Administrator: в поисках сокровищ
Passprop
Еще одним важным дополнительным средством, которое входит в состав NT Resource Kit (NTRK) является утилита Passprop, которая позволяет применить к учетным записям домена NT два следующих требования.
- Пароли, выбираемые пользователями, должны обязательно содержать алфавитные символы как в верхнем, так и в нижнем регистрах или же состоять из символов и цифр.
- Второе требование касается учетной записи Administrator. Как мы уже говорили, эта учетная запись является наилучшим трофеем удачливого взломщика, представляющим собой серьезную опасность для безопасности. К сожалению, исходную встроенную учетную запись Administrator (RID 500) в системе NT заблокировать нельзя, что позволяет взломщикам легко ее идентифицировать и бесконечно долго пытаться подобрать к ней пароль. Утилита Passprop удаляет используемые по умолчанию ограничения NT на блокировку учетной записи администратора. (Учетную запись Administrator можно всегда разблокировать с локальной консоли сервера, что предотвращает попытки спровоцировать состояние DoS.)
Для того чтобы наложить на систему безопасности оба требования, необходимо установить пакет NTRK (или просто скопировать файл passprop.exe, если установка всего пакета NTRK связана с вопросами защиты) и ввести следующую команду в командной строке:
passprop /complex /adminlockout
Для того чтобы вернуть систему в исходное состояние, необходимо запустить утилиту с параметром /noadminlockout.
Аудит и регистрация событий
Даже если никому и не удастся проникнуть в вашу сеть с помощью подбора пароля, так как вы установили библиотеку Passfilt или воспользовались утилитой Passprop, все равно имеет смысл отслеживать все неудачные попытки регистрации. Для этого выберите команду Policies › Audit в диалоговом окне диспетчера пользователей. При этом на экране появится диалоговое окно Audit Policy, представленное ниже.
Журнал безопасности (Security Log), заполненный событиями с идентификаторами 529 или 539 (Logon/Logoff failure и Account Locked Out соответственно), свидетельствует о том, что система подвергается попытке автоматизированного взлома. В большинстве случае журнал позволяет даже установить компьютер, с которого производятся попытки взлома. На рис. 5.1 показано содержимое журнала безопасности после многочисленных неудачных попыток регистрации, предпринятых с помощью утилиты NAT.
Вот подробные сведения о событии с идентификатором 539.
Естественно, регистрация событий ничего не стоит, если не выполняется анализ журналов. Анализировать журналы вручную очень утомительно. К счастью, утилита Event Viewer позволяет фильтровать записи о событиях по дате, типу, источнику, категории, пользователю, компьютеру и идентификатору события.
Рис. 5.1. Журнал безопасности с зарегистрированными неудачными попытками регистрации в сети, выполнявшимися с использованием утилиты NAT