Получение хэш-кодов паролей

Для взлома паролей в первую очередь нужно достать их хэш-коды из главного контрол­лера домена Windows NT. В этом разделе описываются некоторые способы их получения. Если программу взлома использует администратор, то ему нужно лишь скопировать хэш-коды из PDC, для чего пригодятся утилиты LOphtcrack или PWDump2. Человеку без прав доступа администратора для получения кодов придется воспользоваться одним из пред­ложенных способов:

• перехват паролей в локальной сети;

• загрузка другой операционной системы и копирование базы SAM;

• использование программы LINNT для получения административных прав доступа;

• получение копии файла из с : \winnt\repair или резервного каталога;

• получение копии файла с аварийной системной дискеты.

Как видите, что у хакера есть много способов получить файл с паролями. В следующем разделе приводятся методы защиты, которые помогут уберечь компанию от возможной напасти.

Защита от взлома Windows nt

Не существует абсолютного, универсального метода защиты от взлома паролей. Если у компании есть локальная сеть, подключенная к Internet, внешние или внутренние атаки могут достичь своей цели, т.е. извлечения хэш-кодов и их взлома. Хакеру нужно помешать всеми возможными способами, попытаться максимально увеличить время, необходимое для расшифровки паролей. Например, если кто-то получит хэш-коды, но на их взлом ме­тодом полного перебора уйдет примерно 100 лет, а все пользователи к тому же меняют пароли каждые 90 дней, тогда беспокоиться особо не о чем. Ведь взлом пароля займет слишком много времени, и раскрытая информация не будет представлять никакой ценно­сти, так как безнадежно устареет.

Далее предложено несколько вариантов защиты паролей учетных записей Windows NT:

• отмена аутентификации LAN Manager;

• применение надежных паролей;

• строгие корпоративные правила использования паролей;

• применение системы безопасности SYSKEY;

• использование одноразовых паролей;

• биометрическая регистрация;

• запись доступа ко всем ключевым файлам;

• сканирование системы;

• ведение перечня активных учетных записей;

• ограничение административного доступа к домену.

Чем больше степеней защиты будет использовано, тем лучше для системы. Желатель­но, чтобы администратор применял все вышеуказанные методы. Однако программу SYSKEY следует применять только в самом крайнем случае, причина этого описана далее в разделе "Применение системы SYSKEY".

Отмена аутентификации lan Manager

Понимая, насколько просто взломать большинство паролей, первым делом многие хо­тят немедленно отключить регистрацию LAN Manager и создать более надежные пароли, чтобы для из взлома потребовалось больше времени. Как бы логично это ни звучало, такому решению есть несколько препятствий. Во-первых, если пользователи работают с операционной системой, использующей аутентификацию LAN Manager, то после его от-1 мены пользователи не смогут зарегистрироваться в системе. С аутентификацией LAN Manager работают, в частности Windows 3.1/95. Однако если на всех компьютерах внут­ренней сети установлена Windows 98 или NT, тогда особых проблем не предвидится. Не забывайте старую пословицу: "Семь раз отмерь, один раз отрежь". Многие компании крайне беззаботны и не думают о последствиях своих действий, меняя операционные сис­темы или различные службы, что создает множество проблем, при этом о безопасности системы не будет и речи.

Как-то раз мне позвонил один из клиентов и сказал, что некоторые из пользователей не могут зарегистрироваться в системе. Я стал задавать обычные вопросы: "Вы что-нибудь меняли, и все ли пользователи не могут подключиться одинаково?". И конечно же, после­довал типичный ответ: "Нет, мы ничего не меняли, и трудно понять, почему одни пользо­ватели могут работать, а другие нет". Начав проводить предварительное расследование, я обратил внимание на то, что у пользователей ОС Windows NT все было в порядке, не мог­ли подключится только те, что работали с Windows 95. В результате оказалось, что сетевой администратор компании прочитал информацию, согласно которой отмена аутентифика­ции LAN Manager поможет усилить безопасность сети, а потому он перенастроил реестр всех доменных контроллеров. Отчасти он был прав, это действительно улучшает защиту, но вот догадаться о том, что после этого некоторые пользователи не смогут зарегистри­роваться, он не смог.

Я советую избавится от старых версий ОС Windows и переходить на Windows NT/2000 или Windows 98/ME, что позволит отключить аутентификацию LAN Manager. Хочется еще раз напомнить о концепции наименьшего сопротивления. Хакер всегда пытается най­ти самый легкий способ проникнуть в сеть. И LAN Manager можно считать крайне нена­дежным звеном, хэш-коды этой системы можно взломать за считанные дни. Как сказано в технической документации компании Microsoft, поскольку алгоритм регистрации Win­dows NT или NTLM использует 14 символов с разными регистрами, то понадобится при­мерно 2200 лет, чтобы найти ключи, и 5500 лет, чтобы расшифровать пароль, используя компьютер Pentium Pro 200 МГц. Даже если объединить вместе 100 таких систем, для взлома паролей понадобится около 6 лет. Хотя быстродействие компьютеров постоянно увеличивается, все же несколько лет можно считать надежной гарантией безопасности. И уж конечно, это заведомо лучше, чем несколько дней или пара недель.

Для получения дополнительной информации по отмене аутентификации LAN Manager смотрите статью Q147706 базы знаний Microsoft, которая находится по адресу www.microsoft. com, в разделе Support (поддержка). Саму же базу знаний технической документации можно найти по адресу: http://search.support.microsoft.com/kb/. В главе 11, "Основы Microsoft NT", описываются ключи реестра, которые нужно изме­нить, но в упомянутой статье приведена исчерпывающая информация по этому вопросу. Сотрудники Microsoft создали исчерпывающий набор статей технической документации по решению различных проблем своего программного обеспечения.

Небольшое предупреждение: при изменении значений ключей реестра будьте крайне осторожны. Если удалить или изменить некоторые ключи, система может стать абсолют­но неработоспособной, т.е. придется переустанавливать операционную систему. Если вы никогда этого раньше не делали, лучше посоветуйтесь с опытными специалистами, кото­рые помогут и объяснят, как работать с реестром.

Следующие сведения взяты из статьи Q147706 базы знаний Microsoft. Для отмены ау­тентификации LAN Manager и управления безопасностью NTLM, нужно изменить сле­дующий ключ реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA

У системы LANMAN есть несколько уровней аутентификации, вот основные из них:

Величина: LMCompatibilityLevel

Тип: REG_WORD — число

Интервал: 0-5

По умолчанию: О

Описание: Этот параметр определяет уровень используемой аутентификации

Уровень 0: Отправка ответов LM и NTLM,- не использовать сеанс безопасности NTLMv2

Уровень 1: Дополнительно использовать режим регистрации сеанса NTLMv2

Уровень 2: Только аутентификация NTLM

Уровень 3: Только аутентификация NTLMv2

Уровень 4: Отмена регистрации LM

Уровень 5: Отмена аутентификации LM и NTLM (только NTLMv2)

Кроме того, можно установить минимальный уровень безопасности для приложений, что делается через следующий ключ реестра:

HKEY_LOCAL__MACHINE\System\CurrentControlSet\control\LSA\MSV1_0 Вот значения для этого ключа:

Величина: NtlmMinClientSec

Тип: REG_DWORD — число

Возможный диапазон: логическое "или" любого набора следующих величин:

0x00000010

0X00000020

0X00080000

0X20000000

По умолчанию: О

Величина: NtmlMinServerSec Тип: REG_DWORD — число

Диапазон: тот же, что у NtlmMinClientSec

По умолчанию: О

Описание: Этот параметр определяет минимальный уровень безопасности.-

0X00000010 Целостность сообщения

0x00000020 Конфиденциальность сообщения

0X00080000 Безопасность NTLMv2

0x20000000 Кодирование 128 бит

Для отмены аутентификации LAN Manager необходимо использовать пакет обновив ния Service Pack 4 или выше. Если неизвестно, как отмена LAN Manager повлияет на систему, можно начать с нижнего уровня и постепенно перейти к уровню 4 или 5. Кроме того прежде чем проводить любые изменения в производственной среде, рекомендуется т проверить на тестовом компьютере.