5. Взломы паролей. Меры повышения защищенности паролей.

Методика взлома пароля

1) Получение копии файла БД УЗ

-загрузить другую ОС и скопировать файл SAM

-перехват пароля при сетевой аутентификации

-прямой подбор

-использование службы планировщика Windows

-различные служебные файлы, например, pagefile.sys-используется как дополнительное право при организации виртуальной памяти ПК.

-копирование с диска аварийного восстановления или из WINNT/Repair

-программы, позволяющие заменить пароль нужного пользователя

2) Извлечение парольной информации из похищенной БД

Для получения хэш-пароля из реестров необходимы права админа. Инфа о хэш хранится в строго определенном месте реестра. Можно скачать определенные места и получить с помощью RIDа значение хэш и пароля.

Знание хэша

пароля уже достаточно для сетевого доступа к др. компу.

Для локального доступа можно подобрать пароль с помощью атаки по словарю, либо путем полного перебора. Целесообразно начать со взлома пароля LanManager. Потом изменяя регистры отдельных символов можно найти парольNT.

Меры повышения уровня защищенность пароля.

1) ограничение физического доступа к серверам и ПК:

-недоступный для вскрытия корпус

- в BIOSустановить загрузку только с винчестера и установить пароль наBIOS

- запрет загрузки с отчуждаемых носителей

- форматирование системного раздела в NTFS

- ограничение локального входа

- использование одной ОС на компьютере

2) защита файлов БД УЗ

- сократить число администраторов

- запрет на выход в интернет с сервера

- удаление резервных копий БД УЗ с жесткого диска

- безопасное хранение резервных копий и дисков аварийного восстановления

- запретить запуск на сервере непроверенных программ и программ, использующих

технологию ActилиJava

- ограничение доступа к папке repair

3) отмена хэширования парольной информации на клиентских ПК домена.

Если комп входит в домен, то по умолчанию пользователи и пароль сохраняются в реестре. Это сделано, чтобы пользователи могли войти в систему даже при отсутствии связи. Однако локальный админ может получить инфу из реестра.

4)Дополнительное шифрование уже шифрованных хэш и паролей. Осуществляется дополнительное шифрование на 128 битном ключе , которое при записи в реестр еще дополнительно шифруется с использованием другого 128-битного ключа. Он может хранится в реестре, на сменном носителе, либо формироваться на основе пароля, вводимого при запуске системы.

Отменить режим дополнительного шифрования пароля нельзя, но можно изменить место сохранения пароля.

5. Целесообразно отказаться от хранения ключа запуска в реестре, запретить удаленное управление реестром.

6. Запретить использовать пароль LanManager, а при аутентификации использоватьNTLMверсии 2.

7. Защита паролей от подбора. Уделять большое внимание длине пароля, требование периодической смены пароля и их неповторяемости.Пароль не должен содеражть имя УЗ или ее часть. Длина >=6 символов. Должен содержать символы 3х категорий из следующих 4х:

–прописные буквы английского алфавита

–строчные буквы английского алфавита

–цифры

–символы, принадлежащие не алфавитно-цифровому набору (@ и т.д.)

Следует запретить отображение имен пользователей, имя последнего. Включить блокировку УЗ, после определенного числа неудачных попыток. Учет неудачных попыток. Периодически проводить аудит пароля.