На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Служба аудита в Windows

Овладение искусством расширения сферы влияния — цель любого серьезного хакера. При­чина проста: получения доступа еще не достаточно, хакер хочет стать полноправным владельцем системы. Следовательно, он постарается внедриться в систему как можно "глубже", чтобы единственным способом его блокирования осталась полная переустановка системы "с нуля".
Действия хакеров после получения доступа с правами администратора хорошо знакомы многим из нас. После взлома они обычно не стесняются. С правами учетной записи Administrator или SYSTEM хакер становится всемогущим. Злоумышленник проверит со­стояние аудита, проведет поиск критически важных файлов, скрытых или защищенных фай­лов, загрузит себе зашифрованные пароли, установит программу для регистрации нажатий клавиш и, возможно, воспользуется вашей системой для проведения анонимной атаки на бо­лее крупные и интересные цели.
Аудит
Служба аудита в Windows выполняет регистрацию некоторых событий в журнал (служба Event Log) или в специальные системные журналы (служба syslog) для создания хронологи­ческого архива. Журнал можно настроить таким образом, чтобы предупреждения автомати­чески оправлялись администратору, например, по электронной почте. Поэтому, разобрав­шись с настройками аудита, хакер может примерно определить, сколько времени у него оста­ется на проведение атаки.
Отключение аудита


Популярность '

 

9

Простота

 

9

Опасность

 

2

Степень риска

 

7

Первое, что сделает любой сообразительный хакер, как только получит доступ к системе Windows с правами администратора, — узнает настройки служб аудита. Служба аудита может вести запись многих успешных и неудачных попыток получения доступа хакером, поэтому она является одной из первых целей атаки.
Для проверки настроек аудита можно воспользоваться утилитой auditpol. exe из пакета Windows 2000 Resource Kit. Рассмотрим настройки по умолчанию для сервера Windows 2003 Enterprise.
C:\>auditpol W10.1.1.5 Rural ing  ...
(X) Audit Enabled
AuditCategorySystem - No AuditCategoryLogon = Success AuditCategoryQbjectAccess = No AuditCategoryPrivilegeUse = No AuditCategoryDetailedTracking = No AuditCategoryPolicyChange - No AuditCategoryAccountManagement = No Unknown - No Unknown = Success
Обратите внимание на сообщение "Audit Enabled" ("Аудит включен") в начале отчета программы. Это значит, что службы аудита запущены. Зная это, как вы думаете, за что преж­де всего возьмется злоумышленник? Правильно: отключит аудит, чтобы не быть замеченным. Для этого хакеры обычно опять используют утилиту audi tpol, но в данном случае для того, чтобы выключить аудит на удаленной системе.
C:\>auditpoL \\10.1.1.5 /disable
Running ...
Audit information changed successfully on W10.1.1.5 ___
New audit policy on W10.1.1.5 ...

(0) Audit Disabled
AuditeategorуSystem = No AuditeategoryLogon = Success AuditCategoryObjectAccess = No AuditCategoryPrivilegeUse = No AuditCategoryDetailedTracking = No AuditCategoryPolicyChange = No AuditCategoryAccountManagement = No Unknown = No Unknown = Success
Теперь выдастся сообщение " (0) Audit Disabled" ("Аудит отключен"), это значит, что служба аудита на удаленной системе была успешно выключена и злоумышленник может безнаказанно выполнять любые действия.

Защита аудита


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

Нам неизвестны способы эффективной блокировки службы аудита от выключения. Но можно просто создать задачу для планировщика at, которая будет периодически проверять статус аудита и включать его, если он выключен. Однако для этого потребуется ввести в пла­нировщик слишком много записей, а частые вызовы программы могут плохо повлиять на общую производительность системы.
Возможно, вас утешит факт, что событие выключения аудита и очистки журналов также будет записано в журнал с указанием имени пользователя, который сделал это (хотя в главе 9, "Сокрытие следов", описан механизм выполнения этих действий от имени учетной записи SYSTEM).
Также для автоматического включения выключенного аудита можно использовать неко­торые системы выявления вторжений (Intrusion Detection System, IDS) на уровне хоста.
НА ЗАМЕТКУ
Несмотря на легкость отключения аудита злоумышленником, который полу­чил права администратора, использование аудита очень полезно. Чтобы обеспечить постоянную работу службы аудита в вашей системе, войдите в меню Administrative Tools (Администрирование)1^Local Security Policy (Локальная политика безопасности), раскройте дерево Security Settings (Параметры беэопас-Hocra)oLocal Policies (Локальные политики), а затем выберите пункт Audit РоГюу (Политика аудита). Сделайте двойной щелчок мышью на событиях, которые должны записываться в журнал и установите флажок для значения Success (Успех) и/или Failure (Отказ).
Получение паролей
После того как получены права администратора и выключен аудит, хакер обычно пытает­ся украсть из системы другие пароли. Собирая пароли, он как бы собирает ключи от дверей дома Windows Server 2003. Каждый новый пароль дает возможность доступа к компоненту системы, например, к базе данных SQL, файлу Excel с ведомостью зарплат, каталогу Web-администратора и т.д. Также эти пароли можно использовать для получения доступа к другим системам сети. Если, например, злоумышленник смог получить доступ с правами админист­ратора к системе Windows 2000 Professional и не имеет доступа к системе Windows Server 2003, но обнаружил учетную запись администратора домена backup, которая используется для удаленного резервного копирования файлов системы, то взломав ее он получит возможность контролировать весь домен Windows 2003. Хакер соберет эти пароли, применив несколько разных способов, и перейдет к другим ранее закрытым "дверям".
Для получения паролей со скомпрометированной системы уже разработано очень много раз­личных методов. Мы рассмотрим каждое место хранения паролей и механизмы их получения.
Сбор паролей, зашифрованных по обратимым алгоритмам
Настройка локальной политики безопасности для хранения паролей с обратимым шиф­рованием, которая доступна через оснастку Local Security Policy (Локальная политика безо­пасности Account Polices (Политики учетных эаписей)=> Password Policy (Политика паро­лей), параметр Store Passwords with Reversible Encryption (Хранить пароли всех пользова­телей в домене используя обратимое шифрование), применима только для домена, управ­ляемого через службу Active Directory (AD). По умолчанию этот параметр отключен, т.е. пароли не хранятся с обратимым шифрованием, и это хорошо. Но если кто-то включит эту функцию, то с этого момента все созданные пароли будут храниться в базе данных SAM/AD в хешированном виде, как обычно, и, кроме этого, в отдельном формате, с обрати­мым шифрованием, В отличие от одностороннего (необратимого) хеширования, по данным, полученным при обратимом шифровании , можно легко восстановить исходный пароль, если известен ключ шифрования.
Зачем же кому-то включать обратимое шифрование паролей? Оказывается, эта функция нужна для некоторых протоколов удаленной аутентификации и служб, подобных программам MSChapvl, Digest Authentication, AppieTalk Remote Access, Internet Authentication Services (IAS, который фактически состоит из программы RADIUS). Поэтому если злоумышленник взломает контроллер домена, то, скорее всего, он сразу Проверит эту настройку, и если она включена, то запустит утилиту, которая получит каждый исходный пароль всех пользователей домена! В настоящий момент нам неизвестны утилиты для выполнения этой задачи, но поль­зуясь стандартными вызовами API их очень легко создать.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика