Информационная безопасность. Корнюшин П.Н - 122 стр.

UptoLike

ВУЗ: 

ДВФУ | Владивосток

Составители: 

Рубрика: 

123
файлов и каталогов Windows NT может перенести этот файл с жесткого диска на магнитную
ленту. Резервную копию реестра также можно создать утилитой REGBAK из Windows NT
Resource Kit. Кроме того, явный интерес для любого взломщика представляют копия файла SAM
(SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в
каталоге \winnt_root\Repair.
При наличии физической копии файла SAM извлечь хранимую в нем информацию не
представляет никакого труда. Загрузив файл SAM в реестр любого другого компьютера с Windows
NT (например, с помощью команды Load Hive REGEDT32), можно в деталях изучить учетные
записи пользователей, чтобы определить значения RID пользователей и шифрованные варианты
их хэшированных паролей. Зная RID пользователя и имея зашифрованную версию его
хэшированного пароля, компьютерный взломщик может попытаться расшифровать этот пароль,
чтобы использовать его, например, для получения сетевого доступа к другому компьютеру.
Однако для интерактивого входа в систему одного лишь знания хэшированного пароля
недостаточно. Необходимо получить его символьное представление. Для восстановления
пользовательских паролей операционной системы Windows NT в символьном виде существуют
специальные парольные взломщики, которые выполняют как прямой подбор паролей, так и поиск
по словарю. Одной из самых известных программ взлома паролей операционной системы
Windows NT является LOphtCrack. Другим распространенным парольным взломщиком Windows
NT является Advanced NT Security Explorer (сокращенно - ANTExp). ANTExp имеет удобный
пользовательский интерфейс. Пользователь может задать набор символов, из которых будут
формироваться последовательности, используемые в качестве вариантов паролей, а также
верхнюю и нижнюю границы длины перебираемых паролей. Кроме того, можно выбрать тип
атаки на парольную защиту Windows NT и применить либо атаку методом "грубой силы", либо
словарную атаку.
Защита системы от парольных взломщиков
Итак, одной из главных задач системного администратора Windows NT является защита от
несанкционированного доступа той информации, которая хранится в базе данных SAM. С этой
целью ему, прежде всего, необходимо ограничить физический доступ к компьютерной сети и,
прежде всего, – к контроллерам доменов. Дополнительно, при наличии соответствующих
программно-аппаратных средств, следует установить пароли BIOS на включение компьютеров и
на изменение настроек BIOS. Затем, используя настройки BIOS, рекомендуется отключить
загрузку компьютеров с гибких и компакт-дисков. А для обеспечения контроля доступа к файлам
и папкам операционной системы Windows NT системный раздел жесткого диска должен иметь
формат NTFS.
Каталог \winnt_root\repair необходимо средствами операционной системы закрыть для
доступа всех пользователей, включая администраторов, и разрешать к ней доступ только во время
работы утилиты RDISK, создающей в этом каталоге архивные копии системного реестра Windows
NT. Системные администраторы также должны внимательно следить затем, где и как хранятся
дискеты аварийного восстановления (Emergency Repair Disks) и архивные копии на магнитных
лентах, если на последних присутствует дубликат системного реестра Windows NT.
Для защиты базы данных SAM можно применить утилиту SYSKEY, входящую в состав
пакета обновления Windows NT Service Pack 3. Эта утилита позволяет включить режим
дополнительного шифрования информации о паролях, которая хранится в базе данных SAM.
Уникальный 128-битовый ключ для дополнительного шифрования паролей (так называемый ключ
шифрования паролей - Password Encryption Key, PEK) автоматически сохраняется в системном
реестре для дальнейшего использования.
Перед помещением в системный реестр ключ PEK шифруется при помощи другого 128-
битового ключа, который называется системным ключом (System Key), и может храниться либо в
системном регистре, либо в файле с именем STARTUP.KEY в корневом каталоге на отдельной
дискете. Можно не сохранять системный ключ на магнитном носителе, и тогда каждый раз при
запуске операционной системы он будет вычисляться с помощью алгоритма MD5 на основе
пароля, набираемого на клавиатуре в диалоговом окне утилиты SYSKEY.
Для повышения стойкости паролей пользователей операционной системы Windows NT к
взлому рекомендуется с помощью утилиты Диспетчер пользователей (User Manager) задать
минимальную длину пользовательских паролей равной не менее 8 символов и включить режим
устаревания паролей, чтобы пользователи периодически их обновляли. При этом, чем выше
вероятность атак на парольную защиту Windows NT, тем короче должен быть срок такого 
файлов и каталогов Windows NT может перенести этот файл с жесткого диска на магнитную
ленту. Резервную копию реестра также можно создать утилитой REGBAK из Windows NT
Resource Kit. Кроме того, явный интерес для любого взломщика представляют копия файла SAM
(SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в
каталоге \winnt_root\Repair.
        При наличии физической копии файла SAM извлечь хранимую в нем информацию не
представляет никакого труда. Загрузив файл SAM в реестр любого другого компьютера с Windows
NT (например, с помощью команды Load Hive REGEDT32), можно в деталях изучить учетные
записи пользователей, чтобы определить значения RID пользователей и шифрованные варианты
их хэшированных паролей. Зная RID пользователя и имея зашифрованную версию его
хэшированного пароля, компьютерный взломщик может попытаться расшифровать этот пароль,
чтобы использовать его, например, для получения сетевого доступа к другому компьютеру.
Однако для интерактивого входа в систему одного лишь знания хэшированного пароля
недостаточно. Необходимо получить его символьное представление. Для восстановления
пользовательских паролей операционной системы Windows NT в символьном виде существуют
специальные парольные взломщики, которые выполняют как прямой подбор паролей, так и поиск
по словарю. Одной из самых известных программ взлома паролей операционной системы
Windows NT является LOphtCrack. Другим распространенным парольным взломщиком Windows
NT является Advanced NT Security Explorer (сокращенно - ANTExp). ANTExp имеет удобный
пользовательский интерфейс. Пользователь может задать набор символов, из которых будут
формироваться последовательности, используемые в качестве вариантов паролей, а также
верхнюю и нижнюю границы длины перебираемых паролей. Кроме того, можно выбрать тип
атаки на парольную защиту Windows NT и применить либо атаку методом "грубой силы", либо
словарную атаку.
        Защита системы от парольных взломщиков
        Итак, одной из главных задач системного администратора Windows NT является защита от
несанкционированного доступа той информации, которая хранится в базе данных SAM. С этой
целью ему, прежде всего, необходимо ограничить физический доступ к компьютерной сети и,
прежде всего, – к контроллерам доменов. Дополнительно, при наличии соответствующих
программно-аппаратных средств, следует установить пароли BIOS на включение компьютеров и
на изменение настроек BIOS. Затем, используя настройки BIOS, рекомендуется отключить
загрузку компьютеров с гибких и компакт-дисков. А для обеспечения контроля доступа к файлам
и папкам операционной системы Windows NT системный раздел жесткого диска должен иметь
формат NTFS.
        Каталог \winnt_root\repair необходимо средствами операционной системы закрыть для
доступа всех пользователей, включая администраторов, и разрешать к ней доступ только во время
работы утилиты RDISK, создающей в этом каталоге архивные копии системного реестра Windows
NT. Системные администраторы также должны внимательно следить затем, где и как хранятся
дискеты аварийного восстановления (Emergency Repair Disks) и архивные копии на магнитных
лентах, если на последних присутствует дубликат системного реестра Windows NT.
        Для защиты базы данных SAM можно применить утилиту SYSKEY, входящую в состав
пакета обновления Windows NT Service Pack 3. Эта утилита позволяет включить режим
дополнительного шифрования информации о паролях, которая хранится в базе данных SAM.
Уникальный 128-битовый ключ для дополнительного шифрования паролей (так называемый ключ
шифрования паролей - Password Encryption Key, PEK) автоматически сохраняется в системном
реестре для дальнейшего использования.
        Перед помещением в системный реестр ключ PEK шифруется при помощи другого 128-
битового ключа, который называется системным ключом (System Key), и может храниться либо в
системном регистре, либо в файле с именем STARTUP.KEY в корневом каталоге на отдельной
дискете. Можно не сохранять системный ключ на магнитном носителе, и тогда каждый раз при
запуске операционной системы он будет вычисляться с помощью алгоритма MD5 на основе
пароля, набираемого на клавиатуре в диалоговом окне утилиты SYSKEY.
        Для повышения стойкости паролей пользователей операционной системы Windows NT к
взлому рекомендуется с помощью утилиты Диспетчер пользователей (User Manager) задать
минимальную длину пользовательских паролей равной не менее 8 символов и включить режим
устаревания паролей, чтобы пользователи периодически их обновляли. При этом, чем выше
вероятность атак на парольную защиту Windows NT, тем короче должен быть срок такого

                                            123

Страницы