Информационная безопасность. Корнюшин П.Н - 121 стр.

UptoLike

ВУЗ:

ДВФУ | Владивосток

Составители:

Рубрика:

Информационная безопасность и защита компьютерной информации

122

систему и при удаленном доступе к ней по компьютерной сети. База данных SAM представляет

собой один из кустов (hive) системного реестра (registry) Windows NT. Этот куст принадлежит

ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM. Он располагается в каталоге

\winnt_root\System32\Config (winnt_root – условное обозначение каталога с системными файлами

Windows NT) в отдельном файле, который тоже называется SAM.

Информация в учетных записях базы данных SAM хранится в основном в двоичном виде.

Доступ к ней обычно осуществляется через диспетчер учетных записей. Изменять записи,

находящиеся в базе данных SAM, при помощи программ, позволяющих напрямую редактировать

реестр Windows NT (REGEDT или REGEDT32), не рекомендуется. По умолчанию этого и нельзя

делать, т.к. доступ к базе данных SAM запрещен для всех без исключения категорий

пользователей операционной системы Windows NT.

Хранение паролей пользователей

В учетных записях базы данных SAM находится информация о пользовательских именах и

паролях, которая необходима для идентификации и аутентификации пользователей при их

интерактивном входе в систему. Как и в любой другой современной многопользовательской

операционной системе, эта информация хранится в зашифрованном виде. В базе данных SAM

каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых

последовательностей, полученных разными методами. При использовании первого метода строка

символов пользовательского пароля хэшируется с помощью функции MD4. В итоге из

символьного пароля, введенного пользователем (до 14 символов), получается 16-байтовая

последовательность – хэшированный пароль Windows NT. Данная последовательность затем

шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. При

этом в качестве ключа используется так называемый относительный идентификатор пользователя

(Relative Identifer, RID), который представляет собой автоматически увеличивающийся

порядковый номер учетной записи данного пользователя в базе данных SAM.

Для совместимости с другим программным обеспечением корпорации Microsoft (Windows

for Workgroups, Windows 95/98 и Lan Manager) в базе данных SAM хранится также информация о

пароле пользователя в стандарте Lan Manager. Для ее формирования используется второй метод.

Все буквенные символы исходной строки пользовательского пароля приводятся к верхнему

регистру, и, если пароль содержит меньше 14 символов, то он дополняется нулями. Из каждой 7-

байтовой половины преобразованного таким образом пароля пользователя отдельно формируется

ключ для шифрования фиксированной 8-байтовой последовательности по DES-алгоритму.

Полученные в результате две 8-байтовые половины хэшированного пароля Lan Manager еще раз

шифруются по DES-алгоритму (при этом в качестве ключа используется RID пользователя) и

помещаются в базу данных SAM.

Использование пароля

Информация о паролях, занесенная в базу данных SAM, служит для аутентификации

пользователей Windows NT. При интерактивном или сетевом входе в систему введенный

пользователем пароль сначала хэшируется и шифруется, а затем сравнивается с 16-байтовой

последовательностью, записанной в базе данных SAM. Если они совпадают, пользователю

разрешается вход в систему.

Обычно в базе данных SAM хранятся в зашифрованном виде оба хэшированного пароля.

Однако в некоторых случаях операционная система вычисляет только один из них. Например,

если пользователь домена Windows NT изменит свой пароль, работая на компьютере с Windows

for Workgroups, то в его учетной записи останется только пароль Lan Manager. А если

пользовательский пароль содержит более 14 символов или если эти символы не входят в так

называемый набор поставщика оборудования (original equipment manufacturer, OEM), то в базу

данных SAM будет занесен только пароль Windows NT.

Возможные атаки на базу данных SAM

Обычно основным предметом стремления взломщика парольной защиты операционной

системы являются административные полномочия. Их можно получить, узнав в хэшированном

или символьном виде пароль администратора системы, который хранится в базе данных SAM.

Поэтому именно на базу данных SAM бывает направлен главный удар взломщика парольной

защиты Windows NT.

По умолчанию в операционной системе Windows NT доступ к файлу

\winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не

менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование

систему и при удаленном доступе к ней по компьютерной сети. База данных SAM представляет
собой один из кустов (hive) системного реестра (registry) Windows NT. Этот куст принадлежит
ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM. Он располагается в каталоге
\winnt_root\System32\Config (winnt_root – условное обозначение каталога с системными файлами
Windows NT) в отдельном файле, который тоже называется SAM.
        Информация в учетных записях базы данных SAM хранится в основном в двоичном виде.
Доступ к ней обычно осуществляется через диспетчер учетных записей. Изменять записи,
находящиеся в базе данных SAM, при помощи программ, позволяющих напрямую редактировать
реестр Windows NT (REGEDT или REGEDT32), не рекомендуется. По умолчанию этого и нельзя
делать, т.к. доступ к базе данных SAM запрещен для всех без исключения категорий
пользователей операционной системы Windows NT.
        Хранение паролей пользователей
        В учетных записях базы данных SAM находится информация о пользовательских именах и
паролях, которая необходима для идентификации и аутентификации пользователей при их
интерактивном входе в систему. Как и в любой другой современной многопользовательской
операционной системе, эта информация хранится в зашифрованном виде. В базе данных SAM
каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых
последовательностей, полученных разными методами. При использовании первого метода строка
символов пользовательского пароля хэшируется с помощью функции MD4. В итоге из
символьного пароля, введенного пользователем (до 14 символов), получается 16-байтовая
последовательность – хэшированный пароль Windows NT. Данная последовательность затем
шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. При
этом в качестве ключа используется так называемый относительный идентификатор пользователя
(Relative Identifer, RID), который представляет собой автоматически увеличивающийся
порядковый номер учетной записи данного пользователя в базе данных SAM.
        Для совместимости с другим программным обеспечением корпорации Microsoft (Windows
for Workgroups, Windows 95/98 и Lan Manager) в базе данных SAM хранится также информация о
пароле пользователя в стандарте Lan Manager. Для ее формирования используется второй метод.
Все буквенные символы исходной строки пользовательского пароля приводятся к верхнему
регистру, и, если пароль содержит меньше 14 символов, то он дополняется нулями. Из каждой 7-
байтовой половины преобразованного таким образом пароля пользователя отдельно формируется
ключ для шифрования фиксированной 8-байтовой последовательности по DES-алгоритму.
Полученные в результате две 8-байтовые половины хэшированного пароля Lan Manager еще раз
шифруются по DES-алгоритму (при этом в качестве ключа используется RID пользователя) и
помещаются в базу данных SAM.
        Использование пароля
        Информация о паролях, занесенная в базу данных SAM, служит для аутентификации
пользователей Windows NT. При интерактивном или сетевом входе в систему введенный
пользователем пароль сначала хэшируется и шифруется, а затем сравнивается с 16-байтовой
последовательностью, записанной в базе данных SAM. Если они совпадают, пользователю
разрешается вход в систему.
        Обычно в базе данных SAM хранятся в зашифрованном виде оба хэшированного пароля.
Однако в некоторых случаях операционная система вычисляет только один из них. Например,
если пользователь домена Windows NT изменит свой пароль, работая на компьютере с Windows
for Workgroups, то в его учетной записи останется только пароль Lan Manager. А если
пользовательский пароль содержит более 14 символов или если эти символы не входят в так
называемый набор поставщика оборудования (original equipment manufacturer, OEM), то в базу
данных SAM будет занесен только пароль Windows NT.
        Возможные атаки на базу данных SAM
        Обычно основным предметом стремления взломщика парольной защиты операционной
системы являются административные полномочия. Их можно получить, узнав в хэшированном
или символьном виде пароль администратора системы, который хранится в базе данных SAM.
Поэтому именно на базу данных SAM бывает направлен главный удар взломщика парольной
защиты Windows NT.
        По умолчанию в операционной системе Windows NT доступ к файлу
\winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не
менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование

                                            122

Заказать работу

Информационная безопасность. Корнюшин П.Н - 121 стр.

UptoLike

ВУЗ:

Корнюшин П.Н.

Костерин А.С.

Информационная безопасность и защита компьютерной информации

Вы здесь

Информационная безопасность. Корнюшин П.Н - 121 стр.

UptoLike

ВУЗ:

Корнюшин П.Н.

Костерин А.С.

Информационная безопасность и защита компьютерной информации

Страницы