- •Взлом паролей Windows nt
- •Где хранятся пароли?
- •Как зашифровываются пароли?
- •Без соли
- •Производительность lOphtcrack
- •Использование lOphtcrack
- •Меню File
- •Меню Tools
- •Меню Window
- •Меню Help
- •Запуск lOphtcrack
- •Работа с программой
- •Получение хэш-кодов паролей
- •Защита от взлома Windows nt
- •Отмена аутентификации lan Manager
- •Применение надежных паролей
- •Правила использования паролей
- •Применение системы syskey
- •Одноразовые пароли
- •Биометрическая аутентификация
- •Контроль за доступом ко всем важным файлам
- •Поиск программ взлома
- •Ведение перечня активных учетных записей
- •Ограничение доступа
Получение хэш-кодов паролей
Для взлома паролей в первую очередь нужно достать их хэш-коды из главного контроллера домена Windows NT. В этом разделе описываются некоторые способы их получения. Если программу взлома использует администратор, то ему нужно лишь скопировать хэш-коды из PDC, для чего пригодятся утилиты LOphtcrack или PWDump2. Человеку без прав доступа администратора для получения кодов придется воспользоваться одним из предложенных способов:
• перехват паролей в локальной сети;
• загрузка другой операционной системы и копирование базы SAM;
• использование программы LINNT для получения административных прав доступа;
• получение копии файла из с : \winnt\repair или резервного каталога;
• получение копии файла с аварийной системной дискеты.
Как видите, что у хакера есть много способов получить файл с паролями. В следующем разделе приводятся методы защиты, которые помогут уберечь компанию от возможной напасти.
Защита от взлома Windows nt
Не существует абсолютного, универсального метода защиты от взлома паролей. Если у компании есть локальная сеть, подключенная к Internet, внешние или внутренние атаки могут достичь своей цели, т.е. извлечения хэш-кодов и их взлома. Хакеру нужно помешать всеми возможными способами, попытаться максимально увеличить время, необходимое для расшифровки паролей. Например, если кто-то получит хэш-коды, но на их взлом методом полного перебора уйдет примерно 100 лет, а все пользователи к тому же меняют пароли каждые 90 дней, тогда беспокоиться особо не о чем. Ведь взлом пароля займет слишком много времени, и раскрытая информация не будет представлять никакой ценности, так как безнадежно устареет.
Далее предложено несколько вариантов защиты паролей учетных записей Windows NT:
• отмена аутентификации LAN Manager;
• применение надежных паролей;
• строгие корпоративные правила использования паролей;
• применение системы безопасности SYSKEY;
• использование одноразовых паролей;
• биометрическая регистрация;
• запись доступа ко всем ключевым файлам;
• сканирование системы;
• ведение перечня активных учетных записей;
• ограничение административного доступа к домену.
Чем больше степеней защиты будет использовано, тем лучше для системы. Желательно, чтобы администратор применял все вышеуказанные методы. Однако программу SYSKEY следует применять только в самом крайнем случае, причина этого описана далее в разделе "Применение системы SYSKEY".
Отмена аутентификации lan Manager
Понимая, насколько просто взломать большинство паролей, первым делом многие хотят немедленно отключить регистрацию LAN Manager и создать более надежные пароли, чтобы для из взлома потребовалось больше времени. Как бы логично это ни звучало, такому решению есть несколько препятствий. Во-первых, если пользователи работают с операционной системой, использующей аутентификацию LAN Manager, то после его от-1 мены пользователи не смогут зарегистрироваться в системе. С аутентификацией LAN Manager работают, в частности Windows 3.1/95. Однако если на всех компьютерах внутренней сети установлена Windows 98 или NT, тогда особых проблем не предвидится. Не забывайте старую пословицу: "Семь раз отмерь, один раз отрежь". Многие компании крайне беззаботны и не думают о последствиях своих действий, меняя операционные системы или различные службы, что создает множество проблем, при этом о безопасности системы не будет и речи.
Как-то раз мне позвонил один из клиентов и сказал, что некоторые из пользователей не могут зарегистрироваться в системе. Я стал задавать обычные вопросы: "Вы что-нибудь меняли, и все ли пользователи не могут подключиться одинаково?". И конечно же, последовал типичный ответ: "Нет, мы ничего не меняли, и трудно понять, почему одни пользователи могут работать, а другие нет". Начав проводить предварительное расследование, я обратил внимание на то, что у пользователей ОС Windows NT все было в порядке, не могли подключится только те, что работали с Windows 95. В результате оказалось, что сетевой администратор компании прочитал информацию, согласно которой отмена аутентификации LAN Manager поможет усилить безопасность сети, а потому он перенастроил реестр всех доменных контроллеров. Отчасти он был прав, это действительно улучшает защиту, но вот догадаться о том, что после этого некоторые пользователи не смогут зарегистрироваться, он не смог.
Я советую избавится от старых версий ОС Windows и переходить на Windows NT/2000 или Windows 98/ME, что позволит отключить аутентификацию LAN Manager. Хочется еще раз напомнить о концепции наименьшего сопротивления. Хакер всегда пытается найти самый легкий способ проникнуть в сеть. И LAN Manager можно считать крайне ненадежным звеном, хэш-коды этой системы можно взломать за считанные дни. Как сказано в технической документации компании Microsoft, поскольку алгоритм регистрации Windows NT или NTLM использует 14 символов с разными регистрами, то понадобится примерно 2200 лет, чтобы найти ключи, и 5500 лет, чтобы расшифровать пароль, используя компьютер Pentium Pro 200 МГц. Даже если объединить вместе 100 таких систем, для взлома паролей понадобится около 6 лет. Хотя быстродействие компьютеров постоянно увеличивается, все же несколько лет можно считать надежной гарантией безопасности. И уж конечно, это заведомо лучше, чем несколько дней или пара недель.
Для получения дополнительной информации по отмене аутентификации LAN Manager смотрите статью Q147706 базы знаний Microsoft, которая находится по адресу www.microsoft. com, в разделе Support (поддержка). Саму же базу знаний технической документации можно найти по адресу: http://search.support.microsoft.com/kb/. В главе 11, "Основы Microsoft NT", описываются ключи реестра, которые нужно изменить, но в упомянутой статье приведена исчерпывающая информация по этому вопросу. Сотрудники Microsoft создали исчерпывающий набор статей технической документации по решению различных проблем своего программного обеспечения.
Небольшое предупреждение: при изменении значений ключей реестра будьте крайне осторожны. Если удалить или изменить некоторые ключи, система может стать абсолютно неработоспособной, т.е. придется переустанавливать операционную систему. Если вы никогда этого раньше не делали, лучше посоветуйтесь с опытными специалистами, которые помогут и объяснят, как работать с реестром.
Следующие сведения взяты из статьи Q147706 базы знаний Microsoft. Для отмены аутентификации LAN Manager и управления безопасностью NTLM, нужно изменить следующий ключ реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
У системы LANMAN есть несколько уровней аутентификации, вот основные из них:
Величина: LMCompatibilityLevel
Тип: REG_WORD — число
Интервал: 0-5
По умолчанию: О
Описание: Этот параметр определяет уровень используемой аутентификации
Уровень 0: Отправка ответов LM и NTLM,- не использовать сеанс безопасности NTLMv2
Уровень 1: Дополнительно использовать режим регистрации сеанса NTLMv2
Уровень 2: Только аутентификация NTLM
Уровень 3: Только аутентификация NTLMv2
Уровень 4: Отмена регистрации LM
Уровень 5: Отмена аутентификации LM и NTLM (только NTLMv2)
Кроме того, можно установить минимальный уровень безопасности для приложений, что делается через следующий ключ реестра:
HKEY_LOCAL__MACHINE\System\CurrentControlSet\control\LSA\MSV1_0 Вот значения для этого ключа:
Величина: NtlmMinClientSec
Тип: REG_DWORD — число
Возможный диапазон: логическое "или" любого набора следующих величин:
0x00000010
0X00000020
0X00080000
0X20000000
По умолчанию: О
Величина: NtmlMinServerSec Тип: REG_DWORD — число
Диапазон: тот же, что у NtlmMinClientSec
По умолчанию: О
Описание: Этот параметр определяет минимальный уровень безопасности.-
0X00000010 Целостность сообщения
0x00000020 Конфиденциальность сообщения
0X00080000 Безопасность NTLMv2
0x20000000 Кодирование 128 бит
Для отмены аутентификации LAN Manager необходимо использовать пакет обновив ния Service Pack 4 или выше. Если неизвестно, как отмена LAN Manager повлияет на систему, можно начать с нижнего уровня и постепенно перейти к уровню 4 или 5. Кроме того прежде чем проводить любые изменения в производственной среде, рекомендуется т проверить на тестовом компьютере.