешно, хакер получит доступ для чтения на некоторые ключи и потенциально - на чтением/запись. Но даже доступ для чтения к системному реестру нежелателен с точки зрения защиты.

Другая методика относительно неизвестна и часто не приносит никаких результатов. Мы охватываем её потому что она всё же может давать результаты, и может быть эффективной методикой вторжения. Эта методика включает нулевой сеанс IPC и входы в LMHOSTS файл. LMHOSTS файл - (обычно) локальный файл, живущий на Windows-машинах, для отображения имён NetBIOS в адреса IP. Используемый главным образом в не-WINS средах, или на клиентах, неспособных использовать WINS, файл LMHOSTS может использоваться хакерами многими различными способами. Различные использования для файла LMHOSTS будут обсуждены позже в этом тексте, пока мы обсудим, как LMHOSTS файл используется в этой методике.

Это превосходная методика для обсуждения, потому что она показывает использование одного из предыдущих методов вместе с ней для выполнения цели. Начиная со сканирования портов, и обнаруживая, что порт 139 является открытым, хакер запускает команду nbtstat. Потом хакер подбирает имя NetBIOS удаленной машины по результатам nbtstat. Давайте посмотрим на такой же пример результатов работы nbtstat, как и выше:

C:>nbtstat -A x.x.x.x

NetBIOS Remote Machine Name Table

Name Type Status
-----------------------------------------------------------------
DATARAT <00> UNIQUE Registered
R9LABS <00> GROUP Registered
DATARAT <20> UNIQUE Registered
DATARAT <03> UNIQUE Registered
GHOST <03> UNIQUE Registered
DATARAT <01> UNIQUE Registered

MAC Address = 00-00-00-00-00-00

Исследуя результаты команды nbtstat, мы ищем идентификатор <03>. Если кто-то локально находится в машине, Вы будете видеть два <03> идентификатора. Обычно первый <03> - имя netbios машины, а второй <03> - имя локального пользователя. На данном этапе хакер поместил бы имя netbios и отображение адреса ip машины в его локальный LMHOSTS файл, закончив его тегами #DOM и #PRE. Тег #PRE обозначает, что вход должен быть предзагружен в netbios кэш. Тег #DOM обозначает деятельность домена. Теперь хакер запускает команду nbtstat -R чтобы произвести предзагрузку входа в его кэш.

Затем хакер устанавливает нулевой сеанс IPC. Как только нулевой сеанс IPC будет установлен, хакер запустит его локальную копию Менеджера Пользователя для доменов и использует функцию Select Domain в Менеджере Пользователя. Домен удаленной машины появится (или может быть напечатан вручную) потому что он был предзагружен в кэш. Если защита удаленной машины слаба, Менеджер Пользователя отобразит список всех пользователей на удаленной машине. Если это делается по медленной связи (то есть 28.8-модем) это не будет обычно работать. На более быстрых сетевых подключениях, однако, это имеет тенденцию давать результаты.

Теперь, когда хакер собрал некоторую информацию относительно вашей машины, следующим шагом будет попытка проникновения. Первый метод проникновения, который будет обсуждён, будет нападение на ресурс открытого файла. Хакер соединит предварительно обсужденную команду net view с командой net use для выполнения данной атаки.

Взяв net view выше, давайте обсудим атаку.

C:>net view \0.0.0.0
Shared resources at \0.0.0.0


Share name Type Used as Comment

-------------------------------------------------------------------------------
Accelerator Disk Agent Accelerator share for Seagate backup
Inetpub Disk
mirc Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.

Как только хакер имеет список удаленных ресурсов, он попытается подсоединиться к удаленному ресурсу. Пример команды для атаки был бы:

c:>net use x: \0.0.0.0inetpub

Это нападение будет работать только если ресурс не защищён паролем, или разделён между каждой группой (ПРИМЕЧАНИЕ: "каждой" означает именно "каждой". То есть, если кто-то соединяется нулевым сеансом, он теперь - часть каждой группы.). Если эти параметры имеют место, хакер способен подключить сетевой диск к вашей машине и начать проникновение. Имейте в виду, что хакер не ограничен только лишь соединением с дисковыми ресурсами. Хакер, знающий NT, знает, что NT имеет скрытые административные ресурсы. По умолчанию, NT создает ресурс IPC$ и один скрытый ресурс для каждого диска на машине (то есть машина, которая имеет диски C, D, и E имеет соответствующие скрытые ресурсы C$, D$, и E$). Имеется также скрытый ADMIN$ ресурс, который указывает непосредственно на инсталляционный путь NT (то есть, если Вы установили NT на C:winnt, то ADMIN$ указывает точно на эту часть диска). Одна вещь, которую группа Rhino9 заметила относительно большинства NT сообщества защиты, состоит в том, что они, кажется, забыли о концепции проникновения через одну внутреннюю NT машину в другую внутреннюю NT машину. Группа Rhino9, в течение наших профессиональных ревизий, выполнила эту задачу много раз. Если хакер умён и имеет доступ к одной из ваших машин, он может написать саморазмножающийся вирус и пустить его в остальную часть вашей сети. По этой причине, эти нападения могут представлять серьезную угрозу.

(Обратите внимание, с группой Rhino9 однажды входили в контакт, чтобы выполнить удаленную ревизию проникновения для одного самого большого ISP во Флориде. Мы получили доступ к ресурсу на одной из персональных машин техника, и оттуда получили доступ к полной сети. Это может быть сделано.)

Сначала, может быть, не видно опасности от кого-то, кто имеет доступ к вашему жесткому диску. Но доступ к жесткому диску открывает новые направления для сбора информации и установки трояна/вируса. Хакер обычно ищет кое-что, что могло бы содержать пароль или важные данные, что он мог бы использовать, чтобы продолжть рыть путь в вашу сеть. Некоторые из файлов, которые хакер будет искать и использовать, перечислены ниже, каждый с кратким описанием, чем это является, и как это можно использовать.

Eudora.ini: этот файл используется для хранения информации о конфигурации программного обеспечения для e-mail Eudora. Легко доступный инструмент, называемый eudpass.com, извлечет имя пользователя и информацию пароля, также как всю информацию, необходимую хакеру для подслушивания почты пользователей. Теперь хакер может сконфигурировать его собственное программное обеспечение для электронной почты, чтобы читать почту адресатов. Помните, что люди - существа привычки. Шансы, что пароль пользователя электронной почты является тем же самым паролем, который он использует для входа в сеть на работе, относительно высоки.

Tree.dat: это файл, который используется популярным программным обеспечением CuteFTP для хранения комбинации пользователей ftp site/username/password. Используя программу по имени FireFTP, хакер может легко взломать tree.dat файл. Как уже говорилось выше, хакер может продолжить сбор информации относительно Вас и начать атаку.

PWL: эти файлы проживают на Win95-машинах. Они используются, чтобы хранить определенные пароли для Windows95 конечного пользователя. Инструмент, называемый glide.exe взломает (с меньшей, чем хотелось бы эффективностью) PWL файлы. Имеется также документация о том, как вручную взломать кодирование этих PWL файлов, используя калькулятор. Продолжая сценарий, хакер продолжит собирать информацию относительно пользователя и формулировать нападение.

PWD: PWD файлы существуют на машинах, выполняющих FrontPage или Персональный Webserver. Эти файлы включают имя пользователя открытым текстом и зашифрованный пароль, соответствующий аутентификации, необходимой, чтобы управлять website. Схема кодирования, используемая для этих паролей - стандартная DES-схема. Для взламывания DES существует много утилит, например John the ripper.

WS_FTP.ini: этот ini файл существует на машинах, использующих ws_ftp. Хотя автоматизированное эксустройство подачи пароля для этого файла только недавно было представлено в сообщество защиты, используемый механизм кодирования не очень силен. Пароль преобразован в шестнадцатиричный формат. Если цифра - в позиции N, то N добавлен к цифре. Полностью измените процесс, и Вы взломали эту схему кодирования. (Это, как известно, иногда работает для взламывания PMail.ini - Pegasus Mail и Prefs.js - Netscape.)

IDC files: IDC файлы обычно используются для связности конца к базам данных от webserver. Потому как этот тип подключения вообще требует идентификации, некоторые IDC файлы содержат комбинации имени пользователя/пароля, часто открытым текстом.

Waruser.dat: это один из файлов конфигурации для WarFTP, популярного Win32 FTP сервера. Этот специфический dat файл может содержать административный пароль непосредственно для FTP сервера.

$winnt$.inf: В течение автоматической инсталляции WindowsNT, процесс установки требует информационных файлов. Как остаток этого автоматического инсталляционного процесса, файл, называемый $winnt$.inf, может существовать в каталоге %systemroot%system32. Этот файл может содержать имя пользователя и комбинацию пароля аккаунта, которая использовалась в течение инсталляции.

Sam _: хотя давно известно, что база данных SAM может представлять проблему, если она попала в неправильные руки, много людей забывают об этом. Много потенциальных хакеров спросили себя, как они могли бы скопировать базу данных SAM, если они могли бы установить диск поперек сети. Хорошо, обычно это не возможно, потому что NT сервер, с которым Вы связаны, выполняется, и в то время как он выполняется, он блокирует SAM. Однако, если администратор создал резервный диск, копия SAM должна быть расположена в каталоге %systemroot%repair. Этот файл будет назван Sam _. Эта копия по умолчанию доступна для чтения каждому. Используя копию утилиты samdump, Вы можете извлечь комбинации имени пользователя/пароля из скопированного SAM.

ExchVerify.log: файл ExchVerify.log создан Cheyenne/Innoculan/ArcServe. Обычно создаваемый инсталляцией программного обеспечения Cheyenne/Innoculan/ArcServe, этот файл проживает в корне диска - где программная инсталляция имела место. Этот файл может содержать чрезвычайно важную информацию, как показано ниже:

<EXCH-VERIFY>: ExchAuthenticate() called with
NTServerName:[SAMPLESERVER]
NTDomainName[SAMPLESERVER] adminMailbox:[administrator]
adminLoginName:[administrator]
password:[PASSWORD]

Само собой разумеется, файл содержит информацию, которую хакер может легко использовать, чтобы поставить под угрозу целостность вашей сети.

Profile.tfm: файл Profile.tfm, который создан программным обеспечением AcornMail, клиентом POP3. При написании этого документа, AcornMail начал получать много внимания от сообщества интернета. После осмотра программного обеспечения, мы нашли, что это - эффективный POP3 клиент, но инсталляция не NTFS дружественная. После инсталляции программного обеспечения, мы начали проверять файлы, созданные AcornMail. Мы нашли, что файл Profile.tfm содержит комбинацию имени пользователя/пароля. Сначала, мы решили, что программное обеспечение было вполне ok, потому что оно действительно хранило пароль в зашифрованном состоянии. Но потом мы поняли, что разрешения на файле profile.tfm были установлены в полный доступ для каждого. Это создаёт проблемы, потому что любой может получить копию файла и включить этот файл в свою собственную инсталляцию AcornMail. Тогда хакер войдет в систему с сохраненной информацией. Ниже - сбор данных только при помощи Network Monitor.

00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg.........E.
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b.S.6
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q.P.
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d...+OK.Passwo
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.for.
00000050 68 6B 69 72 6B 2E 0D 0A jjohn...
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg...E.
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 .6..@....A.6...b
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q.....P.
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xerox
00000040 37 33 0D 0A 63..

Как Вы можете видеть, имя пользователя/пароль действительно пропускаютчистым текстом. Это не ошибка AcornMail.

Теперь, когда мы обсудили файлы, которые хакер может желать приобрести, если он получает доступ к вашему жесткому диску, давайте обсудим Троянскую установку. Если и есть одна вещь, которая может получить для хакера тонну информации, то это - троянская установка. Нападение на ресурс открытого файла вообще делает троянскую установку чрезвычайно лёгкой. Один из самых легких и наиболее информативных троянов - утилита PWDUMP, обернутая в пакетном файле. Если всё подготовлено правильно, пакетный файл выполнится свернутым, выполнит утилиту PWDUMP, удалит её после того, как она выполнила ее задачу, и наконец сотрёт себя.

Правила: адресат должен быть NT машиной, и конечный пользователь, выполняющий трояна должен быть администратором, так что хакер помещает пакетный файл в папку запуска Администраторов и ждет. Следующий раз, когда Администратор войдет в машину, пакетный файл выполняется и собирает комбинации имени пользователя/пароля. Тогда хакер соединяется снова с машиной через совместное использование файла и забирает результаты.

Другое хорошее нападение, которое хакер может попробовать, - это размещение пакета keylogger в папке запуска. Это может обычно делаться любым пользователем, не только администратором. Он соберет все нажатия клавиш пользователя, кроме начальных реквизитов входа в систему (из-за архитектуры NT, которая останавливает все процессы режима пользователя в течение входа в систему). Потом хакер соединяется снова с целевой машиной в более позднее время и забирает зарегистрированные нажатия клавиш.

Как предотвратить подобные нападения ? Не использовать элементы, доступные каждой группе, разрабатывать сильные схемы пароля в вашей среде. Если хакер натолкнется на сервер, который запрашивает его относительно аутентификации на каждом повороте, возможно что хакер отстанет. Хотя большинство хакеров продолжит атаку с применением грубой силы.

Несомненно наиболее обычный инструмент для грубой силы NetBIOS-нападения - это NAT. NAT позволит пользователю автоматизировать сетевые команды подключения, использующие список возможных имен пользователя и паролей. NAT будет пытаться соединяться с удаленной машиной, используя каждое имя пользователя и каждый пароль в обеспеченных списках. Это может быть длинный процесс, но часто хакер будет использовать сокращенный список обычных паролей и иногда это выходит. Хакер создаст свой список из имен пользователя, используя информацию, собранную методами, обсужденными выше. Список пользователей, который хакер будет использовать, будет также создан из подбираемой информации.

Хакер может задать конкретный IP-адрес для атаки или он может задать полный диапазон адресов IP. NAT будет старательно работать, чтобы выполнить задачу, все время выдавая сформированные сообщения.

Ниже - фактический файл результатов реального нападения NAT. Хотя разрешение на это нападение было дано, адрес IP был изменен, чтобы защитить адресата.

  • --- Reading usernames from userlist.txt
  • --- Reading passwords from passlist.txt

  • --- Checking host: 0.0.0.0
  • --- Obtaining list of remote NetBIOS names

  • --- Attempting to connect with name: *
  • --- Unable to connect

  • --- Attempting to connect with name: *SMBSERVER
  • --- CONNECTED with name: *SMBSERVER
  • --- Attempting to connect with protocol: MICROSOFT NETWORKS 1.03
  • --- Server time is Tue Oct 14 11:33:46 1997
  • --- Timezone is UTC-4.0
  • --- Remote server wants us to encrypt, telling it not to

  • --- Attempting to connect with name: *SMBSERVER
  • --- CONNECTED with name: *SMBSERVER
  • --- Attempting to establish session
  • --- Was not able to establish session with no password
  • --- Attempting to connect with Username: `ADMINISTRATOR' Password: `ADMINISTRATOR'
  • --- Attempting to connect with Username: `ADMINISTRATOR' Password: `GUEST'
  • --- Attempting to connect with Username: `ADMINISTRATOR' Password: `ROOT'
  • --- Attempting to connect with Username: `ADMINISTRATOR' Password: `ADMIN'
  • --- Attempting to connect with Username: `ADMINISTRATOR' Password: `PASSWORD'
  • --- CONNECTED: Username: `ADMINISTRATOR' Password: `PASSWORD'

  • --- Obtained server information:

    Server=[AENEMA] User=[] Workgroup=[STATICA] Domain=[]

  • --- Obtained listing of shares:

    Sharename Type Comment
    --------- ---- -------
    ADMIN$ Disk: Remote Admin
    C$ Disk: Default share
    D$ Disk: Default share
    E$ Disk: Default share
    HPLaser4 Printer: HP LaserJet 4Si
    IPC$ IPC: Remote IPC
    NETLOGON Disk: Logon server share
    print$ Disk: Printer Drivers

  • --- This machine has a browse list:

    Server Comment
    --------- -------
    AENEMA


  • --- Attempting to access share: \*SMBSERVER
  • --- Unable to access

  • --- Attempting to access share: \*SMBSERVERADMIN$
  • --- WARNING: Able to access share: \*SMBSERVERADMIN$
  • --- Checking write access in: \*SMBSERVERADMIN$
  • --- WARNING: Directory is writeable: \*SMBSERVERADMIN$
  • --- Attempting to exercise .. bug on: \*SMBSERVERADMIN$

  • --- Attempting to access share: \*SMBSERVERC$
  • --- WARNING: Able to access share: \*SMBSERVERC$
  • --- Checking write access in: \*SMBSERVERC$
  • --- WARNING: Directory is writeable: \*SMBSERVERC$
  • --- Attempting to exercise .. bug on: \*SMBSERVERC$

  • --- Attempting to access share: \*SMBSERVERD$
  • --- WARNING: Able to access share: \*SMBSERVERD$
  • --- Checking write access in: \*SMB


  • ____________________
    Время разбрасывать камни
    Время и убирать пришибленных!
    PMEmail PosterUsers Website
    63/3990   
    Бобер | Бездомный
    Реклама двигатель прогресса       
    Quote Post



    А кому сча лехко?
    Group Icon


















    _________________
    Желающим разместить рекламу смотреть сюдой
    /   
    bredonosec | Профиль
    Дата 12 Декабря, 2004, 21:51
    Quote Post



    Кот Баюн
    Group Icon

    Группа: Старожил
    Сообщений: 7403
    Регистрация: 16.10.03
    Авторитет: 15
    Вне форума

    Предупреждения:
    (0%) -----


    WereWolf А вторую и третью части найти еще где-нить можно?
    Адрес
    Цитата
    Русский перевод - AnSer (http://anser.webjump.com/
    более не отвечает, кидает на megago.com

    Добавлено в [mergetime]1102874067[/mergetime]
    Сайт носорогов что-то тоже не находит.. Может, мои грабли, может, еще что.


    ____________________
    Заявление.
    Прошу отправить меня на курсы повышения зарплаты.
    Подпись.

    из законов мерфи:
    Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
    PMEmail Poster
    24/12891   
    WereWolf | Профиль
    Дата 12 Декабря, 2004, 22:28
    Quote Post



    А вообще то я добрый
    Group Icon

    Группа: Banned
    Сообщений: 2227
    Регистрация: 15.02.04
    Авторитет: 12
    Вне форума

    Предупреждения:
    (40%) XX---


    bredonosec
    К сожалению..... Мне это приходило на почту..... посмотрю, попробую поднять архивы!!!!
    Добавлено в [mergetime]1102876368[/mergetime]
    Если поможет, из той же серии!!!!
    Где Windows NT хранит пароли
    Авторы: Марк Джозеф Эдвардс, Дэвид Лебланк
    Наверняка вы знаете о том, что пароли служат ключами к большинству <дверей> в сети. А известно ли вам, где Windows NT 4.0 хранит эти пароли? Их можно обнаружить во многих интересных местах. И для того, чтобы обеспечить надежную защиту системы, необходимо располагать полной информацией о них.
    Для хранения и обработки таких атрибутов пользователя, как пароли в ОС NT, используется SAM (Security Accounts Manager - администратор учетных данных в системе защиты). SAM размещает всю информацию в базе данных SAM, поэтому можно сказать, что NT защищена от взлома настолько же, насколько защищены данные SAM. Взломать систему безопасности SAM непросто, только если не знать обо всех местах, где можно найти базу данных SAM. Эта статья поможет вам защитить некоторые важные области данных системы NT и отыскать участки системы, которые требуют дальнейшего конфигурирования для обеспечения более высокого уровня безопасности.
    Ключи реестра SAM
    NT хранит постоянно используемую копию базы данных SAM на жестком диске. Вы можете получить доступ к этой базе данных через реестр системы (HKEY_LOCAL_MACHINE, ключ SAM), написав программу или используя редактор реестра (например, regedt32.exe). В принципе, пользователи не имеют доступа к ключу реестра SAM непосредственно из редактора реестра, так как NT предоставляет права доступа к данному ключу только системной учетной записи SYSTEM. Однако пользователи, имеющие административные привилегии, могут воспользоваться трюком NT и обеспечить доступ из пользовательской среды с правами SYSTEM.
    Блокировка службы Планировщика NT (NT Scheduler). Упомянутый выше трюк состоит в использовании службы Планировщика NT для запуска редактора реестра на системной консоли в некоторое заранее определенное время. По умолчанию, Планировщик NT при выполнении заданий использует права учетной записи SYSTEM. Поэтому любая программа, запущенная Планировщиком, имеет полный набор системных привилегий, включая доступ к базе данных SAM. Чтобы защититься от данной опасности, приходится действовать жесткими методами, так как для этого необходимо заблокировать службу Планировщика NT. Блокировка данной службы не всегда возможна в связи с тем, что она может потребоваться для запуска обычных заданий. Если вы не в состоянии заблокировать службу Планировщика, постарайтесь сконфигурировать ее таким образом, чтобы она работала от имени учетной записи пользователя (права пользователя - это необходимый минимум для выполнения запланированных заданий).
    Использование технологии системного ключа (system key). Для обеспечения защиты SAM вы также можете применить предлагаемую Microsoft технологию системного ключа. Данная технология впервые появилась в составе дополнений (hotfix) к пакету обновления NT Service Pack 2 (SP2), но широкую известность она получила, когда вошла в состав SP3. (О сервисном пакете SP3 читайте статью Service Pack 3 Is Really Security Pack 3 в журнале Windows NT Magazine, август 1997.) Технология системного ключа применяется для защиты NT и ее паролей посредством шифрования базы данных SAM и требует использования ключа шифра при загрузке операционной системы.
    Можно использовать один из трех вариантов системных ключей.
    ° Ключ формируется системой произвольным образом и хранится на системном диске с использованием специального алгоритма защиты от прочтения.
    ° Ключ формируется системой произвольным образом и хранится на дискете.
    ° Для формирования ключа применяется пароль, выбираемый администратором.
    Более подробно о каждом из этих вариантов можно прочитать в статье Microsoft: Windows NT System Key Permits Strong Encryption of the SAM (http://support.microsoft.com/support/kb/articles/q143/4/75.asp).
    Хотя системный ключ и помогает защитить SAM, прежде броситься в бой и начать его устанавливать, следует осознать несколько важных моментов. Нужно иметь в виду, что после установки syskey.exe на компьютере не существует возможности его удаления. Следовательно, необходимо очень внимательно отнестись к вопросу выбора оптимального для вашей системы метода хранения ключа. Непосредственно после установки syskey.exe нужно сформировать новую дискету ERD (Emergency Repair Disk). В противном случае вы не сможете полностью восстановить систему, если это потребуется.
    Одно из реальных преимуществ использования системного ключа состоит в том, что если взломщикам удастся получить копию вашей базы данных SAM, они не смогут вытащить оттуда действующие хэш-коды паролей. У них не будет возможности применить для расшифровки паролей такие утилиты как L0phtCrack от L0pht Heavy Industries. Но следует заметить, что системный ключ не сможет остановить тех пользователей, которые имеют административные привилегии. Эти пользователи могут выгрузить базу данных SAM в формате, пригодном для взлома такими инструментами, как L0phtCrack; поэтому нужно очень аккуратно назначать административные права. Например, утилита Pwdump2 успешно получает хэш-коды паролей из базы данных SAM, даже если используется технология системного ключа. Следует учитывать потенциальную опасность, которую представляют подобные инструменты.
    Другим преимуществом технологии системного ключа является возможность обнаруживать попытки такого малоизвестного способа взлома, при котором для получения доступа к системе применяются загрузочные диски. Конечно, такой метод взлома возможен только в том случае, если вы можете загрузиться с системного диска NT. Однако если это удается сделать, то взломщик может перенести базу данных SAM в другое место и затем компьютер. В процессе перезагрузки NT обнаруживает отсутствие базы данных SAM и создает новую базу, которая содержит только двух пользователей: Administrator и Guest, при оба имеют пустые пароли. Очевидно, что теперь взломщик может зарегистрироваться в системе как Administrator, введя пустой пароль, сделать все, что ему нужно, затем ся со своего системного диска и вернуть оригинальную копию базы данных SAM на прежнее место.
    При использовании системного ключа такую попытку взлома легко обнаружить. Если на компьютере установлен системный ключ, то во время загрузки NT не выдаст на экран обычного диалогового окна с приглашением для регистрации. При таком поведении системы даже самый несообразительный администратор должен задуматься и немедленно приступить к исследованию проблемы.
    Аудит SAM
    При любых обстоятельствах предусмотрительный администратор должен активизировать аудит базы данных SAM, чтобы своевременно обнаруживать какие-либо подозрительные действия. Разумеется, аудит предполагает, что вы будете регулярно и тщательно просматривать журнал событий. Процедура установки аудита SAM описана по шагам в колонке <Установка аудита системы безопасности>. Также эта процедура описывается в статье Microsoft Enable Auditing of Microsoft Windows NT Server Password Registry (http://support.microsoft.com/support/kb/articles/q186/ 3/74.asp). Вы можете активизировать аудит базы данных SAM, однако он не будет выполняться, если кто-то загрузит систему с другой копии ОС.
    Предположим, вы сделали все, что нужно для установки аудита всей текущей базы данных SAM. Теперь журнал событий будет включать в себя информацию обо всех успешных и неудачных попытках доступа к ключам SAM. Однако эта информация окажется бесполезной, если вы не будете внимательно анализировать журнал.
    Активизация такого уровня аудита может привести к накоплению очень большого количества записей в журнале событий. Дело в том, что в процессе нормальной работы OC регулярно происходят обращения системы к ключам SAM. Поэтому следует установить параметры настройки журнала событий так, чтобы он мог вмещать достаточное количество записей. Также следует настроить программы мониторинга журнала событий, которые вы будете использовать.
    Утилиты, выполняющиеся с правами привилегированных пользователей, таких как Administrator или SYSTEM, могут свободно манипулировать журналом событий и записями в нем. Сообразительные взломщики могут легко удалить все следы своей деятельности.
    SAM на различных носителях информации
    NT может помещать базу данных SAM на различные носители информации, включая дискеты, магнитные ленты и жесткие диски. Копирование базы на дискету или ленту требует определенных действий со стороны пользователя, такая операция не является частью обычной работы NT. В процессе ежедневного функционирования NT может размещать базу данных SAM в двух каталогах на жестком диске: %systemroot%\repair и %systemroot%\system32\config. Хотя каталог \config и содержит рабочую копию базы данных SAM, используемую <живой> системой, к этой базе нельзя получить доступ (например, для копирования) из таких программ, как Windows Explorer (Проводник), пока работает ОС. Это связано с тем, что системный процесс Local Security Authority (LSA) (lsass.exe) захватывает файл базы данных SAM для монопольного использования.
    Тем не менее кто-нибудь все же может, используя загрузочный диск NT, скопировать данный файл. То есть взломщик имеет возможность систему со своего диска и скопировать либо переместить базу данных SAM. Еще раз заметим, что технология системного ключа может защитить SAM от подобной атаки с использованием загрузочного диска, так как база данных будет зашифрована. Это справедливо и для архивов на магнитных лентах, поскольку взятая оттуда копия базы данных SAM, зашифрованная с помощью системного ключа, окажется совершенно бесполезной для взломщика. Однако архивы на лентах все равно следует хранить под замком для защиты от потери, искажения и кражи информации.
    Каталог \repair содержит ту же информацию, что и дискета ERD, создаваемая утилитой rdisk.exe и используемая для восстановления системы. И каталог \repair, и дискета ERD содержат копии базы данных SAM, поэтому они должны быть надежно защищены. Дискета ERD должна храниться в столь же безопасном месте, что и ленты с архивами данных.
    Для защиты каталога \repair назначайте права таким образом, чтобы злоумышленники не могли получить доступ к данному каталогу и содержащимся в нем файлам, в особенности к файлу sam._, в котором находится база данных SAM. Чтобы защитить файлы в каталоге \repair, используйте утилиту calcs.exe, входящую в состав Microsoft Windows NT Server 4.0 Resource Kit или другую аналогичную программу. Выполните следующие действия.
    В окне Command Prompt перейдите в каталог %systemroot% (обычно это C:\winnt) и выполните команду:
    cacls
    repair /g administrators:F system:F /t
    Либо вы можете, используя программу Windows Explorer, сделать следующее.
    1. Откройте Windows Explorer.
    2. Перейдите в каталог repair (обычно это C:\winnt\repair), нажмите правую клавишу мыши и выберите в открывшемся меню Properties.
    3. Выберите закладку Security.
    4. Выберите Permissions.
    5. Отметьте Replace Permissions on Subdirectories и Replace Permissions on Existing Files.
    6. Удалите из списка всех пользователей, кроме Administrators и SYSTEM.
    7. Убедитесь, что и Administrators, и SYSTEM имеют права Full Control.
    8. Нажмите OK.
    Теперь вы назначили пользователям Administrators и SYSTEM права Full Control на данный каталог и все файлы, которые в нем содержатся. Поскольку режим редактирования ACL выбран не был, права всех остальных пользователей удалены системой.
    В зависимости от конфигурации системы помимо каталогов \repair и \config NT может записывать информацию, имеющую отношение к SAM, в следующие файлы: pagefile.sys, memory.dmp или user.dmp. NT использует файл pagefile.sys как дополнительное пространство для организации виртуальной памяти, которое добавляется к физической памяти, установленной в компьютере. Файл memory.dmp создается при аварийном завершении работы операционной системы, если в конфигурации NT выбран режим записи образа памяти на диск. Файл user.dmp создается при аварийном завершении работы какой-либо прикладной программы, если в конфигурации программы Dr. Watson выбран режим записи образа памяти в файл.
    При работе с этими файлами NT переписывает определенную порцию данных из памяти на диск. В некоторых случаях эти данные могут содержать пароли, хранящиеся резидентно в памяти. Соответственно, получив доступ к этим файлам, взломщик может без особого труда завладеть важной информацией, позволяющей пробить брешь в системе безопасности.
    Чтобы уменьшить опасность, связанную с использованием файлов user.dmp и memory.dmp, вам необходимо предпринять одно из следующих действий:
    ° написать командный файл, который будет удалять указанные файлы при входе в систему.
    ° установить права для этих файлов так, что только администраторы смогут иметь доступ к ним.
    ° установить в реестре ключ, указывающий на необходимость удаления системного файла pagefile при завершении работы операционной системы.
    ° в конфигурации программы Dr. Watson отключить режим создания файлов.
    Лучше всего настроить параметры системы так, чтобы указанные два файла не создавались. Однако при этом может возникнуть ситуация, когда программисты, которые должны исследовать проблему аварийного завершения работы системы, не будут иметь необходимых им данных.
    Чтобы отключить создание файлов user.dmp программой Dr. Watson запустите утилиту drwtsn32.exe, отключите параметр Create Crash Dump File и закройте программу.
    Чтобы отключить в параметрах настройки NT создание файла memory.dmp, запустите в Панели Управления (Control Panel) программу System и выберите закладку Startup/Shutdown.
    Затем отключите параметр Write debugging information to. Если вам все же необходимо иметь образы памяти на момент аварийного завершения работы NT, постарайтесь настроить параметры ОС и программы Dr. Watson таким образом, чтобы файлы, содержащие образ памяти, помещались в защищенный каталог, доступный только администраторам.
    Что касается файла pagefile.sys, то его открывает и защищает от попыток непосредственного доступа со стороны взломщиков только операционная система. Однако следует упомянуть прошлогодний инцидент, когда клиентская служба NetWare для Windows NT помещала в память пароли пользователей NetWare в открытом виде. Эти пароли могли быть записаны в файл pagefile.sys при переписывании соответствующей страницы памяти на диск. Любой человек, имеющий копию файла pagefile.sys и текстовый редактор, мог без труда получить пароли. Разработчики Novell решили эту проблему. Теперь, прежде поместить пароли в pagefile, они ются с использованием недокументированного API-интерфейса. Однако взломщики могут пробить эту защиту. Так, изобретательные российские программисты нашли способ расшифровки информации, получаемой из файла pagefile.sys. Чтобы защититься от подобных атак, настраивайте NT таким образом, чтобы файл pagefile.sys удалялся при завершении работы системы. (Как это сделать, мы расскажем далее.) И не забывайте о необходимости физической защиты компьютера с целью предотвращения нежелательного доступа к файлу pagefile.sys.
    Да, вы можете сконфигурировать NT так, чтобы pagefile удалялся при нормальном завершении работы системы. Но таким способом вы обеспечите защиту только от тех взломщиков, которые копируют или изменяют файл, загрузившись с другой копии ОС (т. е. используя загрузочный диск или загрузив NT из другого системного каталога). Большинство взломщиков понимают, что в таком случае у них есть возможность получения доступа к системе путем перемещения базы данных SAM, следовательно, взлом файла pagefile.sys становится бессмысленным
    Несмотря на это, в ситуациях, когда условия эксплуатации системы требуют установки и использования нескольких копий ОС, удаление файла pagefile при нормальном завершении работы можно считать достаточной мерой безопасности. Следует иметь в виду, что если NT сконфигурирована так, чтобы удалять pagefile во время завершения работы системы, то неизбежна некоторая задержка в процессе начальной загрузки и останова ОС. Однако эта задержка несущественна, если принять во внимание уровень безопасности, которого мы в результате достигаем. Для того чтобы включить режим удаления файла pagefile.sys во время нормального завершения работы ОС, следует модифицировать (или создать) в системном реестре параметр ClearPageFileAtShutdown (типа REG_SZ) в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management, присвоив ему значение 1.
    Хэш-коды паролей в памяти
    По умолчанию, NT кэширует необходимые для регистрации атрибуты для 10 последних пользователей, входивших в систему интерактивно. Это делается для того, чтобы пользователь смог зарегистрироваться, даже если вы отключите компьютер от сети, или контроллер домена окажется недоступным. NT обеспечивает определенную защиту кэшируемой информации. Однако если ваши задачи требуют более высокого уровня безопасности, вы можете полностью отключить кэширование, чтобы исключить попытки атак на данные в кэш-памяти. Нужно учитывать, что кэшируемые данные содержат хэш-коды других хэш-кодов паролей. Поэтому их очень сложно взломать и использовать для несанкционированного входа в систему. Мы не можем вспомнить ни одного случая использования хакерами таких данных из кэш-памяти. Чтобы отключить кэширование, установите в 0 значение параметра реестра CachedLogonsCount (типа REG_DWORD) в ключе HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon.
    SAM в сети
    ОС Windows NT использует протокол SMB (Server Message Block - блок ных сообщений), разработанный совместно фирмами Microsoft, IBM и Intel. Данный протокол определяет алгоритмы функционирования файловой службы в сетевой среде. Нетрудно предположить, что во время сеанса SMB по сети должны передаваться пакеты, содержащие информацию конфиденциального характера. Среди прочего эти пакеты обычно включают в себя зашифрованные данные протокола NTLM, передаваемые NT во время фазы аутентификации.
    Взломщики, используя существующие сетевые анализаторы, могут легко перехватывать данные, передаваемые по сети. Задача перехвата нужных пакетов и получения из них информации о паролях всегда считалась нелегкой. Но ситуация в корне изменилась с появлением продукта SMB Packet Capture, выпущенного компанией L0pht Heavy Industries. Это сетевой анализатор, который тесно интегрирован с программой L0phtCrack. Имея в своем распоряжении L0phtCrack, можно легко <выхватывать> из сети хэш-коды паролей, передаваемые в соответствии с протоколом SMB.
    Встроенный в L0phtCrack сетевой анализатор незаметно перехватывает хэш-коды паролей и запоминает их с целью расшифровки. После расшифровки паролей злоумышленнику ничего не стоит добраться до любого сетевого ресурса, к которому имел доступ соответствующий пользователь. Вот так! Риск здесь очевидный, но и методы защиты просты.
    Для защиты от подобных атак нужно использовать протокол NTLMv2, поставляемый в составе пакетов обновления SP4 и SP5, либо применять механизм создания виртуальных частных сетей (VPN - Virtual Private Network) типа Microsoft PPTP. Протокол NTLMv2 позволяет защитить данные, передаваемые по внутренней локальной сети, а PPTP обеспечивает защиту информации, передаваемой через такие <небезопасные> сети, как, например, Internet. Если вы реализуете PPTP, то обязательно установите последние сервисные пакеты, включая дополнения и исправления к ним (hotfix). Мы предупреждаем вас об этом, потому что в свое время PPTP-соединение считалось очень ненадежным. Microsoft внесла необходимые корректировки, устраняющие недостатки PPTP. Но эти корректировки будут вам недоступны, если вы не установите hotfix к пакету SP3 или более позднему пакету.
    Следует иметь в виду, что при отсутствии в вашей системе механизма VPN и технологии подписей SMB взломщик может использовать сеанс SMB для получения несанкционированного доступа в систему. Microsoft реализовала технологию подписей SMB в пакете обновления SP3 и также включила ее во все последующие пакеты обновления. При использовании подписей пакетов SMB операционная система проверяет подлинность каждого пакета, прежде принять его к исполнению. Однако реализация подписей SMB не всегда безопасна. Для получения более подробной информации обязательно прочитайте статью Microsoft How to Enable SMB Signing in Windows NT (http://support.microsoft.com/support/kb/articles/q161/3/72.asp).
    Для борьбы со средствами взлома типа L0phtCrack можно запретить NT посылать в сеть хэш-коды паролей, формируемые по протоколу LAN Manager (LM). Хэш-коды LM являются более простыми, коды NTLM, так как NTLM позволяет задействовать пароли, учитывающие регистр. Также NTLM допускает возможность применения дополнительных символов клавиатуры. Это расширяет диапазон символов ключа шифрования на 26. Заметим, что сложные пароли труднее поддаются расшифровке даже при наличии таких инструментов, как L0phtCrack.
    Целесообразно включать в пароль символ <возврат каретки>, так как L0phtCrack не умеет нормально обрабатывать этот символ. Чтобы вставить <возврат каретки>, нажмите клавиши Alt+0+1+3 на цифровой панели клавиатуры.
    Для решения описываемой проблемы Microsoft реализовала в составе дополнений и исправлений к сервисному пакету SP3 новый ключ реестра. Он был включен во все сервисные пакеты, вышедшие после SP3. Новый параметр реестра, LMCompatibilityLevel, имеет тип REG_DWORD и размещается в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.
    При использовании NTLMv2 можно установить значение этого параметра равным 0, 1, 2, 3, 4 и 5. Если это значение равно 0, то NT при аутентификации сетевого соединения передает по сети пароли как в формате NTLM, так и в формате LM (этот метод аутентификации обеспечивает совместимость с другими системами и используется в NT по умолчанию). Если значение равно 1, то NT передает оба типа хэш-кодов только тогда, когда этого требует . Если значение равно 2, то хэш-коды паролей в формате LM не используются ни при каких обстоятельствах. Если значение равно 3, применяется только аутентификация по протоколу NTLMv2. Значение параметра, равное 4, запрещает контроллеру домена использовать аутентификацию LM, а значение 5 указывает на необходимость применять при аутентификации только протокол NTLMv2. Наиболее безопасной является установка значения этого параметра равным 2. Но следует иметь в виду, что системы, поддерживающие только протокол LM (т. е. Windows 95 и Windows for Workgroups), не смогут установить соединение с данной системой NT. Полный перечень особенностей конфигурации описан в статье Microsoft How to Disable LM Authentication on Windows NT (http://support.microsoft.com/support/kb/articles/q147/7/06.asp). Заметим, что при установке пакета обновления SP4 данный ключ реестра способен принимать шесть различных значений.
    Еще один способ взлома системы может иметь место, если взломщик располагает возможностью физического доступа к компьютеру. Используя такие средства, как NT Locksmith или ERD Commander (оба можно найти на http://www.wininternals. com), ничего не стоит получить доступ в систему с правами любого пользователя. Для защиты от этого метода взлома следует принять меры, препятствующие физическому доступу к компьютеру.
    Можно немного расслабиться
    В этой статье мы представили основные идеи и особенности конфигурации, которые следует учитывать при установке и сопровождении ОС Windows NT и ее системы безопасности. Также мы упомянули несколько вопросов, связанных с приложениями NT (см. колонки <Безопасность приложений BackOffice> и <Безопасность прикладных программ>), которые проливают свет на потенциальные проблемы и могут способствовать поиску путей защиты паролей от несанкционированного доступа.
    Эта статья должна помочь вам несколько разгрузить свой мозг. Но не слишком расслабляйтесь. Вам по-прежнему необходимо держать систему под контролем. Продолжайте следить за журналами событий!
    Добавлено в [mergetime]1102876580[/mergetime]
    И ещё одна часть....
    Безопасность в Windows XP
    Автор: Владимир Володин
    Источник: tech.stolica.ru
    Одной из самых больших проблем, подстерегающих пользователей компьютеров, всегда были компьютерные вирусы, но в последние годы к ним добавились и шпионские программы. Для домашнего компьютера, на котором нет конфиденциальной информации, это не очень большая проблема, но, все равно, не очень приятно, когда информация о владельце компьютера, куда-то передается без его ведома.
    Из этой статьи вы узнаете, как повысить уровень безопасности вашего компьютера, чтобы вы перестали беспокоиться о важных данных и не позволили ниу отправлять информацию с вашего компьютера без вашего разрешения.
    Пароли
    Первое, с чего стоит начать - пароли. Здесь приводятся ключи реестра, связанные с паролями. Главное правило, которому нужно следовать, если вы хотите, чтобы ваши пароли были эффективными - не используйте слова, которые можно найти в словаре, или наборы цифр. Лучше всего комбинируйте и буквы в разных регистрах и не храните ваши пароли в легкодоступных местах.
    Запрашивать пароль при возвращении к работе из режима ожидания
    [HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ System \ Power]
    "PromptPasswordOnResume"='1'
    Требовать пароли только из букв и цифр
    Этот ключ заставит вас всегда комбинировать в паролях буквы и . [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network]
    "AlphanumPwds"='1'
    Установка минимального количества символов в паролях
    [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network]
    "MinPwdLen"=hex:6
    Отмена сохранения паролей в Internet Explorer
    Если вы доверяете компании Микрософт в хранении паролей и другой конфиденциальной информации, то можете разрешить Windows хранить пароль доступа в Интернет на диске своего компьютера, но это не очень хорошая идея.
    [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings]
    "DisablePasswordCaching"='1'
    Запрет хранения паролей
    В прошлых версиях Windows 9x сохранение паролей было большой проблемой. Теперь это не так, Windows 2000 и XP защищают эту информацию значительно лучше. Но, опять же, вам решать, позволить операционной системе хранить пароли на диске или нет. Это касается паролей пользователей и сетевых паролей.
    [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network]
    "DisablePwdCaching"='1'
    Сеть
    Запрет доступа для анонимных пользователей
    Анонимный пользователь может получить доступ к списку пользователей и открытых ресурсов, чтобы это запретить, можно воспользоваться этим ключом.
    [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA]
    "RestrictAnonymous"='1'
    Не показывать пароли при вводе
    При попытке доступа к защищенному паролем ресурсу, Windows не скрывает пароль, который вы вводите. Этот ключ позволяет заменять символы пароля звездочками.
    [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network]
    "HideSharePwds"='1'
    компьютер от других пользователей в сети
    Этот ключ позволяет включить режим, при котором в режиме обзора сети другие пользователи не будут видеть вашего компьютера.
    [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters]
    "Hidden"='1'
    Убираем следы своей работы за компьютером
    Очистка файла PageFile
    Уничтожение при завершении работы всей информации, которая могла сохраниться в системном файле Page File.
    [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management]
    "ClearPageFileAtShutdown"='1'
    Автоматическое удаление временных файлов после работы в Интернет
    0 заставит Internet Explorer удалять все временные файлы, такие как изображения с web-страниц и другую информацию, оставшуюся после работы в Интернет, а 1 позволит оставить эти файлы на диске.
    [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Cache]
    "Persistent"='0'
    Отменить сохранение списка документов, с которыми вы работали
    [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer]
    "NoRecentDocsHistory"='1'
    Отмена сохранения информации о действиях пользователя
    Этот ключ запрещает записывать, с какими приложениями недавно работал пользователь, и к каким документам он получал доступ.
    [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer]
    "NoInstrumentation"='1'
    Пакетный файл для удаления временной информации
    Этот пакетный файл будет удалять всю временную информацию перед выключением компьютера. Чтобы создать его, нужно выполнить несколько простых действий:
    1. Откройте Блокнот и введите этот текст: (не забудьте заменить username именем пользователя, под которым вы заходите в систему, а C: \ Temp - названием своей папки с временными файлами).
    RD /S /q "C: \ Documents and Settings \ USERNAME \ Local Settings \ History"
    RD /S /q "C: \ Documents and Settings \ Default User \ Local Settings \ History"
    RD /S /q "C: \ Temp \ "
    2. Сохраните этот файл на вашем диске C: под именем deltemp.bat.
    3. Нажмите . Введите gpedit.msc. В левой части окна выберите пункт и выберите в правой части окна пункт . В появившемся окне нажмите кнопку и укажите, где находится созданный вами файл. Теперь он будет запускаться перед каждым выключением компьютера.
    Естественно, здесь описаны только основные ключи реестра, которые относятся к безопасности ваших данных и доступу к ресурсам вашего компьютера. Этот материал будет обновляться, так что, если тема безопасности для вас актуальна, следите за обновлениями.


    ____________________
    Время разбрасывать камни
    Время и убирать пришибленных!
    PMEmail PosterUsers Website
    55/3990   
    bredonosec | Профиль
    Дата 13 Декабря, 2004, 3:00
    Quote Post



    Кот Баюн
    Group Icon

    Группа: Старожил
    Сообщений: 7403
    Регистрация: 16.10.03
    Авторитет: 15
    Вне форума

    Предупреждения:
    (0%) -----


    Чтож, придется обойтись и этой незаконченной статьей

    насчет добав:
    первую часть ты уже выкладывал (насчет НТ и паролей) - я её как раз на днях распечатал, потому помню smile.gif

    Вторую - не помню, спасибо, сьем! ))


    ____________________
    Заявление.
    Прошу отправить меня на курсы повышения зарплаты.
    Подпись.

    из законов мерфи:
    Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
    PMEmail Poster
    4/12891   

    Topic Options Start new topic Start Poll 

     



    [ Script Execution time: 0.0692 ]   [ 12 queries used ]   [ GZIP включён ]


    Создание и продвижение сайтов в Крыму



    Top