Иллюстрированный самоучитель по защите в Интернет

Уязвимость Windows 2000

  • Уязвимость Windows 2000

    Осенью 1999 года компания Microsoft открыла доступ через Internet к нескольким тестовым серверам с бета-версией операционной системы Windows 2000 Server на узле Windows2000test.com, предлагая всем желающим попытаться взломать этот программный продукт.
  • Предварительный сбор данных

    Как упоминаюсь в главе 1, большинство злоумышленников стараются получить максимум информации, не обращаясь напрямую к интересующему их серверу. Основным источником для предварительного сбора информации является система доменных имен DNS (Domain Name System) – стандартный протокол Internet, обеспечивающий преобразование IP-адресов и осмысленных имен типа www.hackingexposed.com.
  • Сканирование

    Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы. В табл. 6.1 приводится список некоторых портов, прослушиваемых по умолчанию контроллером домена Windows 2000.
  • Инвентаризация

    В главе 3 было показано, как из операционной системы Windows NT 4.0 можно получить сведения об учетных записях, совместно используемых ресурсах и другую информацию. Было показано, что служба NetBIOS передает эти данные анонимным пользователям, проникающим в систему через злополучный нулевой сеанс.
  • Проникновение. Получение пароля NetBIOS или SMB. Получение хэш-кодов паролей.

    Как будет видно из дальнейшего изложения, новая версия операционной системы Windows 2000 подвержена всем тем же типам удаленных атак, что и NT 4. | Получение пароля NetBIOS или SMB | Средства, подобные описанной в главе 5 утилите SMBGrind, пригодны также для получения паролей в системе Windows 2000.
  • Атаки против IIS 5

    По возрастающей популярности с атаками на протоколы NetBIOS или 8MB могут сравниться лишь многочисленные методологии атак на IIS (Internet Information Server), поскольку это единственная служба, обязательно присутствующая в подключенных к Internet системах под управлением NT/2000.
  • Удаленное переполнение буфера. Отказ в обслуживании.

    В главе 5, рассматривался вопрос переполнения буфера для системы Windows NT. В настоящее время выявлено несколько случаев переполнения буфера приложений, работающих под управлением NT/2000, но не самой операционной системы.
  • Расширение привилегий

    Если взломщик смог добраться до учетной записи пользователя в системе Windows 2000, то следующим его желанием станет получение исключительных привилегий – прав администратора. К счастью, операционная система WIN 2000 является более устойчивой, чем ее предшественницы в смысле противостояния таким попыткам (по крайней мере угрозы типа getadmin и sechole ей теперь не страшны).
  • Несанкционированное получение данных. Получение хэш-кодов паролей WIN 2000.

    После получения статуса администратора взломщики обычно стараются получить всю информацию, которую можно будет использовать для последующих вторжений. | Хакеры будут счастливы узнать, что хэш-коды диспетчера локальной сети LanManager (LM) хранится в предлагаемом по умолчанию местоположении WIN 2000 для обеспечения совместимости с клиентами других версий (отличными от Windows NT/2000).
  • Шифрование файловой системы

    Одним из главных достижений WIN 2000 в области безопасности является шифрование файловой системы. Средство EPS (Encrypting File System) – это система шифрования на основе открытого ключа, предназначенная для кодирования данных на диске в реальном времени и предотвращения несанкционированного доступа к ним.
  • Вторжение на доверительную территорию

    Один из основных приемов взломщиков – поиск данных пользователей домена (а не локальной системы). Это позволяет хакерам получить доступ к контроллеру домена и легко обмануть систему безопасности домена.
  • Сокрытие следов. Отключение аудита.

    В WIN 2000 применяются в основном те же средства и приемы сокрытия следов, что и в более ранних версиях операционной системы с небольшими отличиями. Приведем их краткое описание.
  • Очистка журнала регистрации событий

    В WIN 2000 по-прежнему возможна очистка журнала регистрации событий, однако доступ к журналам осуществляется посредством нового интерфейса. Просмотреть различные журналы событий теперь можно через управляющую консоль Computer Management с помощью элемента System Tools › Event Viewer.
  • Сокрытие файлов

    Одной из главных задач хакера после удачного вторжения в систему является надежное сокрытие своего инструментария. В главе 5 обсуждались два способа сокрытия файлов: с помощью команды attrib и файловых потоков.
  • Потайные ходы. Манипуляции в процессе запуска системы.

    Последним пунктом программы хакеров является обеспечение возможности повторного проникновения в систему, усыпив бдительность системных администраторов. | Как упоминалось в главе 5, излюбленный прием хакеров – оставить в системе свои исполняемые файлы, которые будут автоматически запускаться при загрузке системы. Такие возможности по-прежнему имеются в системе WIN 2000.
  • Удаленное управление

    Все описанные в главе 5 механизмы удаленного управления по-прежнему работают в новой версии операционной системы. Утилита remote из набора NTRK теперь входит в состав средств поддержки WIN 2000 Support Tools (как и многие другие базовые утилиты NTRK).
  • Регистраторы нажатия клавиш. Политика групп.

    В WIN 2000 по-прежнему хорошо работают программы, регистрирующие нажатия клавиш, NetBus и Invisible Key Logger Stealth (IKS), описанные в главе 5. | Контрмеры общего назначения: новые средства обеспечения безопасности Windows | В WIN 2000 включены новые средства обеспечения безопасности.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.