- •Основні складові підсистеми безпеки windows 9x.
- •2. Перелічить, які саме ресурси windows 9x захищаються.
- •3. Структура системного реєструWindows.
- •4. Наведіть приклади окремих ключів системного реєстру, які відіграють значну роль у захисті ос Windows.
- •5. Необхідність створення, місце розташування та зміст файлу парольного кеша windows 9x.
- •023E: Ресурс 0 Ресурс 1
- •6. Принципи шифрування, які використовуються у файлі парольного кешу windows 9x.
- •7. Порівняйте захист файлу парольного кешу у windows v4.0 та Windows v4.1. З якої причини перша вважається менш захищеною?
- •8. Перелічить міри по захисту парольного кешу windows 9x.
- •9. Які методи та програмні засоби використовуються хакерами для злому файлів парольного кешу?
- •10. Основні складові підсистеми безпеки windows 2k.
- •12. Порівняйте принципи побудови файлових систем fat та ntfs. Чому остання дає можливість більш потужного захисту ос windows?
- •13. В чому суть системи захисту та розмежування доступу, які надає файлова система ntfs?
- •14. Роль файлу sam у системі захисту windows 2k. Які мери по обмеженню доступу до нього Ви знаєте?
- •17. Види хешування паролів у windows 2k. Порівняйте їх по криптостійкості.
- •18. Роль системи syskey в захисті облікових записів windows 2k.
- •19. Принцип шифрування з допомогою утиліти syskey. Де можуть зберігатись ключі syskey?
- •20. Загальна характеристика методів атак на файл sam.
- •27. Перелічіть складові комплексних мір по захисту ос Windows 2k від локальних атак
- •28. Адміністрування паролів в Windows 2k
- •29. Адміністрування мережних ресурсів в Windows 2k
- •30. Якім чином та за яких умов здійснюється віддалене адміністрування у windows 2k?
- •Место для 33-35
- •40. Поняття портів комп'ютера. Чи мають вони відношення до портів вводу – виводу?
- •41. Перелічите основні види стану портів комп'ютера.
- •42. Пояснить, чому відкрити порти можуть загрожувати безпеці комп'ютера.
- •43. Tcp та udPмережніпротоколи. Їхособливості. Процедура handshake
- •44. Взаємодіякомп'ютерів у локальноїмережі.
- •Перевагиоб'єднаннякомп'ютерів у локальну мережу
- •Технологія
- •45. Служба NetBios. Чомуїївикористанняпідвищуєнебезпекукомп'ютера при роботі у мережі?
- •46. Пояснить основні принципи мережного сканування.
- •47. Перелічите основні види сканування та деякі програми для його виконання.
- •48. Шляхи запобігання мережному скануванню та визначення атакуючого.
4. Наведіть приклади окремих ключів системного реєстру, які відіграють значну роль у захисті ос Windows.
Файлу SAM також відповідає гілка системного реєстру WINDOWS 2k:
HKEY_LOCAL_MACHINE\SAM\SAM
Для підвищення безпеки в ОС Windows 2k у версіях NT (від SP3), 2000, XP використовується додаткове шифрування парольних хешей за допомогою утиліти SYSKEY. Вона дозволяє включити режим додаткового шифрування облікових записів користувача у файлі SAM. При цьому унікальний 128-бітовий унікальний ключ для шифрування PEK (Password Encryption Key) автоматично зберігається для подальшого використання в системному реєстрі. Перед записом до реєстру цей ключ PEK, у свою чергу шифрується системним ключем (System Key), що по розсуду адміністратора може бути збережений або в реєстрі, або у вигляді файлу STARTUP.KEY у кореневому каталозі «вінчестера» чи на дискеті. Нарешті, System Key узагалі може обчислюватися за допомогою алгоритму MD5 при кожнім запуску системи на основі пароля, що набирається на клавіатурі в діалоговому вікні утиліти SYSKEY. Останні два способи збереження системного ключа забезпечують максимальний захист паролів в облікових записах SAM.
Поточне настроювання режиму SYSKEY відповідає стану ключа SecureBoot у розділі реєстру HKEY_LOKAL_MACHINE\System\CurrentControlSet\Control\LSA
1 – ключ System Key зберігається в реєстрі;
2 – ключ вводиться користувачем при кожнім запуску системи;
3 – ключ записується на дискету.
5. Необхідність створення, місце розташування та зміст файлу парольного кеша windows 9x.
Парольний кеш, що був покликаний зберігати безліч паролів користувача для доступу до різних служб: Веб-пошті, ICQ, IRC, чатам, загальним ресурсам локальної мережі і т.п. Досить було після одноразового введення пароля погодитися з пропозицією "Зберегти пароль у Windows?", як надалі користувач рятувався від запам'ятовування різних паролів, оскільки усі вони зчитувалися з парольного кеша.
Ці файли розміщаються в папці %WinRoot% і мають розширення *.PWL (PassWord List). Вони створюються при першій реєстрації користувача на даному комп'ютері і мають ім'я, що по першим 8 символам збігається з логином користувача. Після кожної реєстрації на комп'ютері користувач одержує доступ до власного файлу парольного кеша, а з його допомогою – до усіх своїх паролів. Якщо логіни користувачів збігаються по першим восьми символах, то імена їхніх файлів парольних кешей будуть також однаковими. Це означає, що користувач, який зареєструвався з таким самим логіном пізніше, може знищити весь парольний кеш свого попередника, замінивши його файл своїм.
Таким чином, під парольним кешем ми розуміємо механізм збереження і повторного використання паролів в операційній системі. Від звичайної бази логінів даний механізм відрізняється саме збереженням додаткових парольних ресурсів і можливістю їхнього використання по спеціальному запиту без участі користувача. Перелік усіх користувачів із вказівкою назв та розміщення відповідних файлів парольних кешей знаходиться в конфігуруючему файлі SYSTEM.INI у секції [Passwords Lists].
Якщо при реєстрації користувач не ввів правильний пароль, то доступ у середовище Windows 9Х йому все-таки не буде перекритий, однак він не зможе користатися паролями, одержаними з кеша.
Структура файлів парольних кешей.
PWL файли бувають двох зовсім різних типів: "старі" PWL файли - створені оригінальною ОС Windows 95 (чи Windows 3.11) і "нові" - створені Windows 95 OSR2 чи Windows 98. Справа в тім, що "старі PWL файли мали досить слабку систему захисту, що дозволяло відразу ж легко прочитати збережені паролі, навіть якщо був невідомий пароль входу в ОС Windows. Відома програма, glide.exe, показує всі паролі, збережені в старому PWL файлі. Пізніше, починаючи з версії Windows OSR2, цей недолік був усунутий, але система захисту парольного кеша все рівно залишилася слабкою. Для того, щоб у цьому переконатися, розглянемо структуру файлів парольного кеша. Для порівняння в таблиці приведені обидва формати:
Зсув |
"Старий" формат PWL-файлу Windows 3.11, Windows 95 (безService Pack) |
"Новий" формат PWL-файлу Windows 95 з SP, Windows OSR2, Windows 98 |
0000:0003 |
Сигнатура - B0 6 4D 4E ("MFN") |
Сигнатура – E3 82 85 96 ("yВЕЦ") |
0004:0007 |
Лічильник користувача |
Лічильник користувача |
0008:107 |
Resource Link Index, таблиця з 256 байт |
|
0008:0009 |
|
Покажчик кількості ресурсів у PWL-файлі |
000A:108 |
|
Resource Link Index, таблиця з 255 байт |
0108 |
Нульовий байт |
|
0109:0207 |
Resource Key Entry, таблиця з 255 байт |
Resource Key Entry, таблиця з 255 байт |
0208:021B |
Ім'я користувача |
|
0208:0250 |
|
Таблиця покажчиків на початки ресурсів |
021C:023D |
Таблиця покажчиків на початки ресурсів |
|
023E:025E |
Ресурс 0 … ресурс F |
|
0251 |
|
Нульовий байт |
052:02AF |
|
Ресурс 0 … ресурс F |
Обидва формати файлів до адреси 0208 мають майже однакову структуру:
0000: 4 байти - магічне число чи сигнатура. Дозволяє відразу ж розпізнати, у якому форматі створений даний PWL-файл.
0004: Подвійне слово, що містить лічильник користувача, указує номер PWL-файлу в комп'ютері.
0008: У "старому" форматі PWL тут починається таблиця, що складається з 256-и елементів. Нульовий байт означає невикористаний елемент. Для розшифровки змісту вона зовсім не потрібна. У "новому" форматі ця таблиця також присутня, але вона менше на один елемент і починається з адреси 000A, а з адреси 0008 у двох байтах "нового" формату позначається кількість ресурсів у файлі.
0108: У "старому" форматі - нульовий байт.
0109: Таблиця Resource Key Entry з 255-и байт. Тепер невикористовуваний елемент позначається вже байтом FF. Тут зберігається інформація в кількості парольних записів у якому-небудь ресурсі. Будь який байт у цій таблиці рівний N (крім "FF") означає, що в ресурсі N мається парольний запис. Повторення N вказують на кілька парольних записів у файлі.
У "старому" форматі:
0208: 20 байт - ім'я користувача у верхньому регістрі, доповнене справа нульовими байтами (російскі літери в альтернативному кодуванні). Це поле служить для визначення дійсності пароля (і одночасно дозволяє цей пароль зламати – див. нижче) .
021C: 17 слів - таблиця покажчиків на початки ресурсів. 21C:зсув у файлі початку ресурсу 0, відносно початку файлу
21E: Зсув у файлі початку ресурсу 1, відносно початку файлу
220: Зсув у файлі початку ресурсу 2, відносно початку файлу
...
23A: Зсув у файлі початку ресурсу F, відносно початку файлу
23C: Зсув першого байта за кінцем файлу (дорівнює довжині файлу).