ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
    		•
     
    Бесплатные рефераты
     

     

     

     

     

     
         
     
    Аудит та відновлення паролів в Windows
         

     
    Інформатика, програмування

    Аудит та відновлення паролів в Windows

    Шевлюга Анна

    Операційні системи Windows NT/2000/XP/2003 зберігають паролі в зашифрованому вигляді, званому хешамі паролів (hash (англ.) - суміш, мішанина). Паролі не можуть бути отримані безпосередньо з хешей. Відновлення паролів полягає в обчисленні хешей по можливих паролів і порівнянні їх з наявними хешамі паролів. Аудит паролів включає в себе перевірку можливих шляхів отримання інформації про облікові записах користувачів, результатом відновлення паролів є їх подання в явному вигляді з урахуванням регістра.

    Отримання хешей паролів

    Існує кілька шляхів отримання хешей паролів, що залежать від їх місцезнаходження та наявного доступу. Хэши паролів можуть бути отримані такими способами: з файлу SAM або його резервної копії, безпосередньо з реєстру операційної системи локального або віддаленого комп'ютера, з реєстру або Active Directory локального або віддаленого комп'ютера впровадженням DLL, за допомогою перехоплення аутентифікаційні пакетів в мережі.

    Отримання хешей паролів з файлу SAM

    Облікові записи користувачів, які містять в тому числі імена користувачів і їх паролі, зберігаються в реєстрі Windows NT/2000/XP/2003, а саме в тій його частині, що знаходиться у файлі SAM (Security Account Manager (англ.) - диспетчер захисту облікових записів). Цей файл можна знайти на диску в каталозі % SystemRoot% system32config, на диску аварійного відновлення системи або на резервної магнітній стрічці.

    До файлу SAM в каталозі% SystemRoot% system32config не можна отримати доступ, поки Windows NT/2000/XP/2003 завантажена, тому що він відкритий операційною системою. Якщо є фізичний доступ до машини, необхідно скопіювати файл, завантаживши на цій машині іншу копію операційної системи або іншу операційну систему. Якщо Windows NT/2000/XP/2003 встановлена на диску з файловою системою NTFS, то для MS-DOS і Windows 95/98/Me додатково потрібні програми, забезпечують доступ до диску з NTFS з цих операційних систем. У MS-DOS можуть бути використані NTFSDOS і NTFSDOS Professional, в Windows 95/98/Me -- NTFS for Windows 98 (авторами є Mark Russinovich, Bryce Cogswell). Для доступу з операційної системи Linux потрібне включення підтримки NTFS. Також можна завантажитися з дискети і скопіювати файл SAM, заздалегідь запустивши забезпечує доступ до розділів з NTFS програму. Після цього потрібно виконати імпорт файлу SAM. Витяг хешей паролів з файлу SAM було розроблено та вперше реалізовано в програмі SAMDump (автор Дмитро Андріанов). При імпорті файлу SAM здійснюється отримання списку облікових записів користувачів, містяться у файлі SAM. Процес імпорту файлу SAM подібний до отримання хешей паролів методом pwdump за винятком того, що замість функцій Windows API, забезпечують роботу з реєстром Windows, використовується їх емуляція. При виконання імпорту файлу SAM з програми SAMDump все нелатинських букви, наявні в іменах користувачів, будуть спотворені. Програма LCP позбавлена цього недоліку.

    Способом отримати файл SAM в операційній системі Windows NT, що не вимагає перезавантаження машини, є копіювання його з каталогу% SystemRoot% epair або з диска аварійного відновлення. Кожного разу, коли в Windows NT створюється диск аварійного відновлення за допомогою програми RDISK, файл SAM запаковуються і зберігається в файл sam._, який є резервною копією файлу SAM. Файл sam._ представляє із себе архів у форматі cabinet. Цей файл може бути розпакований командою "expand sam._ sam". Недоліком цього способу є те, що з моменту створення диска аварійного відновлення паролі могли змінитися і, можливо, файл sam._ містить застарілі дані. У LCP програмі є вбудована можливість імпорту файлу SAM і з файлу sam._, що рятує від необхідності використання програми expand. При імпорті списку облікових записів користувачів з файлу sam._ він попередньо розпаковується, потім виконується безпосередньо імпорт файлу SAM.

    Файл SAM також копіюється, коли створюється повна резервна копія. Якщо є доступ до резервної копії, можна відновити файл SAM з % SystemRoot% system32config на іншу машину і потім витягнути з нього хэши паролів. Недоліком і цього способу також є те, що з моменту останнього сеансу створення резервної копії паролі могли змінитися.

    Існує службова програма SYSKEY, що вперше з'явилася в складі Service Pack 3 для Windows NT. Програма SYSKEY додатково зашифровує хэши паролів облікових записів, що робить марним імпорт файлу SAM за допомогою програми SAMDump. SYSKEY може використовуватися в одному з трьох варіантів:

    * згенерований ключ запуску записується на локальний жорсткий диск до реєстру в зашифрованому вигляді;

    * для отримання ключа запуску береться пароль, вибраний адміністратором і що вводиться під час завантаження операційної системи;

    * згенерований ключ запуску записується на дискету, яка повинна бути вставлена під час завантаження операційної системи.

    За замовчуванням використовується зберігання ключа запуску в реєстрі. Докладніше про програмі SYSKEY можна прочитати в статті KB143475 Windows NT System Key Permits Strong Encryption of the SAM.

    Службова програма SYSKEY в операційній системі Windows NT для додаткового захисту паролів облікових записів після установки Service Pack відповідної версії повинна бути активізована вручну. В операційних системах Windows 2000/XP/2003 програма SYSKEY спочатку присутній і активізована.

    Імпорт файлу SAM, додатково зашифрованого SYSKEY, вперше був реалізований в програмі SAMInside (авторами є PolASoft і Ocean). Алгоритм SYSKEY першим опублікував FlashSky з Xfocus Team. Для виконання імпорту при зберіганні ключа запуску в реєстрі необхідно відкрити файли SAM і SYSTEM, попередньо скопіювавши їх з каталогу% SystemRoot% system32config. Якщо недостатньо місця на дискеті, файли можуть бути зменшені до копіювання. Резервні копії файлів також можуть знаходитися в каталозі% SystemRoot% epair, якщо раніше виконувалася архівація. Під час зберігання ключа запуску на дискеті крім файлу SAM потрібен файл StartKey.Key для виконання імпорту.

    Імпорт файлу SAM без додаткового шифрування або з додатковим шифруванням хешей паролів при будь-якому варіанті зберігання ключа запуску можливий у програмі LCP.

    Отримання хешей паролів з реєстру операційної системи

    При отриманні хешей паролів з реєстру операційної системи здійснюється безпосередній доступ до реєстру. Для виконання імпорту інформації необхідно мати адміністративні права на комп'ютері, дамп паролів облікових записів якого потрібно створити. Якщо комп'ютер не є локальним, то повинен бути вирішена віддалений доступ до реєстру і мати відповідні права. Отримання хешей у такий спосіб вперше стало можливим в програмі pwdump (від Jeremy Allison). При виконанні імпорту інформації цим способом з допомогою програми pwdump імена користувачів, які містять нелатинських букви, будуть спотворені. Для отримання хешей паролів з реєстру рекомендується скористатися LCP.

    Якщо програма SYSKEY активізована, хэши паролів додатково зашифровуються. Виконання імпорту за допомогою програми pwdump стає марним, тому що паролі за додатково зашифрованих хешам відновлені не будуть. У програмі LCP отримання хешей паролів з реєстру доопрацьовано з урахуванням можливого додаткового шифрування хешей програмою SYSKEY, тому рекомендується використовувати LCP.

    Отримання хешей паролів впровадженням DLL

    Даний метод був розроблений і реалізований в програмі pwdump2 (від Todd A. Sabin). Отримання хешей паролів методом pwdump2 можливо незалежно від того, була активізована програма SYSKEY чи ні. Для створення дампа паролів методом pwdump2 необхідно мати право SeDebugPrivilege. За замовчуванням тільки користувачі групи адміністраторів мають його, тому потрібно мати адміністративні права для використання цього методу. Використання методу pwdump2 можливо тільки на локальній машині.

    Метод pwdump2 використовує для створення дампа паролів спосіб, називаний впровадженням DLL. Один процес змушує інший процес (lsass.exe), використовуючи його ідентифікатор процесу, завантажувати DLL (samdump.dll) і виконувати деякий код з DLL в адресному просторі іншого процесу (lsass.exe). Завантаживши samdump.dll в lsass (системна служба LSASS - Local Security Authority Subsystem), програма використовує той же самий внутрішній API, що msv1_0.dll, щоб звернутися до хешам паролів. Це означає, що вона може отримати хэши без виконання таких дій, як переміщення їх з реєстру і дешифрування. Програма не дбає ні про те, які алгоритми шифрування, ні які ключі.

    В версії програми pwdump2, що підтримує Active Directory, є помилка, не що дозволяє отримати хэши паролів, якщо в операційній системі є облікові записи з нелатинськими літерами в іменах. У програмі LCP помилка виправлена, тому отримання хешей паролів даним методом рекомендується виконувати в ній.

    Метод, що використовується в програмі pwdump2, був доопрацьований для отримання хешей паролів не тільки з локальної, але і з віддаленої машини в програмах pwdump3/pwdump3e (автор Phil Staubs). На віддалений комп'ютер копіюються виконуваний файл служби і файл DLL. Після копіювання файлів на віддаленому комп'ютері створюється і запускається нова служба, що виконує ті ж дії, що й програма pwdump2 на локальному комп'ютері. Далі виконується видалення служби і файлів, що раніше скопійованих. Передача інформації про облікові записи користувачів проводиться через розділ реєстру на віддаленому комп'ютері, тимчасово створюваний і знищує після завершення копіювання даних. У програмі pwdump3e виконується додаткове шифрування даних, що передаються за алгоритмом Diffie-Hellman для збереження конфіденційності при їх можливе перехоплення при передачі по мережі. Використання даного методу також вимагає адміністративних прав на тій машині, інформацію про облікові записи користувачів з якою хочеться отримати.

    При виконання імпорту інформації цим способом за допомогою програм pwdump3/pwdump3e імена користувачів, які містять нелатинських букви, будуть спотворені. Для отримання хешей паролів з віддаленого комп'ютера впровадженням DLL рекомендується скористатися LCP.

    Якщо адміністративні права на локальному комп'ютері відсутні, можна скористатися вразливістю операційних систем Windows NT/2000/XP/2003, що полягає в заміні заставки, що запускається при відсутності реєстрації користувача операційної системи протягом деякого часу (по замовчуванням інтервал часу складає 15 хвилин для Windows NT/2000, 10 хвилин -- для Windows XP/2003). Для цього файл% SystemRoot% system32logon.scr замінюється на необхідний виконуваний файл (наприклад, cmd.exe), який буде запущений операційною системою замість екранної заставки з правами системи. Заміна може бути виконана способом, використовуваним при копіюванні файлу SAM. Доступ до диска з NTFS з можливістю запису здійснимо за допомогою NTFSDOS Professional або NTFS for Windows 98. Далі виконуються дії з отримання хешей методом pwdump2 або pwdump3/pwdump3e.

    Перехоплення аутентифікаційні пакетів у мережі

    Навіть якщо програма SYSKEY встановлена і активізована, немає необхідного доступу до віддаленого або локального комп'ютера, існує можливість отримання хешей паролів облікових записів користувачів. Цим способом є перехоплення аутентифікаційні пакетів в мережі (sniffing (англ.) - винюхіваніе). Клієнтська машина обмінюється з сервером аутентифікаційні пакетами кожен разу, коли потрібно підтвердження прав користувача. Необхідно, щоб комп'ютер знаходився в мережевому сегменті користувача або ресурсу, до якого він звертається. Програма для перехоплення аутентифікаційні пакетів (sniffer (англ.) - Винюхіватель), вбудована в LC5, працює на машинах з Ethernet-адаптером і в Windows NT/2000/XP/2003, і в Windows 95/98/Me. Програму LC5 в режимі перехоплення аутентифікаційні пакетів потрібно залишити запущеної на деякий час для збору достатньої кількості хешей паролів. Отримані дані необхідно зберегти у файл, після чого в програмі LCP виконати імпорт файлу сеансу LC5.

    Для перешкоджання отримання хешей паролів цим способом фірмою Microsoft було розроблено розширення існуючого механізму аутентифікації, зване NTLMv2. Його використання стає можливим після установки Service Pack, починаючи з Service Pack 4 для Windows NT. Докладніше про використання NTLMv2 можна прочитати в статті KB147706 How to Disable LM Authentication on Windows NT.

    Відновлення паролів

    Пароль може бути отриманий різними способами: атакою по словнику, послідовним перебором, гібридом атаки по словника і послідовного перебору, атакою з попередньо вичисленими хешамі.

    При атаці по словнику послідовно обчислюються хэши для кожного з слів словника або модифікацій слів словника і порівнюються з хешамі паролів кожного з користувачів. При збігу хешей пароль знайдено. Перевага методу - його висока швидкість. Недоліком є те, що таким чином можуть бути знайдені тільки дуже прості паролі, які є в словнику або є модифікаціями слів словника.

    Послідовний перебір комбінацій (brute force (англ.) - груба сила (дослівно), рішення "в лоб") використовує набір символів і обчислює хеш для кожного можливого пароля, складеного з цих символів. При використанні цього методу пароль завжди буде визначений, якщо складові його символи присутні у вибраному наборі. Єдиний недолік цього методу - велика кількість часу, який може знадобитися на визначення пароля. Чим більше кількість символів міститься у вибраному наборі, тим більше часу може пройти, поки перебір комбінацій не закінчиться.

    При відновлення паролів гібридом атаки по словника і послідовного перебору до кожному слову або модифікації слова словника додаються символи праворуч та/або сторінки. Для кожної що вийшла комбінації обчислюється хеш, який порівнюється з хешамі паролів кожного з користувачів.

    Для виконання атаки з попередньо вичисленими хешамі заздалегідь обчислюються хэши і зберігаються пари пароль/хеш для всіх можливих комбінацій обраного набору символів. Наявні хэши паролів шукаються серед попередньо обчислених хешей. Перевагою методу є дуже висока швидкість, недоліками - тривале попереднє обчислення хешей і велика кількість дискового простору, потрібного для їх зберігання.

    Після отримання хешей паролів можна почати відновлення паролів. Двома основними типами файлу, що містять хэши паролів, є PwDump-(passwords dump (англ.) - дамп паролів) і Sniff-файл.

    Кожна рядок PwDump-файлу має наступний формат:

    "ІмяПользователя: RID: LM-хеш: NT-хеш: ПолноеІмя, Опис: ДомашнійКаталог:"

    Кожна з 7-символьних половин пароля зашифрована незалежно від іншої в LM-хеш за алгоритму DES (колишній федеральний стандарт США), NT-хеш виходить в результаті шифрування всього пароля за алгоритмом MD4 (фірми RSA Security, Inc.). LM-хеш містить інформацію про пароль до регістру (у верхньому регістрі), а NT-хеш - З урахуванням регістру. Після імені користувача є унікальний ідентифікатор облікового запису RID (relative identifier (англ.) - відносний ідентифікатор), який для отримання хешей не використовується. Ідентифікатор вбудованої облікової записом адміністратора дорівнює 500, гостьовий облікового запису - 501. LM-хеш присутній для сумісності з іншими операційними системами (LAN Manager, Windows for Workgroups, Windows 95/98/Me і т.д.). Його наявність спрощує відновлення паролів. Якщо довжина NT-пароля перевищує 14 символів, LM-хеш відповідає порожньому паролю. При існуванні LM-хеша відновлення спочатку здійснюється за LM-хешу, після знаходження LM-пароля використовується NT-хеш для визначення NT-пароля.

    Кожна рядок Sniff-файлу має наступний формат:

    "ІмяПользователя: 3: ЗапросСервера: LM-відповідь: NT-відповідь"

    LM-відповідь виходить в результаті шифрування LM-хеша, NT-відповідь - в результаті шифрування NT-хеша. Шифрування виконується за алгоритмом DES таким чином, що визначити LM-і NT-пароль можна тільки при перевірці всього пароля. Крім того, у кожному випадку використовується свій запит сервера. Тому на визначення паролів по Sniff-файлу буде потрібно значно більше часу.

    Першої програмою, що виконує відновлення паролів Windows NT, була L0phtCrack (сьогоднішня назва - LC5). Авторами L0phtCrack є Peiter Mudge Zatko і Chris Wysopal з фірми L0pht Heavy Industries, Inc. (зараз @ stake, Inc.). При використанні нелатинських літер в паролі за допомогою програми LC5 пароль може бути не знайдений, для відновлення паролів рекомендується використовувати LCP.

    Зміна паролів користувачів без їх відновлення

    Якщо відновлення паролів користувачів Windows NT/2000/XP/2003 не потрібно, можливо їх зміна при наявному доступі до локального комп'ютера. Зміна паролів робиться за допомогою програми Offline NT Password & Registry Editor (автор Petter Nordahl-Hagen). Виконується завантаження з дискети з операційною системою Linux, вибір користувача для зміни пароля, обчислення хеша пароля і модифікація файлу SAM на диску з операційною системою. Програма підтримує Windows NT/2000/XP/2003, в т.ч. з активізованою службової програмою SYSKEY.

    Додаткові можливості отримання інформації про паролі

    Якщо в мережі є машини зі встановленими на них операційними системами Windows 3.11, Windows for Workgroups або Windows 95/98/Me, то є додаткові можливості отримання інформації про паролі.

    За умовчанням в цих операційних системах виконується кешування паролів користувачів на диск у файли% WinDir% <ІмяПользователя>. pwl (PassWord List (англ.) - список паролів). Паролі зберігаються в зашифрованому вигляді, причому регістр літер ігнорується (завжди використовується верхній регістр). Алгоритм шифрування паролів починаючи з Windows 95 OSR2 був змінений, тому що була виправлена виявлена помилка, тому відновити паролі зі старих PWL-файлів значно простіше. Для цього можуть бути застосовані програми Glide (від Frank Andrew Stevenson), PWL_Key (автор Артур Іванов), PwlHack (автор Володимир Калашников), PwlTool (авторами є Vitas Ramanchauskas, Євген Корольов). Для відновлення паролів з нових PWL-файлів можна використовувати PwlHack або PwlTool.

    При дозволеному кешуванні паролів з моменту входу і реєстрації користувача в Windows і до моменту виходу паролі можна визначити, запустивши програму PwlView (авторами є Vitas Ramanchauskas, Євген Корольов). Показуються Кешована паролі на локальній машині для поточного користувача, використовуючи недокументовані функції Windows API.

    Якщо користувач Windows NT/2000/XP/2003 є одночасно користувачем Windows 3.11, Windows for Workgroups або Windows 95/98/Me і буде визначено його пароль (як користувача Windows 3.11, Windows for Workgroups або Windows 95/98/Me), у якому, як вже згадувалося раніше, містяться тільки символи верхнього регістру, то за допомогою LCP пароль Windows NT/2000/XP/2003 може бути легко визначений. Необхідно як відомих символів пароля вказати символи раніше визначеного пароля користувача Windows 3.11, Windows for Workgroups або Windows 95/98/Me.

    Рекомендації адміністратору Windows 3.11, Windows for Workgroups і Windows 95/98/Me

    На машинах з Windows 3.11, Windows for Workgroups і Windows 95/98/Me:

    * відключити кешування паролів в Windows 3.11 та Windows for Workgroups. Для цього у файлі% WinDir% system.ini додати наступний параметр:

    [NETWORK]

    PasswordCaching = no

    * відключити кешування паролів в Windows 95/98/Me. Для цього за допомогою редактора реєстру знайти в реєстрі двійковий параметр DisablePwdCaching і встановити його в 1 (створивши його, якщо він не існував) в розділі

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork

    * після відключення кешування паролів видалити всі PWL-файли з диска і перезавантажити операційну систему;

    * якщо конфігурація комп'ютера задовольняє апаратним вимогам операційних систем Windows NT/2000/XP/2003, перейти на їх використання.

    Рекомендації адміністратора Windows NT/2000/XP/2003

    На машинах з Windows NT/2000/XP/2003:

    * зробити недоступним для розтину корпус комп'ютера для запобігання можливого відключення жорсткого диска з операційною системою або підключення іншого диска;

    * в Setup дозволити завантаження тільки з жорсткого диска, щоб не допустити завантаження з іншого носія;

    * встановити пароль на вхід в Setup, не дозволяючи скасувати заборону на завантаження з іншого носія;

    * Windows NT/2000/XP/2003 повинна бути єдиною операційною системою, встановленої на машині, що робить неможливим копіювання і заміну файлів з інших операційних систем;

    * використовувати тільки файлову систему NTFS, відмовитися від використання FAT? FAT32;

    * упевнитися в Windows NT, що встановлено Service Pack 3 або більше пізній і активізована службова програма SYSKEY;

    * відмовитися від зберігання ключа запуску в реєстрі, змінивши в програмі SYSKEY розміщення ключа запуску на використання пароля запуску чи зберігання ключа запуску в файлі на дискеті;

    * використовувати вбудовану в операційні системи Windows 2000/XP/2003 можливість шифрування файлів за допомогою EFS (Encrypting File System (англ.) - файлова система з шифруванням), що є частиною NTFS5;

    * заборонити віддалене управління реєстром, зупинивши відповідну службу;

    * заборонити використовувати право налагодження програм SeDebugPrivilege. Для цього в оснащенні "Локальна політика безпеки" потрібно вибрати елемент "Параметри безопасностіЛокальние політікіНазначеніе прав користувача "й у властивостях політики" Налагодження програм "видалити зі списку всіх користувачів і всі групи;

    * скасувати використання особливих спільних папок ADMIN $, C $ і т.д., що дозволяють користувачеві з адміністративними правами підключатися до них через мережу. Для цього необхідно додати до реєстру параметр AutoShareWks (для версій Workstation і Professional) або AutoShareServer (для версії Server) типу DWORD і встановити його в 0 в розділі

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

    Діапазон: 0-1, за умовчанням - 1.

    0 - Не створювати особливі загальні ресурси;

    1 - Створювати особливі загальні ресурси.

    Подробнее про видалення особливих загальних ресурсів можна прочитати в статті KB314984 HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers (для версій Workstation і Professional) і в статті KB318751 HOW TO: Remove Administrative Shares in Windows 2000 (для версії Server);

    * заборонити або максимально обмежити кількість спільно використовуваних мережевих ресурсів;

    * обмежити анонімний доступ в операційних системах Windows NT/2000, що дозволяє при анонімному підключенні отримувати інформацію про користувачів, політики безпеки і спільних ресурсах. У Windows NT/2000 потрібно додати реєстр параметр RestrictAnonymous типу DWORD в розділі

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

    Діапазон: 0-2, за умовчанням - 0 для Windows NT/2000, 1 - для Windows XP/2003.

    0 - Не обмежувати, покластися на задані за замовчуванням дозволу;

    1 - Не дозволяти отримувати список облікових записів та імен користувачів;

    2 - Не надавати доступ без явних анонімних дозволів (недоступно в Windows NT).

    Подробнее про обмеження анонімного доступу можна прочитати в статті KB143474 Restricting Information Available to Anonymous Logon Users (для Windows NT) і в статті KB246261 How to Use the RestrictAnonymous Registry Value in Windows 2000 (для Windows 2000);

    * заборонити зберігання LM-хешей в операційних системах Windows 2000/XP/2003 для утруднення відновлення паролів зловмисником, змушуючи використовувати для цього NT-хэши. Для цього необхідно додати до реєстру параметр NoLMHash типу DWORD і встановити його в 1 у розділі

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

    Діапазон: 0-1, за умовчанням - 0.

    0 - Зберігати LM-хэши;

    1 - Не зберігати LM-хэши.

    Докладніше про заборону зберігання LM-хешей можна прочитати в статті KB299656 How to Prevent Windows from Storing a LAN Manager Hash of Your Password in Active Directory and Local SAM Databases;

    * якщо в мережі відсутні клієнти з Windows for Workgroups і Windows 95/98/Me, то рекомендується відключити LM-аутентифікацію, так як це суттєво ускладнить відновлення паролів під час перехоплення аутентифікаційні пакетів зловмисником. Якщо ж такі клієнти присутні, то можна включити використання LM-аутентифікації тільки за запитом сервера. Це можна зробити, активізувавши розширення механізму аутентифікації NTLMv2. Для його активізації необхідно додати до реєстру наступні параметри:

    o LMCompatibilityLevel типу DWORD в розділі

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

    Діапазон: 0-5, за умовчанням - 0.

    0 - Посилати LM-і NT-відповіді, ніколи не використовувати аутентифікацію NTLMv2;

    1 - Використовувати аутентифікацію NTLMv2, якщо це необхідно;

    2 - Посилати тільки NT-відповідь;

    3 - Використовувати тільки аутентифікацію NTLMv2;

    4 - Контролеру домену відмовляти в LM-аутентифікації;

    5 - Контролеру домену відмовляти в LM-і NT-аутентифікації (допустиме лише аутентифікація NTLMv2).

    o NtlmMinClientSec або NtlmMinServerSec типу DWORD в розділі

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0

    Діапазон: об'єднані по логічного АБО будь-які з наступних значень:

    0x00000010 - Цілісність повідомлень;

    0x00000020 - Конфіденційність повідомлень;

    0x00080000 - Безпека сеансу NTLMv2;

    0x20000000 - 128-бітне шифрування.

    Подробнее про використання NTLMv2 можна прочитати в статті KB147706 How to Disable LM Authentication on Windows NT;

    * якщо в мережі присутні тільки клієнти з Windows 2000/XP/2003, то рекомендується використовувати протокол аутентифікації Kerberos;

    * заборонити відображення імені користувача, який останнім реєструвався в операційної системи, у діалоговому вікні реєстрації. Для цього потрібно додати реєстр рядковий параметр DontDisplayLastUserName і встановити його в 1 в розділі

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    Діапазон: 0-1, за умовчанням - 0.

    0 - Відображати ім'я останнього користувача;

    1 - Не відображати ім'я останнього користувача.

    Подробнее про заборону відображення імені користувача можна прочитати в статті KB114463 Hiding the Last Logged On Username in the Logon Dialog;

    * заборонити запуск заставки при відсутності реєстрації користувача операційної системи протягом деякого часу. Для цього потрібно в реєстрі значення строкового параметра ScreenSaveActive встановити в 0 в розділі

    HKEY_USERS.DEFAULTControl PanelDesktop

    Подробнее про заборону запуску заставки можна прочитати в статті KB185348 HOW TO: Change the Logon Screen Saver in Windows;

    * при виборі паролів Windows NT/2000/XP/2003 дотримуватися таких правил:

    o не вибирати в якості пароля або частини пароля будь-яке слово, яке може бути словом словнику, або його модифікацією;

    o довжина пароля в Windows NT повинна бути не менше 7 символів (при максимально можливої довжині пароля в 14 символів), у Windows 2000/XP/2003 - більше 14 символів (при максимально можливої довжині пароля в 128 символів);

    o пароль повинен містити символи з можливо великого символьного набору. Не можна обмежуватися лише символами AZ, бажаніше використовувати в паролі і букви, та цифри і спеціальні символи (причому в кожній з 7-символьних половин пароля, якщо довжина пароля менше або дорівнює 14);

    o символи пароля, що є літерами, повинні бути як верхнього, так і нижнього регістра, що ускладнить відновлення пароля, вироблене за NT-хешу;

    * своєчасно виконувати установку пакетів виправлень та оновлень операційної системи;

    * перейменувати адміністративну та гостьову облікові записи, відключивши при цьому останню;

    * уникати наявності облікового запису з ім'ям і паролем, що збігаються з адміністративної, на іншому комп'ютері в якості звичайної облікового запису;

    * мати тільки одного користувача з адміністративними правами;

    * задати політику облікових записів (блокування облікових записів після певного числа помилок входу в систему, максимальний термін дії пароля, мінімальну довжину пароля, задоволення пароля вимогам складності, вимога неповторяемості паролів і т.д.);

    * встановити аудит невдалих входів;

    * скористатися програмами з пакету Microsoft Security Tool Kit, зокрема HFNetChk і Microsoft Baseline Security Analyzer (написані Shavlik Technologies LLC для Microsoft), перевіряючими наявність встановлених оновлень і наявних помилок в налагодженні системи безпеки;

    * періодично виконувати аудит паролів, використовуючи програму LCP або подібні до неї.

    Шевлюга Анна

    Список літератури

    Для підготовки даної роботи були використані матеріали з сайту http://www.nodevice.ru/

         
    		 
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

    		  
     
     
    		 
    		 
        Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status