На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Смена паролей для служебных учетных записей

Прежде чем завершить изучение служебных учетных записей, следует остановиться на од­ном немаловажном аспекте. Дело касается проблемы, связанной с устареванием паролей (password expiration). Обычно в операционных системах семейства Windows NT для служеб­ных учетных записей всего домена устанавливаются пароли, которые устаревают через задан­ный промежуток времени (более подробно об этом можно прочесть в главе 5, "Атака на службы Windows"). К сожалению, метод отправки предупреждения пользователю перед тем, как наступит срок устаревания его пароля для входа в систему, не срабатывает для служебных учетных записей. В результате работа приложения может оказаться заблокированной, если только какой-то человек не позаботится о своевременной смене пароля перед истечением срока его действия.
Эта проблема может оказаться довольно серьезной. Не забывайте, что нужно сменить па­роли на каждом компьютере, где этот пароль используется для аутентификации службы. Синхронизация такой смены пароли на большом количестве компьютеров часто приводит к ошибкам, неудачным попыткам входа в систему и К отказу в работе приложений. Во многих организациях эта проблема решается с помощью создания новой учетной записи для службы, срок действия пароля для которой подходит к концу. Затем служба настраивается на исполь­зование новой учетной записи. При этом системный администратор имеет возможность про­верить в журналах домена, не используется ли прежняя учетная запись для входа в системы. При отрицательном ответе можно деактивировать или удалить старую учетную запись. Смена учетной записи вместо смены пароля упрощает задачу администратора и позволяет избежать проблем в работе приложений.
Выводы
Подведем итог служебных учетных записей в системе Windows Server 2003 с точки зрения хакера.
Основной целью хакера в системе Windows Server является компрометация локальной учетной записи Administrator или SYSTEM, поскольку они предоставляют наиболее широкие полномочия. Все остальные учетные записи обладают менее широкими правами (исключе­ние могут составить некоторые служебные учетные записи).

Группы
Группы создаются для удобства администрировании, это логические "контейнеры" для объединения учетных записей (группы также можно использовать в списков рассылки элек­тронной почты в Windows 2000 и следующих версиях операционных систем этого семейства, для них в данный момент ограничений по безопасности нет).
Группы используются для предоставления набора определенных прав для нескольких учет­ных записей, что имеет большое значение для безопасности системы. В Windows Server 2003 есть встроенные группы, с заранее определенным набором прав для классификации пользователей по уровню привилегий. Любая учетная запись, добавленная в группу, получает привилегии этой группы. Простейший пример — добавление учетной записи в группу локальных администрато­ров наделяет добавленного пользователя неограниченными правами для действий на локальной машине (описание попыток добавить пользователя в эту группу будет встречаться по всей кни­ге). Встроенные группы в системе Windows Server 2003 представлены в табл. 2.2.
Для объединения пользовательских учетных записей, кроме групп, могут ис­пользоваться организационные единицы (OU — Organizational Unit). Органи­зационные единицы представляют собой произвольно заданные конструкции службы Active Directory и не передают никакого набора привилегий, как это делается во встроенных группах. Account Operators Administrators Backup Operators Guests
HelpServicesGraup
1IS_WPG
Replicator
Network Configuration Operators
Network Service
Local Service
Performance Log Users
Performance Monitor Users
Print Operators Server Operators TelnetClients Users
Пользователи группы обладают правами, которые подобны правам группы Administrators Члены группы имеют неограниченные права на данной машине (SID S-1-5-32-544) Не настолько привилегированная группа, как Administrators, но близкая к ней Те же привилегии, что и у членов группы Users
Новая группа в Windows Server 2003; используется для служб помощи (Help) и Центра поддержки [Support Center]
Новая группа в Windows Server 2003; при установленном сервере 115 процессы приложении запускаются от имени пользователей этой группы IIS Worker Process Group
Используется для копирования файлов в домене
Новая группа в Windows Server 2003; члены этой группы обладают достаточными привилегиями для управления конфигурацией сети
Новая группа в Windows Server 2003; это скрытая группа с ограниченным набором привилегий, предназначенная для служебных учетных записей, которым требуется сетевой доступ (вместо использования группы SYSTEM)
Новая группа в Windows Server 2003; это скрытая группа с ограниченным набором привилегий, предназначенная для служебных учетных записей, которым не нужен сетевой доступ (вместо использования группы SYSTEM)
Новая группа в Windows Server 2003; члены этой группы могут управлять счетчиками производительности (performance counter), журналами и регистрацией событий ка всех контроллерах домена как локально, так и удаленно
Новая группа в Windows Server 2003; члены этой группы могут отслеживать производительность всех контроллеров домена как локально, так л удаленно
Не настолько привилегированная группа, как Administrators, но близкая к ней
Не настолько привилегированная группа, как Administrators, но близкая к ней
Новая группа в Windows Server 2003; члены этой группы получают доступ к службе telnet
Учетные записи всех пользователей на данной машине
Когда система под управлением Windows Server 2003 выполняет функции контроллера до­мена, при установке создастся еще несколько предопределенных групп. Среди наиболее при­вилегированных — группа Domain Admins и Enterprise Admins, члены которых получают не­ограниченные права действий в домене и по всему лесу домена соответственно. Предопреде­ленные группы Windows Server 2003 перечислены в табл. 2.3.
Таблица 2.3. Стандартные группы Windows Server 2003, устанавливаемые по умолчанию на контроллерах доменов -ы
Название группы
Описание
Cert Publishers
DnsAdmins
DnsUpdateProxy
Domain Admins
Domain Users
Domain Computers
Domain Controllers
Domain Guests
Group Policy Creator Owners
Incoming Forest Trust Builders
Pre-Windows 2000 Compatible Access
RAS and IAS Servers
Enterprise Admins
Schema Admins
Windows Authorization Access Group
Члены группы могут выдавать сертификаты для службы Active Directory Администраторы DNS в локальном домене
DNS-клиенты, которым разрешается выполнять динамические обновления от имени других клиентов (например DHCP-сер веры)
Члены группы имеют неограниченные права в домене
Все пользователи домена
Все компьютеры домена
Все контроллеры домена в данном домене
Гости домена
Члены этой группы могут изменять политики групп в домене
Члены этой группы могут создавать входящие, односторонние доверительные отношения с лесом этого домена
Группа, созданная для обратной совместимости
Это пустая по умолчанию группа. Серверы этой группы получают доступ к свойствам удаленного доступа пользовательских объектов
Члены группы имеют неограниченные права в лесу домена
Члены этой группы могут редактировать схему каталогов; очень мощная группа
Члены группы получают доступ к атрибуту tokenGгоjpsGlobalAndUniversal пользовательских обьектов
Сделаем некоторые выводы относительно групп Windows Server 2003 с точки зрения зло­умышленника.
Самая желанная цель в локальной системе Windows Server 2003 — группа Administrators, поскольку члены этой группы получают привилегии администратора. В домене под управле­нием Windows Server 2003 заветной целью являются группы Domain Admins и Enterprise Admins, поскольку их члены получают все права в домене. Все остальные группы имеют очень ограниченные права по сравнению с группами Administrators, Domain Admins и Enterprise Admins, Почти всегда наиболее приятным результатом атаки для злоумышленника является добавление взломанной учетной записи в группу Administrators, Domain Admins или Enterprise Admins.
альные группы
Как мы уже отмечали, в Windows Server 2003 есть несколько специальных групп (special identity или well-known groups) для объединения учетных записей, которые транзитивно про­шли через некоторые состояния (такие как вход в систему через сеть) или определяются ме­стом входа (например, интерактивная работа с клавиатуры). Эти группы можно использовать
для точной настройки доступа к ресурсам. Например, в системе Windows Server 2003 доступ к некоторым процессам разрешен только для пользователей, идентифицированных как INTERACTIVE. Специальные группы входят в "домен" NT AUTHORITY, поэтому полное имя группы должно выглядеть как NT AUTHORiTY/имя. Специальные группы Windows Server 2003 перечислены в табл. 2.4.
Таблица 2.4. СпециальнШ группь! в Windows Se
Группа             Идентификатор Описание _защиты_
Anonymous Logon     S-1-5-7 Специальная скрытая группа, в которую вкодят все пользователи,
вошедшие в систему анонимно (без ввода имени пользователя и пароля]
Authenticated Users   S-1-5-11 Специальная скрытая группа, в которую входят все прошедшие
аутентификацию пользователи
INTERACTIVE S-t-5-4 Включает в себя всех пользователей, вошедших в систему с физической
консоли или исгользовавщих дня входа службу Terminal Services
Everyone S-1-1-0 В эту группу входят все пользователи, работающие в сети в данный
момент, включая гостей и пользователей из другик доменов
Network S-1-5-2 В группу входят пользователи, которые в текущий момент используют для
доступа сетевое соединение; маркеры доступа для интерактивных пользователей не содержат сетевого идентификатора защиты [Network SID)
Service S-1-5-6 Включает всех участников системы безопасности (security principal),
аутентифицированных в системе как службы. Добавление членов в эту группу осуществляется операционной системой
This Organization      S-1-5-15 Новая группа в Windows Server 2003; идентификатор этой группы
добавляется сервером аутентификации к аутентификационным данным пользователя, если этот пользователь еще не включен в группу Other Or­ganization
Other Organization     S-l-5-1000 Новая группа в Windows Server 2003; добавление в эту группу
пользователя означает вызов проверки на предмет того, обладает пи правами доступа к запрашиваемой службе пользователь из другого леса или домена
Группу Anonymous Logon можно использовать для предоставления анонимного доступа в систему Windows Server 2003 без необходимости аутентификации. Идентификатор защиты INTREACTIVE требуется во многих случаях для проведения атак на системы Windows Server 2003, направленных на расширение привилегий (см. главу 6, "Расширение привилегий").

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика