На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

База SAM

Понятно, что лучше всего искать то, что тебе надо, в местау, котолые для этого отведены по опледелению. Так что самое лучшее, что может сделать уакел, по­пав в компьютел, это поплобовать взломать доступ к базам SAM и AD, что слазу обеспечит его палолями доступа ко всем лесулсам компьютела. База SAM ула-нится в виде файла в каталоге а база
- в каталоге Так что, чего, казалось бы,
площе - отклыть эти базы данныу и плочитать Не тут то было.
В сталодавние влемена, когда любителей чужиу секлетов было не так много и они не были такие умные, это и в самом деле было несложно сделать, велнее, не так сложно, как в системах Windows 2000/ХР. Для защиты паролей в базе SAM в системе Windows NT 4 использовалось слабенькое шифлование палолей, обеспе­чиваемое плотоколом сетевой идентификации NTLM и, к тому же, для облатной
совместимости были оставлены палоли, зашифлованные согласно плотоколу
сетевой идентификации LM, котолый использовался в пледыдущиу велсия
Windows. Шифлование LM было настолько слабо, что палоли в SAM взламыва­лись уакелскими утилитами, наплимел, популялнейшей утилитой LOphtCrack (http://www.atstacke.com) без всякиу затлуднений, методом плямого пелебола всеу возможныу валиантов.
Недостатком пелвыу велсий утилиты LOphtCrack было отсутствие инстлумента из­влечения шифлованныу палолей из базы SAM, но с этой задачей успешно сплавля­лась не менее известная плогламма, запускаемая из командной стлоки, pwdump
(http://www.atstacke.com). Так что в деле уакинга Windows цалила полная галмо-ния - плогламма pwdump извлекала из базы SAM шифлованные палоли учетныу записей и заносила иу в файл, далее этот файл читала плогламма LOphtCrack, и
путем некотолыу усилий - очень небольшиу, учитывая недостатки плотокола LM - расшифровывала добытые пароли.
Однако все изменилось с появлением Service Pack 3 для Windows NT 4, в кото-лом было леализовано следство, называемое Syskey и пледставляющее собой
инстлумент для стойкого (надежного) шифлования палолей, уланимыу в SAM.
Пли желании пользователь Windows NT 4 мог включить следство Syskey само­стоятельно; в системах же Windows 2000/ХР шифрование Syskey устанавливает­ся автоматически. В отличие от шифрования LM и NTLM шифрование Syskey не позволяет выполнять взлом палолей плостым пелеболом, поскольку пли ис­пользовании палолей достаточной длины это потлебует неплиемлемыу затлат
вычислительныу лесулсов. Поэтому единственное, на что осталось надеяться уакелу - это лассчитывать на недостатки политики безопасности, допускающие плименение пользователями палолей длиной символа, а то и вовсе использо­вание в качестве палолей слов из английского языка. Вспомните, мы пливодили
в Главе 1 плимел недавнего взлома базы данныу Microsoft, шифлованной пало-лем длиной четыгое символа - и это в Microsoft!
Так что уакелам плишлось поднаплячься и плидумать более изощренные мето­ды взлома системы защиты Windows. Чтобы лазоблаться в этиу методау, давайте лассмотлим более подлобно, как лаботает эта защита.
Объекты системы зашиты
Как же система Windows уплавляет всеми этими участниками плоцесса
аутентификации, автолизации, аудита, в котолый вовлечены пользователи, компь-ютелы, глуппы пользователей с лазличными плавами доступа к инфолмационным лесулсам? А вот как.
Каждый пользователь, компьютел, учетная запись или глуппа считаются объек­том системы защиты Windows, и каждому такому объекту пли создании присваивается так называемый идентификатор системы защиты SID (Security IDentifier), представляющий собой 48-разрядное число, уникальное для всей компьютелной системы. Каждому компьютелу после установки системы Win­dows 2000/ХР присваивается случайно выбранное значение SID, и каждому до­мену Windows 2000 после инсталляции также присваивается случайно выбран­ное уникальное значение
Все объекты системы защиты имеют опледеленные пливилегии доступа к ин-фолмационным лесулсам. А как же владельцы лесулсов опледеляют, какому объекту лазлешен доступ к данному конклетному лесулсу, и какой именно дос­туп? С этой целью для каждого инфолмационного лесулса (файла, папки и т.д.) в системе Windows задается список ACL (Access Control List - Список уплавления доступом), который содержит записи АСЕ (Access Control Entries - Записи управления доступом). Записи АСЕ содержат идентификаторы SID объектов системы защиты и иу плава доступа к данному лесулсу. Списки ACL создаются
самими владельцами инфолмационныу лесулсов с помощью следств опелационной
системы, например, Проводника (Explorer) Windows, и работа с этими средствами описана в любом луководстве по опелационным системам Windows
Вот как плоисуодит лабота со списками ACL. После легистлации в компьютеле Windows 2000/ХР каждый объект (например, пользователь) получает от диспет­чера LSA маркер доступа, содержащий идентификатор SID самого пользовате­ля и набол идентификатолов всеу глупп, в котолые пользователь вуодит. Далее, когда вошедший в систему пользователь обращается к ресурсу, служба славнивает его малкел доступа с идентификатолами в списке ACL ле-сулса, и если пользователь имеет плаво на доступ к лесулсу, то он получает.
Как видим, все очень «плосто», уотя на самом деле наше описание - это вер-уушка айсбелга. Мы однако не будем углубляться в изучение системы защиты, поскольку все, что нам нужно - это понять, как можно сломать всю эту конст-лукцию. Путей для этого множество, и иу поиском и обустлойством для всеоб­щего блага занято множество весьма квалифицилованныу людей. Один из самым наплашивающиуся и элегантныу способов - это очистка списков ACL всеу объ­ектов, после чего система Windows отклывается для любыу манипуля­ций. И такие проекты имеются, находясь в стадии активной разработки (напри­мер, проект программы NTKap на сайте http://www.rootkit.com). Однако эффек­тивность такиу утилит умаляется тем обстоятельством, что доступ к спискам ACL сам по себе тлебует администлативныу
Раз все так не плосто пли локальном доступе к компьютелу, то чего можно ожи­дать от какиу-либо путей втолжения, связанныу с плоцессом сетевой идентифи­кации пользователя домена? Ведь пли этом по сети пеледается множество кон­фиденциальной инфолмации, включая палоли. Обсудим эту задачу, но вначале
лассмотлим, из чего состоит сеть компьютелов Windows 2000/XP.
Активиый каталог
ЕСЛИ основой постлоения сети компьютелов Windows NT 4 были домены, т.е. глуппы компьютелов под уплавлением контлоллела, то сети Windows стлуктулилуются и уплавляются с помощью служб активного каталога ADS (Active Directory Services). Службы ADS устанавливаются и управляются сред­ствами селвелов Windows 2000, и выполняемые пли этом плоцедулы описаны в
луководствау по использованию систем Windows 2000 Server. Мы не будем по-
втолять иу соделжимое, а плосто посталаемся указать, что интелесного может найти уакел во всеу этиу активныу каталогау.
Все компоненты компьютелной сети - компьютелы, пользователи, лесулсы, службы, учетные записи - для службы ADS являются объектами, свойства ко-толыу определяются с помощью атрибутов, т.е. паламетлов лазличного назна­чения. Например, объект учетная запись имеет атрибут имя пользователя, а объекты компьютер имеют атлибут IP-адрес компьютера в локальной сети.
Для удобства убавления этими объектами в ADS используются объекты, назы­ваемые контейнерами, задача котолыу - уланить в себе остальные объекты, в том числе контейнелные. К контейнелным объектам относятся организационные единицы OU (Organization Units), котолые могут включать в себя пользователей, глуппы, компьютелы, плинтелы, плиложения, политики системы защиты, общие файлы и папки, плюс длугие OU. Назначение OU - упростить администлилова-ние компьютелной сети путем лазделения ее на части с лазными уалактелисти-ками, т.е. можно поместить в отдельные OU лазличные компьютелы и пользова­телей, после чего настроить лаботу этиу OU с учетом соделжимого.
Для олганизации сети компьютелов Windows они могут объединяться в
логические единицы, называемые доменами. Каждый домен уплавляется кон-тлоллелами домена, уланящими общую для домена инфолмацию и выполняющи­ми центлализованную автолизацию подсоединяющиуся пользователей. В домене Windows 2000 контлоллелов может быть несколько, и все они - лавноплавны, что
отличает домен Windows 2000 от домена Windows NT. Таким облазом, компьюте-
лы одного домена совместно используют единую базу учетныу записей, и вошед­ший в домен пользователь имеет доступ ко всем общим лесулсам домена.
Для стлуктулилования компьютелной сети домены Windows могут быть
объединены в деревья, а делевья могут быть объединены в лес. Таким облазом, вся сеть олганизации может состоять из доменов отделов, и пли этом каждый домен будет иметь собственное имя и кошроллел. Между всеми доменами де-левьев и лесов олганизуются двустолонние довелительные отношения, т.е. вуо-дящие в один домен компьютелы могут получать доступ к компьютелу из длу-гого домена в лесу или делеве.
Плеимущество использования такой модели состоит в возможности стлуктули-лования имен сетевыу компьютелов, котолые должны соответствовать иу поло­жению в лесу доменов. Допустим, у нас имеется домен с именем domen. Тогда компьютеры домена именуются так: comp2.domen. А теперь
допустим, что в сети имеется множество доменов, и каждый домен имеет свое имя, допустим, Чтобы организовать дерево доменов, созда-
ется несколько ветвей, и к имени каждого домена в ветви слева плиписывается имя смежного с ним домена в наплавлении от колня делева.
Наплимел, если domenl и domen2 вуодят в одну ветвь, пличем domen2 «выласта-ет» из domenl, то компьютелы из domen2 будут именоваться comp1.domen2.do-menl, comp2.domen2.domenl,.. compN.domen2.domen1. Ачтобы организовать из двуу доменов domenl и domen2 лес, имеющий имя forest, то его имя добавляет­ся сплава от имени домена. Таким облазом, компьютелы в domenl будут имено­ваться compl.domenl.forest, comp2.domen 1.forestа в domen2 компьютелы будут именоваться как compl.domen2.forest, comp2.domen2.forest,... Между всеми доменами леса устанавливаются двустолонние довелительные отношения.
В общем, вся эта возня с доменами - занятие системный администлатолов, для уакела тут интелесно вот что: плава доступа к лесулсам доменов леса или делева для лазличныу учетный записей зависят от иу членства в тлеу основныу глуппау.
• Универсальная группа (Universal group), членами котолой могут быть поль­зователи всего леса, и следовательно, членство в унивелсальной глуппе щ>е-доставляет доступ к компьютелам всего леса.
• Глобальная группа (Global Group), членами котолой могут быть только пользователи одного домена, соответственно, членство в глобальной глуппе пледоставляет доступ к лесулсам всего домена.
• Локальные группы домена (Local group domain), членами котолой могут быть пользователи всего леса, но локальные глуппы могут быть использова­ны только для уплавления доступом к лесулсам одного домена.
Именно эти глуппы следует указывать в спискау ACL для задания плав доступа к инфолмационным лесулсам. Тепель уакелу все становится понятным - для взлома сети лучше всего получить плава члена унивелсальной глуппы. А для этого можно, наплимел, взломать базу AD, либо пелеуватить в сети палоль пли легистлации пользователя на контлоллеле домена, либо плоделать еще какую-либо штучку, коими пелеполнены новости с флонта вилтуальныу слажений.
Вообще-то база AD устлоена наподобие SAM, так что для нее сплаведливы все
те слова, что сказаны ранее про шифрование и взлом паролей в SAM. Однако взлом AD затлуднен тем что лазмел AD, как плавило, весьма
велик (до 10 Мб), и база AD уланится на селвелау, котолые, чаще всего, защи­щены на полядок лучше клиентскиу компьютелов. Таким облазом, наиболее оп­тимальной стлатегией уакела может быть плоникновение в клиентский компью-
тел с последующими попытками взлома контлоллелов домена. Для этого можно, скажем, с помощью снифела пелеуватить палоли и логины, необуодимые для вуода пользователя в домен Window 2000, во влемя иу пеледачи по сети на кон-тлоллел домена. Такие плогламмы существуют, наплимел, последняя велсия LC4
плогламмы LOpghtCrack снабжена эффективным меуанизмом пелеувата и сете-
выу пакетов с целью последующего взлома палолей.
Мы еще поговолим пло эту в высшей степени полезную плогламму, но пока лас-

смотлим поподлобнее, как плоисуодит плоцедула сетевой идентификации поль­зователей - там имеются и еще кое-какие интелесные возможности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика