Удаленное управление
Все описанные в главе 5 механизмы удаленного управления по-прежнему работают в новой версии операционной системы. Утилита remote из набора NTRK теперь входит в состав средств поддержки WIN 2000 Support Tools (как и многие другие базовые утилиты NTRK). Обновленная версия этой утилиты называется wsremote, но ее функциональность в целом сохранилась. Средства NetBus и WinVNC не претерпели никаких изменений. В WIN 2000 может работать и утилита Back Orifice 2000 (ВО2К), поэтому особо беспечным администраторам, которые потешались над возможностью работы исходной версии ВО только в среде WIN 9x, теперь будет не до шуток.
Терминальный сервер
Значительным новшеством WIN 2000 является включение терминальных служб в состав базовых серверных продуктов. Дополнительно устанавливаемый терминальный сервер превращает WIN 2000 в абсолютно новую систему, позволяющую выполнять клиентские процессы на центральном процессоре сервера. Во всех предыдущих версиях Windows, за исключением отдельного продукта NT Terminal Server Edition, все клиентские программы всегда выполнялись процессором клиента. Для пользователей операционной системы UNIX и больших машин такой подход не нов, однако администраторам NT/2000, безусловно, понадобится некоторое время, чтобы научиться отличать удаленные интерактивные сеансы от сеансов работы в режиме консоли.
Из предыдущего раздела, посвященного сканированию, ясно, что верным признаком терминального сервера является открытый TCP-порт 3389. При его выяснении хакеры наверняка постараются воспользоваться клиентом терминальной службы (тем более, что его установочный комплект занимает две дискеты и находится в каталоге %windir%\ system32\clients сервера WIN 2000) и предпринять атаку, направленную на взлом пароля учетной записи администратора. Если эта учетная запись является интерактивной, то взломщики беспрепятственно продолжат атаковать контроллер домена WIN 2000, даже если включен режим блокировки пароля passprop /adminlockout (более подробная информация об этом содержится в главе 5). Однако процесс подключения клиента терминальной службы после пяти неудачных попыток прекращается, поэтому для взлома пароля потребуется немало времени.
Выявление отключенных соединений с терминальным сервером
Что может сделать взломщик, имея привилегии администратора на терминальном сервере? Если на момент подключения хакера с данными учетной записи Administrator последний представитель из группы администраторов забыл завершить терминальный сеанс (или несколько сеансов), то взломщик получит следующее информационное сообщение.
Выбрав один из открытых сеансов, хакер может получить доступ к конфиденциальным документам или другим секретным данным, а также автоматически получить доступ к работающим приложениям, которые в другое время ему пришлось бы запускать вручную.
Завершение терминальных сеансов
Если просто закрыть окно клиента терминального сеанса или щелкнуть на кнопке Disconnect, сеанс останется активным. Для завершения терминального сеанса необходимо выбрать соответствующую опцию при выполнении команды Start › Shutdown или воспользоваться комбинацией клавиш CTRL + ALT + End в режиме работы клиента терминального сервера. Приведем список других клавиатурных эквивалентов команд, доступных в режиме работы клиента терминального сервера.
- CTRL + ALT + End – Открывает диалоговое окно безопасности Windows
- ALT + Page Up – Позволяет переключаться между программами слева направо
- ALT + Page Down – Позволяет переключаться между программами справа налево
- ALT + Ins – Позволяет переключаться между программами в порядке их запуска
- ALT + Home – Отображает меню Start
- CTRL + ALT + Break – Выполняет переключение между оконным и полноэкранным режимом
- ALT + Del – Отображает всплывающее меню данного окна
- CTRL + ALT + минус(-) Помещает копию активного окна на компьютере клиента в буфер обмена терминального сервера (выполняет ту же функцию, что и ALT + Print Screen на локальном компьютере). Для выполнения этой операции используется клавиша - на цифровой клавиатуре
- CTRL + ALT + плюс(+) Помещает копию всей области экрана компьютера клиента в буфер обмена терминального сервера (выполняет ту же функцию, что и Print Screen на локальном компьютере). Для выполнения этой операции используется клавиша + на цифровой клавиатуре.
Во время подготовки этой книги к печати по адресу http://marvin.criadvcmtage.com/caspian/Software/SSHD-NT/default.php появился набор бесплатных утилит Linux для DOS SSHD-NT. Утилиты SSH (Secure Shell) в течение многих лет обеспечивают безопасность удаленного управления UNIX-системами, поэтому на них возлагаются большие надежды и в области удаленного управления WIN 2000. Предполагается, что набор SSHD-NT составит достойную альтернативу терминальному серверу в смысле безопасного удаленного управления из командной строки. Более подробная информация по SSH содержится в разделе часто задаваемых вопросов по Secure Shell по адресу http://www.employees.org/~satch/ssh/faq/ssh-faq.html.