Инвентаризация пользователей и групп NT/2000
Идентификация учетных записей с помощью утилит user2sid/sid2user
Двумя другими чрезвычайно мощными средствами инвентаризации NT/2000 являются утилиты sid2user и user2sid, написанные Евгением Рудным (Evgenii Rudnyi). Эти утилиты командной строки позволяют получить идентификатор защиты пользователя (SID – Security ID) no его идентификатору и наоборот. SID – это числовое значение переменной длины, назначаемое системой NT во время установки. Хорошее описание структуры и функций SID приведено в статье Марка Русиновича (Mark Russinovich). После получения с помощью утилиты user2sid идентификатора SID домена взломщик может использовать его для извлечения соответствующих имен пользователей. Например:
C:\> user2sid \\ 192.168.202.33 "domain users" S-1-5-21-8915387-1645822062-1819828000-513 Number of subauthorities is 5 Domain is WINDOWSNT Length of SID in memory is 28 bytes Type of SID is SidTypeGroup
Таким образом, мы получили SID компьютера, представляющий собой строку, начинающуюся с S-1 и нескольких чисел, разделенных дефисами. Последнее число последовательности называется относительным идентификатором (RID – Relative ID), значение которого для встроенных групп и пользователей Windows NT/2000, таких как Administrator или Guest, определено по умолчанию. Например, RID пользователя Administrator всегда равен 500, а пользователя Guest – 501. Вооружившись этой информацией, хакер может с помощью утилиты sid2user и RID 500, добавленного к SID, узнать имя пользователя, являющегося администратором, даже если учетная запись Administrator была переименована.
C:\> sid2user \\192.168.2.33 5 21 8915387 1645822062 18198280005 500 Name is godzilla Domain is WINDOWSNT Type of SID is SidTypeUser
Обратите внимание, что префикс S-1 и дефисы опущены. Еше одним интересным фактом является то, что первой учетной записи, созданной в любой локальной системе или домене NT/2000, присваивается RID 1000, а каждому последующему объекту – следующий номер (1001, 1002, 1003 и т.д.), причем при удалении объекта его номер уже никогда не используется при создании новых объектов. Таким образом, узнав лишь SID, хакер может получить сведения практически обо всех пользователях и группах системы, работающей под управлением Windows NT/2000, как в прошлом, так и в настоящем. Самое важное, что утилиты sid2user и user2sid работают даже в тех случаях, когда включен режим RestrictAnonumous (см. выше) – лишь бы только был открыт порт 139. Есть над чем подумать, не так ли?
Пример сценария, который можно использовать для применения утилит sid2user/user2sid, содержится ниже в разделе "Позвольте Сценариям Выполнить Всю Работу".
Инвентаризация пользователей через протокол NetBIOS: контрмеры
Хотя меры защиты против рассмотренных выше приемов инвентаризации уже рассматривались, не лишним будет упомянуть о них еще раз.
Для блокировки запросов к таблице имен NetBIOS с помощью таких утилит, как nbtstat и nbtscan, лучше всего запретить доступ к TCP- и UDP-портам с номерами 135-139 и 445. В противном случае данные о пользователям можно защитить лишь одним способом – запретив использование служб Alerter и Messenger на отдельных узлах. Способ запуска этих служб при загрузке компьютера можно задать с помощью аплета Services панели управления.
Зашита данных, которые можно получить путем открытия нулевого сеанса с использованием утилиты DumpSec, может быть обеспечена при установке соответствующего значения (типа REG_DWORD, 1 для NT4 и 2 для WIN 2000) для параметра RestrictAnonymous системного реестра. Его можно найти в поддереве HKLM\SYSTEM\CurrentControlSet\ Control\LSA.
Предотвратить попытки извлечения данных с помощью утилит sid2user/user2sid можно лишь одним способом, а именно запретив доступ к портам 139 и 445.
Инвентаризация пользовательских учетных записей с помощью протокола SNMP
Не забывайте о том, что компьютеры под управлением системы Windows, на которых запущен агент SNMP, будут предоставапять информацию об учетных записях таким средствам, как, например, утилита IP Network Browser от компании Solar Winds (см. рис. 3.3 выше в данной главе). Более подробные сведения о мерах защиты против инвентаризации SN М Р содержатся в предыдущем разделе.