На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Инвентаризация службы Active Directory

Наиболее фундаментальное изменение, сделанное в Windows 2000 по сравнению с преды­дущими версиями, — введение службы каталогов, основанной на протоколе LDAP (Lightweight Directory Access Protocol). Эту службу Microsoft назвала Active Directory (AD). Служба AD разработана для хранения унифицированного логического представления обо всех объектах, относящихся к корпоративной инфраструктуре, а значит, с точки зрения ин­вентаризации, это потенциально наиболее ценный источник для сбора данных. В системах Windows Server 2003 служба Active Directory в основном идентична своей предшественнице и может быть доступна с помощью средств отправки запросов по протоколу LDAP, как пока­зано в следующем примере.
■'■j Инвентаризация службы Active Directory ф с помощью программы lap

 


Популярность

2

Простота

2

 

 

Опасность

5

 

Степень риска

3

 

В набор утилит Windows Server 2003 Support Tools (доступный на компакт-диске с инстал­ляцией версии Server в каталоге Support\Tools) входит простой клиент LDAP под названи­ем Active Directory Administration Tool (файл ldp.exe), который подключается к серверу AD и позволяет просматривать содержимое каталога.
При анализе безопасности систем Windows 2000 Release Candidates летом 1999 года авторы книги обнаружили, что с помощью простого запроса LDAP можно получить сведения обо всех су­ществующих пользователях и группах системы, просто указав утилите Idp в качестве адреса за­проса контроллер домена Windows 2000. Единственное, что требуется для проведения такой ин­вентаризации, — организовать сеанс связи по протоколу LDAP (нужно успешно пройти аутенти­фикацию). Если злоумышленник уже взломал существующую учетную запись на исследуемом
компьютере, то протокол LDAP может предоставить альтернативный механизм получения спи­ска пользователей даже при заблокированных или недоступных портах службы SMB.
В следующем примере мы проиллюстрируем получение сведений о пользователях кон­троллера домена Windows Server 2003 caesars. vegas . nv. в котором контекст корня ката­лога Active Directory определен как DC=vegas,DC=nv. Будем считать, что на машине caesars учетная запись Guest уже взломана, а ее пароль — guest.
1. Сначала подключаемся к исследуемой системе, используя утилиту ldp. Откроем меню Connection ^Connect и введем IP-адрес или ИМЯ DNS исследуемого сервера. В резуль­тате будет создано неаутентифииированное соединение с каталогом. Можно подклю­читься к порту LDAP 389, используемому по умолчанию, или к ТСР-поргу 3268 глобального каталога (AD Global Catalog). На следующем рисунке показан пример ис­пользования порта 389.
Нулевое соединение позволяет получить некоторую информацию о каталоге, но мож­но пройти аутентификацию с использованием взломанной записи Guest и получить еще больше сведений. Для этого необходимо выбрать пункт меню Connections1*Bind, убедиться, что отмечен пункт Domain и правильно указано имя домена, а затем ввести имя и пароль пользователя Guest.
Мея
£am-ad I""'
(NTLM/Kerberas! fidvaneed . ■ Cancel
3. Должно быть выведено сообщение Authenticated as dn: 1 guest'. Значит, аутен­тификация прошла успешно, установлен сеанс LDAP, и можно проводить инвентариза­цию пользователей и групп. Откроем меню View^Tree и в открывшемся диалоговом ок­не введем контекст корня каталога (например, здесь использованы DC=vegas,DC=nv).

4. На левой панели будет показана ветвь. Чтобы раскрыть ее и увидеть базовые объекты корневого каталога, достаточно щелкнуть мышью на символе плюса.
5. И наконец, мы делаем двойной щелчок мышью на контейнерах CN=Users и CN=Builtin. Раскроется список всех пользователей и всех групп сервера. Контейнер Users показан на 9.


OJ-FoieigrfieairityPrind; | CN-lrfrasuuerure.cC-v,; f [ O-J-LostAndFound, DC-vlIM' CN-NTD5 Quotas.DC-ve CN-Ргпиат Data,DC=vc : CN=5y$tefn,Wl-wega^I> & OWJ«»5,rX=«9as,DO CN=Ad™ii5t'dIor,C№ tJHiaiikadmn, CN-iJ CN Cn: PiUshas.c
* -
Ж0;
tockOWOiiseivalioiiWlnanwtia.DO; l> lockoufTTireshaliJ: 0; i > тэ>Р*а*де:
3710851;
1 • mlnPwdAgs 0 (none); 1* minPwdLengtti: 0;
modified CDunlAiLaslProm; 0; f.neWRid-leffl); IspwdPiopeiHeslO; 1 • pwtJHistoiyLengln: 0; 1> objecisid-8-1-5-32; l>setvetsiate::!;.,;. I l>u^SCDmpat'l. i>moBfflBdCoum;50: :
Рис. 4.9 При установленном соединении утилита ldp.exe, «изваляет узнать пользователей и группы Active Directory 'IK: .
Как же стало возможным получить столько информации через простое гостевое подключение? Некоторые службы систем Windows NT4, такие как Remote Access Service (RAS) и SQL Server, должны иметь возможность запрашивать в службе AD объекты пользователя и группы. Во время установки Active Directory в Windows 2000 (программа depromo) пользователю предлагается пре­доставить разрешения на доступ к каталогам, чтобы существующие службы могли выполнять такие обращения. Если при установке были выбраны упрошенные (relaxed) разрешения доступа, то объ­екты пользователей и групп становятся доступны через протокол LDAP. Отметим, что при уста­новке по умолчанию разрешения для Active Directory устанавливаются упрощенными.
О Меры противодействия инвентаризации через службу Active Directory
Первое и самое главное, что необходимо сделать, — ограничить доступ к ТСР-портам 389 и 3268 на периметре сети. Если вы не хотите предоставить данные своей службы AD всему миру, то никто не должен получить доступ к каталогу без аутентификации.
Чтобы предотвратить утечки этой информации через неавторизированные сегменты внут­ренних сетей с частичным доверием, разрешения для службы AD должны быть ограничены. Различия между обратно совместимым (читайте "менее защищенным") режимом и однород­ным режимом Windows Server 2003, по существу, сводятся к членству во встроенной локальной группе Prc-Windows 2000 Compatible Access. Для группы Pre-Windows 2000 Compatible Access по умолчанию установлены разрешения для доступа к каталогам, которые показаны в табл. .4.7.
Таблица!
г. Разрешения для объектов пользователей и групп Active Directory группы Pre-Windows 2000 Compatible Access    ■■■■>щ~Щф -
Объект
Разрешение
Пароль домена и политихи бло­кирования
Др*™ параметры домена Корень каталога Объекты пользователей Объекты групп Объекты InetOrg Person
Read(Чтение)

Reafl (Чтение) Вывести содержимое Вывести содержимое, чтение всех свойств прав доступа Вывести содержимое, чтение всех свойств прав доступа Вывести содержимое, чтение всех свойств прав доступа
Мастер установки службы Active Directory (Active Directory Installation Wizard) автоматически добавляет идентификатор Everyone в группу Pre-Windows Server 2003 Compatible во время вы­полнения программы dcpromo. В специальную группу Everyone входят прошедшие аутентифи­кацию сеансы работы с любыми пользователями, в том числе и нулевые сеансы. После удаления группы Everyone из группы Pre-Windows 2000 Compatible Access (с последующей перезагрузкой контроллеров домена) домен будет работать с более высокой степенью защиты. Если по какой-либо причине потребуется снова снизить защищенность, то группу Everyone можно будет доба­вить заново, выполнив следующую команду.
net localgroup 'Pre-Windows 2000 Compatible Access" everyone /add
net localgroup "Pre-Windows 2000 Compatible Access"  "ANONYMOUS LOGON" /add
Управление доступом, предоставляемое членам группы Pre-Windows 2000 Compatible Access, также позволяет отправлять запросы к контроллеру домена через нулевые соединения NetBIOS. Для иллюстрации этого утверждения рассмотрим два случая применения утилиты enum (опи­санной ранее) на следующем примере. Сначала запустим эту программу для системы Windows Server 2003 Advanced Server, в которой идентификаторы Everyone и ANONYMOUS LOGON входят в группу Pre-Windows 2000 Compatible Access.
С:\Jenum -П caesars
Server: caesars
setting up session... success.
getting user list (pass t,  index 0)... success, got 8. Administrator backadmin Guest guest2  IUSR_CAESARS IWAM_CAESARS
krbtgt SUPPORT_3S8945aO cleaning up... success.
Теперь удалим идентификаторы Everyone и ANONYMOUS LOGON из группы Pre-Windows 2000 Compatible Access, перезагрузим систему и запустим тот же запрос еше раз.
С:\>«пшп -С сааллха
server: caesars
setting up session... success.
getting user list (pass 1,  index 0)... fail
return 5, Access is denied.
cleaning up... success.
Серьезно подумайте над обновлением всех служб RAS, службы Routing and Remote Access Service (RRAS) и серверов SOL в вашей организации для получе­ния гавместимости с Windows 2000, чтобы при переходе к использованию службы AD была всймсокность заблокировать просмотр ино>эрмации об учетных записях
ния анонимного доступа. Используемые по умолчанию параметры безопасности службы SMB для систем Windows Server 2003 достаточно надежны, но не забывайте, что те же ограничения на контроллере домена менее строги И позволяют получить све­дения об ученых записях. Заблокировать доступ к важной информации на всех компь­ютерах домена можно с помощью оснастки Group Policy (Групповая политика).
■ Доступ к службе NetBIOS Name Service (NBNS, UDP-порт 137) должен быть заблокирован на сетевых шлюзах (учтите, что блокирование UDP-nopra 137 повлияет на службу имен Windows).
■ Отключите службы Alerter и Messenger на узлах с работающим NetBIOS. Это предотвратит возможность извлечения информации о пользователях при удаленном доступе к таблицам имен NetBIOS. Пользуясь Group Policy, можно распространить эти установки на все ком­пьютеры домена (см. главу 16. "Возможности И средства защиты в системах Windows"). В системах Windows Server 2003 эти службы отключены по умолчанию.
■ Серверы имен Windows Server 2003 должны быть сконфигурированы таким образом, чтобы перенос зоны был разрешен только для явно определенных узлов либо полно­стью запрещен. В системах Windows Server 2003 переносы зон запрещены по умолчанию.
■ При включении службы SNMP ограничьте доступ к управляющей рабочей станции и задайте сложные, отличающиеся от значений по умолчанию, строки доступа. Служба SNMP Windows Server 2003 по умолчанию ограничивает доступ только для локального хоста и не задает никаких строк доступа.
■ Строго ограничьте доступ к службам Active Directory, TCP/UDP-порта.м 389 и 3268. Используйте сетевые брандмауэры, фильтры Windows Server 2003 ICF и IPSec и любые другие доступные механизмы аутентификации. Учтите, что если вы используете фильтры IPSec, параметр реестра NoDefaultExempt должен иметь значение 1, чтобы фильтры нельзя было обойти, применяя атаку через порт-отправителя 88 (см. главу 16, "Возможности и средства зашиты в системах Windows").
* Удалите идентификатор Everyone из группы Pre-Windows 2000 Compatible Access на кон­троллерах доменов Windows Server 2003, если есть такая возможность. Этот идентифика­тор включает режим обратной совместимости и позволяет службам RAS и SQL систем Windows NT обращаться к объектам пользователей в каталоге. Если функция совместм-мостя не нужна, отключите ее. Планируя переход на службу Active Directory, обновите сначала серверы RAS и SQL, и режим обратной совместимости не понадобится.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика