На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Меры противодействия взлому паролей

 


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

К сожалению, если злоумышленник забрался так далеко, его уже очень трудно выявить, еще труднее не дать взломать пароли. Лучше всего в данном случае — с самого начала не дать хакеру получить права администратора. Следующая мера зашиты — принудительное исполь­зование надежных паролей, которые невозможно взломать за приемлемое время. Для прину­дительного назначения устойчивых ко взлому паролей выполните следующие действия.
1. Запустите приложение Local Security Settings (Локальные настройки безопасности).
2. Выберите ветвь Account Policy (Политика учетных записей) ^Password Policy (Политика паролей).
3. Задайте следующие минимально необходимые настройки.
■ Enforce password history: 5 passwords remembered (Требовать не повторяемости паро­лей: 5 хранимых паролей).
■ Maximum password age: 30 days (Максимальный срок действия пароля: 30 дней).
■ Minimum password length: 7 characters (Минимальная длина пароля: 7 символов).
■ Passwords must meet complexity requirements: Enabled (Пароль должен соответство­вать требованиям сложности: Включен).
Мы рекомендуем использовать пароли длиной в 7 символов, исходя из реальных особенно­стей взлома пароля (восьмой символ вовсе не повышает уровень защиты при использовании алгоритма LM, так как его подбор происходит мгновенно). Однако атака подбора паролей дли­ной в 8 символов с удаленного компьютера сложнее атак паролей длиной в 7 символов в 128 раз при условии, что используется половина символов таблицы ASCII. Если в системе высок риск атаки подбором паролей с удаленной машины, лучше будет использовать пароли большей дли­ны (удаленный подбор паролей описан в главе 5, "Атака на службы Windows").
Также помните, что хранение хешированных паролей LM можно выключить, создав параметр реестра HKlM\SYSTEM\CuirrenCControLSet\Control\Lsa\NoLmHash.
НА ЗАМЕТКУ
Этот параметр теперь доступен в Windows ХР и в Windows Server 2003 как Security Policy {Политика безопасности)^Security Options (Параметры безо­пасности)1^ Network Security: Do Not Store LAN Manager Hash Value On Next Password Change (Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля).
После этого требуется перезагрузить систему. Кончено, этот параметр реестра не поддер­живается всеми приложениями и потенциально может нарушить их работу, так что подумайте перед тем, как его использовать, и применяйте его только на тестовых системах.
Необходимо отметить, что после отключения хранения хешированных паролей LM ранее существовавшие записи удалены не будут. Но если пользователь изменит свой пароль, то в базе данных SAM или Active Directory хешированный пароль обновлен не будет. Таким обра­зом, во время аутентификации по типу запрос—ответ по протоколу NTLM (см. главу 2, "Архитектура системы безопасности Windows Server 2003") может быть передан устаревший хешированный пароль LM, в результате чего могут произойти сбои аутентификации или воз­никнуть другие проблемы. В данное время не существует способа для удаления хеширован­ных паролей LM из баз данных SAM или Active Directory.
Чтобы отключить использование хешированных паролей LM при аутентификации в сети, используйте параметр реестра LMCoropability или параметр LAN Manager Authentication Level (Сетевая безопасность: Уровень проверки подлинности LAN Manager), как описано в главе 5, "Атака на службы Windows".
Использование хешированного пароля


Популярность

5

Простота

4

Опасность

 

8

Степень риска

 

5

Поскольку хешированные пароли, полученные с помощью программы pwdumpX, эквивалент­ны обычным паролям, почему бы не передавать их напрямую клиентской ОС. которая, в свою оче­редь, будет их воспринимать как нормальный ответ на запрос при входе в систему? В результате ха­керы смогут подключаться к серверу, не зная самого пароля и используя имя пользователя и соот­ветствующий ему хешированный пароль. Такой метод экономит много времени, которое не будет тратиться на взлом хешированных паролей, полученных через программу SMB Capture. Пол Эш-тон(Раи1 Ashton) представил идею изменить для реализации этой хитрости клиент совместного ис­пользования файлов SMB в UNIX Samba. Его сообщение доступно в архивах рассылки NT Bugtraq. Последние версии клиента Samba для UNIX smbclient включают возможность подключиться к клиентам NT с использованием только хешированного пароля.
Гернан Очоа (Heman Oclioa) из CORE-SDI написал статью, в которой рассматриваются тех­нические детали передачи хешированного пароля, в ней описано, как подсистема локальной безопасности LSASS (Local Security Authority Subsystem) хранит информацию о текущих сеансах работы и связанные с ними аутентификационные данные пользователей. В работе Очоа показан метод редактирования этой информации в памяти, с тем чтобы учетные данные текущего поль­зователя могли быть изменены любым человеком, которому доступен его хешированный па­роль. Группа CORE разработала программу, которая действует по этому методу в системах Win­dows NT 4, но текущая реализация данной программы в Windows 2000/2003 нарушает целост­ность подсистемы LSASS и через несколько секунд вызывает аварийное завершение работы сис­темы.

Защита от использования хешированных паролей


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

 

В настоящее время не существует мер противодействия от этой атаки.
* LSA Secrets

 


Популярность 7

 

Простота 8

 

 

 

Опасность 9

Степень риска 8



Взлом системы LSA Secrets (Local Security Authority Secrets) — хитрая штука. Это уязвимое место отлично иллюстрирует опасность хранения некоторых данных учетной записи в реест­ре систем Windows NT/2000/2003. В этом разделе реестра могут храниться следующие данные:
т пароли учетных записей служб Windows в незашифрованном виде (как правило). Ис­ходные пароли в этом случае изменяются с помощью простого алгоритма и могут быть использованы для взлома удаленных систем в других доменах;
■ незашифрованные пароли пользователей Web и FTP;
■ пароли учетной записи компьютера для доступа к домену;
* сохраненные в кэш-памяти хешированные пароли последних десяти пользователей, которые входили в систему.
Первоначальная идея программы атаки на LSA Secrets была представлена на суд общест­венности в списке рассылки NT Bugtraq Полом Эштоном (Paul Ashton) в 1997 году. Эта про­грамма атаки основана на идее, описанной группой Razor, и называется lsadump2, она дос­тупна В Internet по адресу http : / / razor .bind.view.com./ tools / files /lsa.duiop2. zip. Программа lsadump2 использует тот же метод, что и программа pwdump2, для внедрения собственных вызовов библиотеки DLL с привилегиями выполняющегося процесса LSASS. Ниже описана стандартная последовательность действий, применяемая хакерами.
1. Необходимо иметь соединение с правами администратора с атакуемой системой, и должен быть запущен удаленный командный интерпретатор.
2. Хакер загружает на диск удаленной системы файлы lsadump2 . exe и lsadump. dll.
С :\>copyleaduitp2 .exe \\10 .1.1.5\c$ C:\>copy leadump.dll \\10.1.1.5\c$
3. Теперь можно запустить программу lsadump2.exe, чтобы скопировать из памяти данные учетной записи.

С:\>lsadump2
D6318AF1-4 62A-4SC7-B6D9-ABB7CCTJ7975E-SRV 39 FD 26 ES  03 4С 8Э 47  В9  ОС АЕ 60 37 DD FE 1Ь
Э.&..L.G...'7...
DPAPI_SYSTEM
01 00 00 00 ED S3  60 9F CB 9D OA EE FB F8 08 6A ......'........j
70 35 AE 6G 51 A6 1A EB D7  64 4D B3 4D CB 4E 98    p5.fQ____dM.M.N.
CB E4 9C DE 72 79 7D C9 6D 4E 10 E5 ____ryi.raN..
LSBETA3TIMEBOMB_132Q153D-8DA3-4e8e-B27B-0DeB8223A588
00 80 85 26 6A 9A C3 01 ...&j...
_SC_MSSQLServer
32 00 6D 00 71 00 30 00 71 00 71  00 31 00 61 00 _S C_5QLServerAgen t
32 00 6D 00 71 00 30 00 71 00 71  00 31 00 61 00
2.h-a.p.p.y.4.ra. 2 . h. a . p. p. у. 4 . m.
В конце этого листинга видим учетные записи двух служб SQL и связанные с ними паро­ли. Теперь злоумышленник может воспользоваться паролем "2happy4m" и получить неогра­ниченный доступ к сети и ее ресурсам.
на заметку
Для прошлых версий программы isadump2 требовалось сначала определить идентификатор процесса LSASS. Для новой версии этого делать не нужно, так как данная функция выполняется автоматически.
О Защита LSA Secrets


Бюллетень

Q1840I7

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

 

Поскольку программа lsdump2 требует привилегий ScDebugPriviledge, которые предос­тавляются по умолчанию только администраторам, то Microsoft считает это нормальной воз­можностью для администраторов, которым можно доверять. Следовательно, это функция, а не ошибка, и доступно совсем немного мер противодействия. Единственное доступное средство защиты (не считая мер по предотвращению получения хакером прав администрато­ра) заключается в использовании служб, для которых не устанавливаются пароли (что прак­тически нереально).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика