Несанкционированное получение данных. Получение хэш-кодов паролей WIN 2000.
После получения статуса администратора взломщики обычно стараются получить всю информацию, которую можно будет использовать для последующих вторжений.
Хакеры будут счастливы узнать, что хэш-коды диспетчера локальной сети LanManager (LM) хранится в предлагаемом по умолчанию местоположении WIN 2000 для обеспечения совместимости с клиентами других версий (отличными от Windows NT/2000). Это приводит к проблемам, описанным в главе 5, для устранения которых можно использовать предложенные там же решения. Однако, к небольшому разочарованию хакеров, благодаря некоторым новым свойствам WIN 2000 и, в первую очередь, алгоритму шифрования SYSKEY, стандартные приемы взлома паролей теперь неприменимы. Однако, как будет видно из следующих разделов, не все обстоит так благополучно.
Получение базы данных SAM
На контроллерах доменов WIN 2000 хэш-коды паролей хранятся в файле службы каталогов Active Directory (%windir%\NTDS\ntds.dit). При стандартной конфигурации этот файл занимает порядка 10 Мбайт и хранится в зашифрованном виде, поэтому взломщики вряд ли смогут заполучить его с целью последующего анализа.
Однако интерес для хакеров может представлять файл диспетчера учетных записей защиты SAM (Security Account Manager), содержащийся на компьютерах, не выступающих в роли контроллеров домена. Получение данных этого файла в операционной системе NT 4 не составляло большого труда. Местоположение файла SAM в новой версии операционной системы по прежнему определяется параметром %systemroot%\system32\config, а доступ к файлу блокируется операционной системой. Поэтому получение данных путем загрузки в режиме DOS по-прежнему возможно даже при использовании пятой версии файловой системы NTFS. Для реализации этой задачи можно воспользоваться утилитой NTFSDOS, расположенной по адресу http://www.sysinternals.com/. Местоположение резервной копии файла SAM определяется параметром %systemroot%\repair (этот файл называется SAM, а не SАМ._, как в NT 4). В ней содержится информация обо всех пользователях системы на момент ее установки. В приложение Microsoft Backup v.5 (файл ntbackup.exe) интегрирована утилита rdisk, поэтому с его помощью можно создать аварийный диск. При выборе команды Create Emergency Repair Disk открывается диалоговое окно, в котором нужно указать, следует ли копировать системный реестр в резервный каталог, как показано ниже.
При выборе этого режима весь системный реестр, включая улей SAM, копируется в папку %windir%\ repair\RegBack. Члены группы Users обладают правом чтения информации из этой папки, а члены группы Power Users – правом ее модификации, если диск отформатирован для использования файловой системы NTFS. Следовательно, только члены группы Power Users имеют расширенный доступ к этому файлу, а не все пользователи. Атаки, направленные на получение резервной копии файла SAM, также несколько осложняются тем, что этот файл зашифрован с использованием нового алгоритма шифрования SYSKEY, а на сегодняшний день механизм расшифровки таких файлов (отличный от pwdump2) неизвестен.
Файл SAM в WIN 2000 по умолчанию кодируется с использованием SYSKEY и восстанавливается с помощью средства pwdump2.
Не забывайте очищать каталог Repair \RegBack
Не оставляйте взломщикам никаких шансов – переносите файлы каталога Repair\RegBack на съемный диск или в другое безопасное место. А еще лучше – при запуске утилиты создания диска аварийного восстановления не выбирайте опцию архивации системного реестра.