Инвентаризация сетевых ресурсов NT/2000
Универсальное средство инвентаризации: утилита еnum
Эта утилита была разработана группой Razor компании Bindview. В ней реализованы возможности всех других средств инвентаризации NetBIOS. Разработчики назвали эту программу enum, и это очень подходит для данной главы. Утилиту enum можно найти по адресу http://razor.bind-view.com. В приведенном ниже листинге представлены возможные Параметры командной строки. Из листинга видно, насколько всесторонние возможности предоставляет эта утилита.
D:\Toolbox> enum
Использование:
enum [параметры] [имя_узла|IP-адрес]
- -U: получить список пользователей
- -М: получить список узлов
- -N: получить дамп имен (в отличие от -U|-M)
- -S: получить список совместно используемых ресурсов
- -Р: получить данные о принятой политике шифрования паролями
- -G: получить список групп и их членов
- -L: получить данные о политике LSA
- -D: взлом с использованием словаря, требуется -u и -f
- -d: с детализацией, применяется к -U и -S
- -с: не прерывать сеанс
- -и: задает имя пользователя (по умолчанию " ")
- -р: задает пароль (по умолчанию " ")
- -f: задает файл словаря (для -D)
Утилита enum позволяет автоматически устанавливать и завершать нулевой сеанс. Отдельного упоминания заслуживает параметр -Р, предоставляющий информацию о принятой политике шифрования паролями. С его помощью взломщики могут оценить возможность удаленного определения пользовательских паролей (с помощью параметров -о, -u и -f) до того момента, как будет найден наиболее легкий из них. Более подробно утилита еnum будет рассматриваться в следующем разделе, посвященном инвентаризации учетных записей пользователей NT/2000.
Инвентаризация NetBIOS: контрмеры
Практически во всех рассмотренных выше приемах задействуется механизм передачи данных NetBIOS, так что при запрещении доступа к портам TCP и UDP с 135 до 139 все попытки получения информации окажутся неудачными. Для этого лучше всего заблокировать доступ к этим портам с использованием маршрутизатора, брандмауэра или любого другого устройства управления доступом.
В разделе, посвященном нулевым сеансам, вы узнали, как запретить использование протокола NetBIOS поверх TCP/IP и нужным образом настроить параметр системного реестра RestrictAnonymous. Это позволит предотвратить опасность извлечения важных данных посредством установки анонимных соединений. Однако правильное конфигурирование параметра RestrictAnonymous не способно заблокировать запросы, сгенерированные с использованием команд net view и nbtstat. Кроме того, не забывайте о том, что в системе WIN 2000 некоторую информацию можно получить и через порт TCP/UDP с номером 445, так что доступ к этом порту также целесообразно заблокировать.
Инвентаризация SNMP NT/2000
Даже если вы сделали все, чтобы предотвратить доступ к службам NetBIOS, с компьютера NT/2000 по-прежнему можно получить аналогичную информацию, если на нем запущен агент SNMP (Simple Network Management Protocol). Доступ к этому агенту можно получить с помощью строки доступа public, используемой по умолчанию. В таких случаях инвентаризация пользователей NT через протокол SNMP с помощью программы sranputil из комплекта NTRK превращается в увеселительную прогулку как в прямом (от английского слова walk ("пройтись"), фигурирующего в качестве параметра), так и в переносном смысле.
С:\> snmputil walk 192.168.202.33 public.1.3.6.1.4.1.77.1.2.25 Variable =.iso.org.dod. internet.private.enterprises.lanmanager. lanmgr-2.server.svUserTable. svUserEntry.svUserName.5. 71.117.101.115.116 Value = OCTET STRING – Guest Variable =.iso.org.dod.internet. private.enterprises.lanmanager. lanmgr-2.server .svUserTable.svUserEntry.svUserName.13. 65.100.109.105.110.105.115.116.114.97.116.111.114 Value=OCTET STRING – Administrator End of MIB subtree.
В приведенном выше примере запуска утилиты snmputil последний параметр (.1.3.6.1.4.1.77.1.2.25) – это идентификатор объекта (OID – Object Identifier), который в соответствии с требованиями протокола SNMP определяет ветвь информационной управляющей базы (MIB – Management Information Base) компании Microsoft. База MIB – это иерархическое пространство имен, поэтому "прогулка" по всему дереву (т.е. использование менее точного значения, например.1.3.6.1.4.1.77) приведет к получению слишком больших объемов информации.