- •Взлом паролей Windows nt
- •Где хранятся пароли?
- •Как зашифровываются пароли?
- •Без соли
- •Производительность lOphtcrack
- •Использование lOphtcrack
- •Меню File
- •Меню Tools
- •Меню Window
- •Меню Help
- •Запуск lOphtcrack
- •Работа с программой
- •Получение хэш-кодов паролей
- •Защита от взлома Windows nt
- •Отмена аутентификации lan Manager
- •Применение надежных паролей
- •Правила использования паролей
- •Применение системы syskey
- •Одноразовые пароли
- •Биометрическая аутентификация
- •Контроль за доступом ко всем важным файлам
- •Поиск программ взлома
- •Ведение перечня активных учетных записей
- •Ограничение доступа
Применение надежных паролей
Если бы люди жили в идеальном мире, то все подчинялись бы определенным законам и правилам, пользователи без лишних вопросов использовали бы надежные пароли. К сожалению, все происходит с точностью до наоборот. Как правило, без определенного принуждения не обойтись, для усиления паролей приходится создавать специальные программные I механизмы, которым пользователи вынуждены будут подчиняться. Безусловно, 100% служащих заставить не удастся, но все же определенных успехов на этом поприще достичь можно.
В ОС Windows NT по умолчанию встроены средства для проверки качества паролей. I Одно из наиболее важных средств— это политика учетных записей, которая устанавливается в меню User Manager (администратор пользователей), как показано на рис. 9.7. .
Рис.
9.7. Окно
Account
Policy
В пакете обновления Service Pack 2 для Windows 4.0 был представлен фильтр паролей passf ilt. dll, который вводит следующие правила:
• минимальная длина пароля — 5 символов;
• в пароле, как минимум, должны быть буквы верхнего и нижнего регистров, цифры и специальные символы;
• паролем не может быть имя пользователя (ID).
Необходимо заметить, что если в политике учетных записей минимальная длина пароля будет 8 символов, а в passf ilt. dll — 6 символов, то применяться будет тот, который больше. Данный фильтр несмотря на все преимущества, имеет некоторые ограничения. Как было сказано, в пароле должны быть буквы верхнего и нижнего регистров, цифры и специальные символы, что и определено в passf ilt. dll. Но дело в том, что эти ограничения на применение паролей закодированы в самом модуле .dll, и только опытный программист сможет этот модуль изменить, устанавливая другие параметры. Для этого есть специальный код от Microsoft.
Еще один способ усилить пароли заключается в применении программы passprop, которая поставляется в комплекте NT Server Resource Kit. Программа выполняет те же функции, что и модуль passfilt, однако ее легче использовать и настраивать. Для установки приложения нужно запустить исполняемый файл и перезагрузить систему. Когда пользователь будет вводить пароль, не соответствующий правилам passprop, он увидит понятное предупреждающее сообщение. В любом случае, я рекомендую использовать именно passprop как наиболее удобную программу этого типа.
Для работы с passfilt. dll придется изменить некоторые ключи системного реестра. Не забывайте быть при этом максимально осторожными, так как реестр очень тонкая и хрупкая система. Прежде чем начать изменения, не помешает сделать резервную копию, например с помощью утилиты regback, которую можно найти в NT Server Resource Kit. При установке passfilt. dll необходимо сделать следующее.
1. Установите самый новый пакет обновления для ОС Windows Server NT 4.0.
2. Убедитесь в том, что passfilt.dll находится в каталоге % SYSTEMROOT! \SYSTEM32.
3. Запустите файл regedt32 . ехе.
4. Найдите следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
5. Добавьте в ключ реестра REG_MULTI_SZ величину Notification Packages если ее еще нет.
• Выберите ключ LSA.
• Выберите меню Edit (правка), и затем Add Value (добавить значение). Появится необходимое диалоговое окно.
• Наберите Notification Packages в строке диалогового окна, в выпадающем списке Data Type выберите REG_MtJLTI_SZ и щелкните ОК. Затем появится окно меню Multi-String Editor.
• В строке диалогового окна наберите PASSFILT и щелкните ОК.
6. Закройте окно реестра.
7. Перезагрузите систему.
После этого модуль passfilt. dll будет загружен в главный контроллер домена, равно как и во все резервные контроллеры.
Очень часто люди допускают типичную ошибку, устанавливая файл только в резервном или главном контроллере домена. В результате может получится так, что ограничение на тип используемого пароля будет действовать только у некоторых пользователей. Если такое случилось, значит, был пропущен один из контроллеров домена.