Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
Расширение привилегий
Если взломщик смог добраться до пользовательской учетной записи системы Win-
dows 2000, то следующим
его
желанием станет получение исключительных привиле-
гий — прав администратора. К счастью, операционная система Windows 2000 является
более устойчивой, чем ее предшественницы в смысле противостояния таким попыт-
кам (по крайней мере угрозы типа
getadmin
и sechole ей теперь не страшны). Но к
сожалению, если взломщик смог получить данные интерактивной учетной записи, то
предотвратить возможность расширения
его
привилегий очень сложно
(интерактивные учетные записи получили гораздо более широкое распространение с
появлением терминального сервера Windows 2000, применяемого для удаленного
управления и распределенной обработки данных).
"•
.°
о
'
О
Использование именованных каналов
для запуска программ с системными привилегиями
Популярность
Простота
Опасность
Степень риска
4
7
10
7
Атака, обеспечивающая расширение привилегий на основе прогнозирования создания
именованного канала при инициализации системных служб Windows 2000 (таких как
Server,
Workstation,
Alerter
и
clipBook,
связанных
с
учетной записью
SYSTEM),
была
разработана Майком Шифманом (Mike
Schiffman)
и отправлена в бюллетень
Bugtraq
(ID 1535). Перед запуском каждой службы на сервере создается именованный канал с
прогнозируемым именем. Последовательность имен можно получить из параметра сис-
темного реестра
HKLM\System\CurrentControlSet\Control\ServiceCurrent.
Любой интерактивно зарегистрировавшийся пользователь Windows 2000 (включая
удаленных пользователей терминального сервера) может спрогнозировать имя канала,
инстанцировать его и таким образом запустить программу с системными привилегиями.
Если к этому именованному каналу присоединить посторонний код, то он тоже получит
системные привилегии и сможет выполнить практически любые действия в локальной
системе (например, добавить текущего пользователя в группу администраторов).
На использовании именованных каналов основана работа утилиты
PipeUpAdmin
хакера Мачо (Масео). Эта программа позволяет добавить текущую пользовательскую
учетную запись в локальную группу администраторов. В приведенном ниже примере
предполагается, что пользователь wongd, являясь членом группы Server Operators,
прошел интерактивную аутентификацию на системной консоли. Давайте внимательно
проследим за последующими действиями этого пользователя. Сначала пользователь
wongd получил данные о членах локальной группы администраторов.
C:\>net
localgroup
administrators
Alias name administrators
Comment
Administrators have complete and unrestricted
access to the computer/domain
Members
Administrator
The command completed
successfully.
Глава б. Хакинг Windows 2000
261
Затем пользователь
wongd
попытался добавить себя в группу администраторов, од-
нако из-за недостаточно широких привилегий ему не удалось получить доступ.
C:\>net
localgroup
administrators wongd /add
System error 5 has occurred.
Access is denied.
Однако вместо
капитуляции
наш герой разыскал в Internet и загрузил утилиту
PipeUpAdmin
(http:
//www.dogmile.com/files),
а затем запустил ее на выполнение.
С:\>pipeupadmin
PipeUpAdmin
Maceo
<maceo
@
dogmile.com>
(C) Copyright 2000-2001 dogmile.com
The
ClipBook
service is not started.
More
help
is
available
by
typing
NET
HELPMSG
3521.
Impersonating:
SYSTEM
The account:
FS-EVIL/wongd
has been added to the Administrators group.
И наконец, после запуска команды net localgroup не осталось никаких сомне-
ний в достижении заветной цели. Пользователь wongd оказался именно там, где и хо-
тел: в группе администраторов.
C:\>net
localgroup administrators
Alias name administrators
Comment Administrators have complete and unrestricted
access to the computer/domain
Members
Administrator
wongd
The command completed
successfully.
Теперь пользователю wongd осталось лишь выйти из системы и вновь зарегистри-
роваться, чтобы воспользоваться своим новым статусом. Многие приемы расширения
привилегий требуют повторной регистрации, поскольку при добавлении в группу но-
вого идентификатора SID системе Windows 2000 требуется перестроить соответствую-
щий объект-признак. Это можно осуществить либо с помощью вызова функции про-
граммного интерфейса, либо посредством прохождения повторной аутентификации.
Обратите внимание также на то, что утилита PipeUpAdmin должна быть запущена
в контексте интерактивной учетной записи. (Другими словами, нужно зарегистриро-
ваться локально или с использованием удаленной оболочки с соответствующими при-
вилегиями, например, посредством терминальных служб.)
О Контрмеры: использование именованных каналов
Компания Microsoft выпустила модуль обновления, изменяющий способ создания
и размещения именованных каналов диспетчером Windows 2000 Service Control Man-
ager (SCM). Его можно найти по адресу
http://www
technet/security/bulletin/
MSOO-053
.asp.
Этот модуль обновления не вошел в сервисный пакет SP1 и может
применяться как до, так и после установки этого пакета.
Конечно же, привилегии интерактивных учетных записей необходимо жестко ог-
раничить в любой системе, содержащей конфиденциальные данные, поскольку в про-
тивном случае задачи хакера значительно облегчаются. Чтобы проверить права инте-
262 Часть II.
Хакинг
систем
рактивных
учетных записей в системе Windows 2000, запустите
аплет
Security Policy
(либо для локальной политики, либо для политики групп), найдите элемент User
Rights Assignment в группе Local Policies и ознакомьтесь с тем, как выделяются права
при локальной регистрации.
В Windows 2000 появилась новая возможность отменять для некоторых групп или
пользователей действие многих привилегий. Например, как видно из рисунка, возмож-
ность локальной регистрации отменяется, если выбрать политику Deny logon locally.
^
Security
Settings
+
Q£
Account
Polices
'-,
О
Local
Policies
'
(Э
Audit Policy
•J}
Ut*
R,ghlj
Ao^
;
j_3
Security
Options
ГЙ
Cl
Public
Key
Pofcies
IP
Security
Polices ст-
ад
Debug
programs
йй
Deny
access
to
this
computer
from the n
Щ
Derv
logon
as a belch
job
Ля]Enable
computet
and user accounts
to
t
|
Force
shutdown
from a remote system
{Generate
security
audits
tncrease
quotas
Increase
scheduling
priority
*|
| По умолчанию группа
Users
и учетная запись Guest обладают правом ло-
кальной регистрации в системе Windows 2000 Professional и на автономных
серверах Windows 2000. Права пользователей контроллера домена ограниче-
ны более жестко благодаря специальной используемой по умолчанию поли-
тике (правами локальной регистрации обладают все группы операторов). Мы
рекомендуем отменить
это
право
для
группы
users
и
учетной записи
Guest
и
строго следить за тем, кому предоставляются такие привилегии.
">
о •
^
р
Нарушение доступа к рабочим станциям
Популярность
Простота
Опасность
Степень риска
'
4
7
Ч
10
7
Большинство администраторов Windows никогда не слышали о рабочих
станциях
в
контексте одного из наиболее загадочных разделов программирования для Windows. Мо-
дель безопасности Windows 2000 определяет иерархию контейнеров, предназначенных для
разграничения
функций зашиты между различными процессами. В этой иерархии объекты
упорядочены от общего к частному: сеанс, рабочая станция, рабочий стол. При этом сеанс
содержит одну или несколько рабочих станций, которые, в свою очередь, могут включать
один или несколько рабочих столов. В рамках этой концепции сфера действия процессов
ограничена рабочей станцией, а потоки одного процесса работают с одним или несколь-
кими рабочими столами. Однако по каким-то причинам эта концепция не была реализо-
вана в исходной версии Windows 2000. При определенных условиях процесс с более низ-
кими привилегиями, работающий на одном из рабочих столов, в рамках одного сеанса мог
получать информацию от рабочего стола другой рабочей станции.
Следствием этого явилась возможность для злоумышленников интерактивно зареги-
стрироваться в системе Windows 2000 и
взаимодействовать
с
процессами,
работающими в
рамках этого же интерактивного сеанса. (Заметим, что при этом нельзя взаимодейство-
вать с другими пользователями терминального сервера, поскольку они работают в от-
Глава 6. Хакинг Windows 2000
263
дельных сеансах.) Взломщики также могут создать процесс на другой рабочей станции.
Однако до конца не ясно, какие действия они могут предпринять, даже если созданный
ими процесс обладает системными привилегиями. Хакеры, как минимум, могут считы-
вать вводимую с клавиатуры и выводимую на экран информацию.
О Контрмеры: нарушение доступа к рабочим станциям
Поскольку эта проблема связана с некорректной реализацией модели безопасности
компанией Microsoft, то и в ее решении придется положиться на модуль обновления
этой компании. Такой модуль, обеспечивающий корректное разделение процессов для
различных рабочих столов, можно получить по адресу
http://www.microsoft.com/
technet/security/bulletin/msOO-020.asp.
Кроме того, он вошел в состав сер-
висного пакета SP1.
Еще один полезный совет сводится к ограничению привилегий интерактивной учет-
ной записи (см. приведенное выше описание проблемы с именованными каналами).
^;..-
Использование службы NetDDE для запуска
JL
программ с привилегиями SYSTEM
Популярность
'"'
Простота
Опасность
Степень риска
6
7
10
8
В феврале 2001 года Дилдогом
(©Stake)
был обнаружен изъян в сетевой службе
динамического обмена данными (NetDDE — Network Dynamic Data Exchange) систе-
мы Windows 2000. Этот изъян позволяет локальному пользователю выполнить любую
команду с системными привилегиями. Технология DDE позволяет приложениям со-
вместно использовать данные через "доверенные" ресурсы.
Воспользовавшись
таким
ресурсом, можно сгенерировать запрос и запустить приложение, которое будет рабо-
тать
в
контексте учетной записи
SYSTEM.
Компанией
©Stake
был
выпущен исходный
код утилиты
netddemsg,
демонстрирующей этот способ расширения привилегий.
Опубликованный компанией @Stake исходный код
netdde.cpp
при компо-
новке требует
использования
библиотеки
nddeapi.lib.
Для
этого
в
Visual
C++ выберите команду
Project^Settings,
перейдите во вкладку Link, а затем
добавьте в поле ввода
Object/library
modules пробел и введите nddeapi.lib.
Для запуска проверочной утилиты сначала необходимо запустить службу NetDDE,
если это не выполняется автоматически. Большинство пользовательских учетных запи-
сей не обладает требуемыми правами, однако члены встроенных групп операторов могут
это осуществить. Службу NetDDE можно запустить из командной строки. Можно также
воспользоваться консолью управления службами, выбрав команду
Start^Run
и введя
команду
services.rasc.
При запуске утилиты netddemsg без параметров на экране появится сообщение с
предложением их ввести. Ниже в качестве параметра указан "доверенный" ресурс с
ключом -s, а также команда, которая будет выполнена. В данном случае указан ис-
полняемый файл командной оболочки.
С:\>netddemsg
-s Chat$
cmd.exe
264 Часть II.
Хакинт
систем
Сразу же после ввода приведенной команды на экране появится диалоговое окно
командной оболочки, запущенной с системными привилегиями. В этом можно убе-
диться с помощью утилиты
whoami
из набора NTRK.
Обратите внимание на то, что в отличие от рассмотренной выше утилиты
PipeUpAdmin,
netddemsg не требует завершения работы и повторной регистрации. Командная оболочка бы-
ла запущена в контексте учетной записи SYSTEM в текущем сеансе работы.
Однако в то же время утилита netddemsg должна быть запущена в контексте ин-
терактивной учетной записи (То есть необходимо зарегистрироваться локально или с
помощью терминальной службы.)
О Контрмеры: использование службы NetDDE
Как и при использовании именованных каналов, в данном случае имеется лишь одна
действенная контрмера: модуль обновления от компании Microsoft. Его можно найти по
адресу
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
security/bulletin/MSOl-007
.asp.
Там же содержится и дополнительная информа-
ция об этом модуле. Некоторые другие основные контрмеры против расширения приви-
легий будет обсуждаться ниже.
Кроме того, не забывайте, что запуск службы NetDDE может регистрироваться в
системных журналах, если соответствующим образом настроена политика аудита. Так
что попытки использования средств, аналогичных утилите netddemsg, можно выяв-
лять без особых проблем.
Несанкционированное получение данных
После получения статуса администратора взломщики обычно стараются получить
всю информацию, которую можно будет использовать для последующих вторжений.
Получение хэш-кодов паролей Windows 2000
Хакеры будут счастливы узнать, что хэш-коды диспетчера локальной сети
LanManager
(LM) хранятся в предлагаемом по умолчанию месте Windows 2000 для обеспечения со-
вместимости с клиентами других версий (отличных от Windows NT/2000). Это приводит
к проблемам, описанным в главе 5, для устранения которых можно использовать пред-
ложенные там же решения. Однако, к небольшому разочарованию хакеров, благодаря
некоторым новым свойствам Windows 2000 и, в первую очередь, алгоритму шифрования
SYSKEY, стандартные приемы взлома паролей теперь неприменимы. Однако, как будет
видно из следующих разделов, не все обстоит так благополучно.
.-&;•
Получение базы данных SAM
Популярность
Простота
Опасность
Степень риска
8
10
10
9
На контроллерах доменов Windows 2000 хэш-коды паролей хранятся в файле служ-
бы каталогов Active Directory
(%windir%\NTDS\ntds.dit).
При стандартной конфигу-
рации этот файл занимает порядка 10 Мбайт и хранится в зашифрованном виде, по-
этому взломщики вряд ли смогут заполучить его с целью последующего анализа.
Глава 6. Хакинг Windows 2000 265
Однако интерес для хакеров может представлять файл диспетчера учетных записей за-
щиты SAM (Security Account Manager), содержащийся на компьютерах, не являющихся
контроллерами домена. Получение данных этого файла в операционной системе NT 4 не
составляло большого труда. Местоположение файла SAM в новой версии операционной
системы по-прежнему определяется параметром
%systemroot%\system32\config,
а дос-
туп к файлу блокируется операционной системой. Поэтому получение данных путем за-
грузки в режиме DOS по-прежнему возможно даже при использовании пятой версии фай-
ловой системы NTFS. Для реализации этой задачи можно воспользоваться утилитой
NTFSDOS,
которую можно найти
по
адресу
http:
/
/www.
sysinternals.
com/. Местополо-
жение резервной копии файла SAM определяется параметром
\%systemroot%\repair
(этот файл
называется
SAM, а не
ЗАМ._,
как в NT 4). В ней содержится информация обо
всех пользователях системы на момент ее установки. В приложение Microsoft Backup v.5
(файл
ntbackup.exe)
интегрирована утилита
rdisk,
поэтому
с его
помощью можно
соз-
дать аварийный диск. При выборе команды Create Emergency Repair Disk открывается диа-
логовое окно, в котором нужно указать, следует ли копировать системный реестр в резерв-
ный каталог, как показано ниже.
Intel
а
Ыаг*,
farorted topnufek
Но
dme
A:
and
tfck
OK.
Р
Abo
Backup
the
fegisty
to
the
repair
difectoiy.
This
backup
can
be
used
to
hefe
recover
your
system
Ч
the
legiaby
is
damaged
При выборе этого режима весь системный реестр, включая улей SAM, копируется
в папку
%windir%\repair\RegBack.
Члены группы Users обладают правом чтения
информации из этой папки, а члены группы Power Users — правом ее модифика-
ции, если диск отформатирован для использования файловой системы NTFS. Следо-
вательно, только члены группы Power
users
имеют расширенный доступ
к
этому
файлу, а не все пользователи. Атаки, направленные на получение резервной копии
файла SAM, также несколько осложняются тем, что этот файл зашифрован с исполь-
зованием нового алгоритма шифрования
SYSKEY,
а на сегодняшний день механизм
расшифровки таких файлов (отличный от
pwdump2)
неизвестен.
Файл SAM в Windows 2000 кодируется с использованием SYSKEY по умолча-
нию и восстанавливается с помощью средства
pwdump2
или
Зе.
О Не
забывайте
очищать
каталог
RepairXRegBack
Не оставляйте взломщикам никаких шансов — переносите файлы каталога
RepairXRegBack
на съемный диск или в другое безопасное место. А еще лучше —
при запуске утилиты создания диска аварийного восстановления не выбирайте режим
архивации системного реестра.
Получение
кэш-кодов
с помощью
pwdumpX
Популярность
Простота
Опасность
Степень риска
8
10
10
9
266
Часть II.
Хакинг
систем
НА
WEB-УЗЛЕ
Теперь кодировка
SYSKEY
применяется
в
операционной системе Win-
wiiiuropiti№ng.cmi
dows
2000
по
умолчанию (более подробная информация
об
этом содер-
жится в разделе
Q143475
базы знаний и в главе 5). Поэтому с помощью
средства
pwdump
нельзя корректно расшифровать
хэш-коды
паролей из
системного реестра Windows 2000. Для решения этой задачи необходимо
использовать
pwdump2
(более подробно о pwdump,
pwdump2,
а также о
том, почему для расшифровки SYSKEY не подходит pwdump, читайте в
главе 5). Более того, для локальной загрузки хэш-кодов с контроллера
домена требуется обновленная версия утилиты pwdump2 (доступная по
адресу
http://razor.bindview.com),
поскольку теперь хранение паро-
лей организовано на базе Active Directory, а не в соответствии с традици-
онными принципами файла SAM.
Компания Ebusiness Technology, Inc., выпустила модифицированную версию ути-
литы
pwdump2
Тодда
Сабина (Todd Sabin), которая называется
pwdumpSe
(http://www.ebiz-tech.com/html/pwdump.html).
При
установке
ЭТОЙ
утилиты
в
качестве службы используется DLL-библиотека
samdump,
позволяющая удаленно из-
влекать хэш-коды паролей через протокол SMB (TCP 139 и 445). На локальной сис-
теме утилита
pwdump
Зе работать не будет.
О Контрмеры: загрузка хэш-кодов с помощью
pwdumpX
Поскольку принципы подключения динамических библиотек в Windows не измени-
лись, то от использования утилит
pwdump2
или
pwdumpSe
не существует никакой защиты.
Слабым утешением служит лишь тот факт, что эти утилиты должны использоваться ло-
кально и для их запуска требуются привилегии администратора. Если же хакеру удалось
получить эти привилегии, то он сможет получить практически любую информацию о ло-
кальной системе (другой вопрос, как можно использовать данные SAM для новых атак).
^
и
/
о
Добавление хэш-кодов в файл SAM
с
помощью
chntpw
Популярность
Простота
Опасность
Степень риска
8
10
10
9
Если хакер получил физический доступ к системе и у него достаточно времени для
загрузки другой операционной системы, то он может реализовать сложную атаку,
описанную Питером
Нордалом-Хагеном
(Fetter
Nordahl-Hagen)
по адресу
http://-
home.eunet.no/~pnordahl/ntpasswd/.
В ряде статей, содержащихся на этом узле,
Питер приводит поразительные факты. Например, по
его
словам, хэш-коды паролей
можно добавить в файл SAM в автономном
режиме
и таким образом изменить пароль
любого пользователя системы.
Но это еще не все! Далее Питер предлагает методику и набор средств для создания
загрузочной дискеты с операционной системой Linux, которую можно использовать
для входа в систему NT/2000, изменения пароля администратора (даже если он был
переименован), перезагрузки системы и регистрации в ней с новым паролем.
Глава 6. Хакинг Windows 2000 267
Дальше больше. Питер утверждает, что этот метод работает даже при использова-
нии шифрования
SYSKEY
и даже в режиме защиты ключа
SYSKEY
паролем или его хра-
нения на гибком диске.
"Минуточку ,— возразит читатель, — средство SYSKEY использует второй, 128-
разрядный тип шифрования паролей на основе уникального ключа, который можно
хранить в реестре, защитить паролем или записать на гибкий диск (см. главу 5). Как
же можно изменить пароль, не зная системного ключа для его создания?"
Для таких читателей Питер рассказывает, как отключить режим SYSKEY. Более
того, он обнаружил, что взломщику это не понадобится: при добавлении в файл SAM
хэш-кодов старого образца (не использующих кодировку SYSKEY) они автоматически
кодируются с помощью ключа SYSKEY после перезагрузки системы. Такой глубокий
анализ достоин восхищения. Браво Питеру!
Питер отключает режим шифрования SYSKEY следующим образом (хотя можно
этого и не делать).
1. Устанавливает для параметра
HKLM\System\CurrentControlSet\Control\-
LsaXSecureBoot
значение 0 (этот параметр может принимать следующие зна-
чения: 0 — системный ключ отключен, 1 — ключ хранится в реестре в откры-
том виде, 2 — ключ хранится в реестре и защищен паролем, 3 — ключ хранится
на гибком диске).
2. Сбрасывает соответствующий флаг в бинарной структуре
HKLM\SAM\Domains\
Account\F.
Этот параметр недоступен в процессе работы операционной системы.
3. В Windows 2000 задает для параметра
HKLM\security\Policy\PolSecret
EncryptionKey\<default>
значение 0.
Питер утверждает, что изменение значения лишь одного из двух первых параметров
в операционной системе NT 4 даже при наличии сервисных пакетов вплоть до SP6 при-
водит к появлению предупреждения о несовместимости файла SAM с системными па-
раметрами при завершении загрузки и повторному включению ключа SYSKEY. В Win-
dows 2000 в случае несовместимости значений трех перечисленных параметров сразу же
выполняется перезагрузка, и значение параметров изменяется на наиболее типичное.
Применение этих приемов может привести к повреждению файла
ЗАМ.
Испы-
тывайте их только на тестовых компьютерах с системой NT/2000 и будьте го-
товы к возможному отказу операционной системы. В частности, не выбирайте
режим Disable SYSKEY программы chntpw в Windows 2000. По отзывам, это
может привести к непредсказуемым результатам и даже необходимости пол-
ной переустановки системы.
Описанный выше прием не позволяет изменять пароли пользователей на кон-
троллере домена Windows 2000, а относится лишь к изменению файлов SAM.
Напомним, что на контроллере домена
хэш-коды
паролей хранятся в Active
Directory, а не в файле SAM.
О Контрмеры: chntpw
Если хакеры могут получить неограниченный физический доступ к системе, то
противостоять им практически невозможно. Одна из слабых контрмер состоит в такой
настройке параметров, при которой требуется привлечение ключа SYSKEY при каж-
дой загрузке. Этого можно добиться, установив режим защиты системного ключа па-
ролем или хранения его на гибком диске (в главе 5 описаны три модели использова-
ния ключа SYSKEY). Тогда даже после изменения пароля администратора для загруз-
ки системы хакер должен будет ввести пароль SYSKEY. Конечно же, с помощью
268 Часть II. Хакинг систем
программы chntpw хакер может полностью отключить системный ключ, но тогда он
рискует вывести из строя операционную систему, если это Windows 2000.
С помощью готовой программы chntpw можно лишь полностью отключить SYSKEY.
Спрашивается, а что если параметр SecureBoot будет принимать значение 1, а не 0 для
локального хранения системного ключа? Это значение позволит отключить защиту
SYSKEY паролем и режим его хранения на гибком диске, сводя на нет эти контрмеры.
Исходный код
программы
chntpw можно найти на узле Питера. Можно также воспользо-
ваться существующей утилитой chntpw в режиме редактирования реестра.
В условиях отсутствия надежной защиты ключа SYSKEY необходимо полагаться на
традиционные методы защиты, такие как обеспечение физической безопасности важ-
ных систем, установки паролей на BIOS или отключения режима загрузки системы с
гибкого диска.
Удаление пароля администратора
вместе с файлом SAM
Популярность
Простота
Опасность
Степень риска
4
5
10
6
25 июля 1999 года Джеймс
Дж.
Грейс (James J. Grace) и Томас
С.В.
Бартлетт
III
(Thomas S. V.
Bartlett
III) опубликовали потрясающую статью о том, как удалить пароль
администратора,
загрузившись
в другой операционной системе и удалив файл SAM
(http:
//www.deepquest.pf/Win32/win2k_efs.
txt). Имея неограниченный физический
доступ к компьютеру и средства для записи информации в разделы NTFS (например, ути-
литу NTFSDOS Pro, которую можно найти по адресу
http://www.sysinternals.com),
с
помощью этого приема можно легко обойти всю локальную систему защиты NT/2000.
Хотя описанная в статье процедура предполагает установку второй копии операци-
онной системы NT или 2000 наряду с исходной, это требование не является обяза-
тельным, если взломщик преследует лишь цель удаления пароля учетной записи ад-
министратора. Можно просто удалить файл
SAM.
Эта атака может иметь серьезные последствия при использовании шифрования
файловой системы, описанные в следующем разделе.
Контроллеры доменов Windows 2000 не пострадают от удаления файла SAM, по-
скольку на этих машинах
хэш-коды
паролей хранятся в Active Directory. Однако в
указанной статье приводится механизм достижения аналогичного результата на
контроллере домена, предполагающий установку второй копии Windows 2000.
О Предотвращение удаления файла SAM
Как отмечалось выше, на уровне операционной системы существует единственный
способ противостояния такой атаке. Он заключается в защите паролем системного
ключа или установке режима его хранения на гибком диске. Еще один эффективный
способ противодействия атакам в автономном режиме — обеспечить физическую за-
щищенность серверов, отключив режим загрузки со съемных носителей или устано-
вив пароль BIOS. Авторы советуют использовать все эти механизмы.
Глава 6. Хакинг Windows 2000 269
Шифрование файловой системы
Одним из главных достижений Windows 2000 в области безопасности является воз-
можность шифрования файловой системы.
EPS
(Encrypting File System) — это система
шифрования на основе открытого ключа, предназначенная для кодирования данных на
диске в реальном времени и предотвращения несанкционированного доступа к ним.
Компания Microsoft опубликовала статью, подробно описывающую функционирование
EPS
(http://www.microsoft.com/windows2000/techinfo/howitworks/security/
encrypt
.asp).
Если говорить кратко, система EFS позволяет закодировать файл или
папку с помощью быстрого симметричного алгоритма шифрования на основе ключа
FEK
(File Encryption Key), случайным образом сгенерированного специально для этого
файла или папки. В качестве алгоритма шифрования в исходной версии системы EFS
используется расширенный стандарт шифрования данных DESX. Случайно сгенериро-
ванный ключ для шифрования файла сам, в свою очередь, кодируется с помощью од-
ного или нескольких открытых ключей, включая ключ пользователя (в Windows 2000
каждый пользователь получает пару ключей —
открытый
и закрытый) и агент восста-
новления ключа. Эти зашифрованные значения хранятся как атрибуты файла.
Процедура восстановления ключа применяется для восстановления информации в
том случае, если сотрудник, зашифровавший данные, больше не работает в организа-
ции, а его ключ утерян. Чтобы обеспечить возможность восстановления зашифрованных
данных Windows 2000, существует агент восстановления данных EFS. Без агента восста-
новления система EFS не работает. Поскольку ключ шифрования файла абсолютно не
зависит от пары ключей пользователя, агент восстановления может дешифровать содер-
жимое файла, не раскрывая закрытого ключа пользователя. По умолчанию агентом вос-
становления данных в системе служит локальная учетная запись администратора.
Хотя шифрование файловой системы во многих случаях может оказаться полезным,
его не стоит применять для защиты данных разных пользователей одной рабочей стан-
ции друг от друга. Для защиты данных от других пользователей существуют списки
управления доступом (ACL — Access Control List) файловой системы NTFS. Компания
Microsoft рассматривает систему EFS как средство защиты от атак, направленных на по-
лучение данных в обход операционной системы (путем загрузки через другую операци-
онную систему или использования средств доступа к жесткому диску от сторонних про-
изводителей), или для защиты файлов, расположенных на удаленных серверах. В статье
компании Microsoft, посвященной системе EFS, говорится буквально следующее:
"Система EFS служит для обеспечения защиты информации от доступа из других опе-
рационных систем, т.е. от физического доступа к файлам раздела NTFS без соответст-
вующих прав". Далее будет показано, насколько это утверждение соответствует истине.
Применение EFS
Систему EFS можно применять для шифрования любого файла или папки. Эту
операцию можно выполнить в диалоговом окне свойств объекта, щелкнув на кнопке
Advanced и перейдя во вкладку General. Кроме того, для шифрования и дешифро-
вания файлов можно использовать утилиту командной строки cipher. Для получения
справочной информации об этой программе введите команду
cipher/?.
Хотя файлы можно шифровать и по отдельности, компания Microsoft рекомендует
делать это на уровне папок, поскольку отдельно зашифрованные файлы могут под-
вергаться разнообразным манипуляциям или случайно оказаться расшифрованными.
Кроме того, зашифрованные файлы не подлежат сжатию.
Для обеспечения наиболее рационального шифрования файловой системы авторы
советуют прислушаться к рекомендациям по использованию EFS, приведенным в
справочной системе Windows 2000.
270 Часть II. Хакинг систем