Служба регистрации в ОС windows nt и ее возможности по защите информации

       Windows NT позволяет контролировать локальный доступ к хранящейся на диске информации в соответствии с разрешениями файловой системы. Как известно, NT поддерживает две файловые системы: FAT и NTFS. FAT не имеет средств защиты на уровне локального пользователя, поэтому она используется, только если компьютер имеет альтернативную операционную систему MS-DOS или Windows 95. NTFS - новая файловая система, поддерживаемая только ОС Windows NT. Основным ее отличием от FAT является способность обеспечивать защиту файлов и каталогов в соответствии с правами пользователей.

       NTFS необходимо использовать всегда, когда требуется обеспечить защиту информации. Однако необходимо учитывать, что разрешения NTFS на доступ к данным не действуют в другой операционной системе, отличной от Windows NT.

       Только  шифрование способно надежно защитить информацию от подобных методов прямого  доступа к диску. В Windows NT 4.0 не предусмотрена возможность шифрования на уровне операционной системы (файловая система с этой функцией должна появиться в следующей версии NT).

       В соответствии с российским законодательством, все государственные организации, а также предприятия, на которых  размещаются государственные заказы, должны применять шифровальные средства, имеющие сертификат Федерального агентства  правительственной связи и информации при Президенте РФ. В этом случае для шифрования данных в среде NT можно использовать сертифицированное средство криптографической защиты информации <ВЕРБА-OW>, разработанное Пензенским научно-исследовательским электротехническим институтом.

       Наивысшую же степень защиты информации обеспечивают специализированные контроллеры дисков, способные шифровать на лету любые  данные, записываемые на жесткий диск. На отечественном рынке наибольшее распространение получили шифрующие  контроллеры дисков серии КРИПТОН, имеющие сертификат ФАПСИ.

       Кроме доступа к хранящейся на компьютере информации злоумышленник, как правило, стремится получить права администратора системы или пароли пользователей. В этом случае наибольший интерес  для него представляет файл SAM из каталога WINNT\System32\Config. SAM – это файл, где хранятся учетные записи пользователей и их пароли. Во время работы Windows NT доступ к SAM имеет только администратор. Тем не менее злоумышленник может получить копию этого файла, загрузив с дискеты MS-DOS и свободно скопировав SAM.

       Для извлечения и вскрытия текстовых  паролей из SAM взломщик может использовать одну из доступных в Internet программ, например L0phtCrack. С целью защиты от просмотра пароли в SAM подвергаются специальной криптографической процедуре – хэшированию. Хэш дополнительно шифруется с помощью алгоритма DES, однако эта операция является обратимой, так что значение хэшированного пароля может быть восстановлено в любой момент. В отличие от шифрования, хэширование – необратимая процедура, поэтому восстановить из хэша текстовый пароль можно только путем перебора всех возможных комбинаций. Таким образом, время, необходимое для вскрытия пароля, увеличивается пропорционально длине пароля и количеству используемых символов.

       Windows NT поддерживает пароли длиной до 128 символов, но на практике стандартные программы работы с учетными записями пользователей ограничивают длину пароля 14 символами. Может показаться, что простой перебор всех возможных комбинаций 14-символьного пароля требует применения сверхмощной вычислительной техники, однако это не совсем так. Дело в том, что в действительности файл SAM содержит два хэшированных представления одного и того же пользовательского пароля, полученных с помощью разных алгоритмов. Один хэш – в стандарте Windows NT, другой - в стандарте LAN Manager (этот стандарт используется в целях совместимости с другими сетевыми клиентами, такими, как Windows for Workgroups и Windows 95). Хэшированный пароль стандарта LAN Manager слабо устойчив к взлому, так как каждая из двух половин 14-байтового символьного пароля хэшируется независимо, а результаты затем соединяются. Таким образом, вычисление 14-байтового пароля эквивалентно взлому двух 7-байтовых паролей, что значительно сокращает число возможных комбинаций для перебора. По этой причине все программы вскрытия текстовых паролей пытаются в первую очередь подобрать хэшированный пароль по стандарту LAN Manager. Для защиты базы данных SAM от взлома можно использовать утилиту SYSKEY, входящую в состав Service Pack 3. SYSKEY позволяет дополнительно зашифровать данные в SAM, после чего программы извлечения и восстановления паролей не смогут корректно обрабатывать информацию из этого файла.

       Если  у злоумышленника имеется физический доступ к компьютеру и возможность  загрузки с дискеты, то он может использовать еще один быстрый способ получения  прав администратора системы. Имеющийся  в Internet файл bootdisk.bin (автор - Petter Nordahl-Hagen) представляет собой образ загрузочной дискеты с ОС Linux. Загрузка с такой дискеты приводит к запуску программы, предлагающей сменить пароль любого пользователя операционной системы Windows NT (включая администратора). Эта программа способна модифицировать пароли в файле SAM как в разделе NTFS, так и в FAT. Перед сменой пароля она предлагает сохранить старую копию SAM, которую злоумышленник может использовать впоследствии для восстановления первоначального пароля администратора, чтобы нарушение системы безопасности осталось незамеченным. Данная атака может быть предотвращена за счет дополнительного шифрования информации в SAM с помощью утилиты SYSKEY.

       Непривилегированный пользователь может получить права  администратора непосредственно во время сеанса работы в Windows NT, используя имеющиеся полномочия на каталоги диска и ключи реестра. К примеру, каталог WINNT\REPAIR, где хранится резервная копия системного реестра, доступен по умолчанию для всех пользователей. Используя файл SAM из этого каталога, взломщик способен выяснить пароли других пользователей.

       Для обеспечения высокого уровня защиты администратору следует вручную  задать более жесткие права на объекты файловой системы и ключи  реестра.

       Однако  правильное администрирование не всегда гарантирует надежную защиту. Серьезную угрозу безопасности NT могут представлять ошибки в самой операционной системе. Так, например, широко известная программа GetAdmin.exe использует одну из внутренних системных «дыр» для повышения уровня привилегий локального пользователя и включения его в группу администраторов. Как правило, компания Microsoft оперативно реагирует на сообщения об ошибках в коде ОС Windows NT и выпускает соответствующие «заплаты» (Hot Fix), которые позднее включаются в новые версии сервисных пакетов (Service Pack).

       Организация локальной системы безопасности требует от администратора комплексного подхода, включающего предотвращение физического доступа, ограничение  прав пользователей и задание  надлежащих полномочий на папки диска  и ключи реестра. Вот несколько  основных рекомендаций по защите системы  на базе NT от атак, связанных с локальным  доступом:

       – Windows NT должна быть единственной операционной системой на вашем компьютере;

       – у пользователя не должно быть возможности загрузиться с дискеты;

       – системный блок должен находиться в недоступном для пользователей месте;

       – в качестве файловой системы следует использовать только NTFS;

       – число пользователей с правом локальной регистрации должно быть максимально ограничено (для этого в программе UserManager в меню Policies выберите пункт UsersRights, в списке Rights укажите log on locally и отредактируйте список разрешенных пользователей);

       – при появлении новых версий сервисных пакетов и «заплат» на сервере http://www.microsoft.com их по возможности следует тут же устанавливать.

       3 Безопасная работа в локальной  сети

       Одной из наиболее важных функций локальных  сетей является совместное использование  файлов и печати. Windows NT обеспечивает разделение файлов и печати с помощью двух сетевых сервисов: Workstation и Server. Служба Workstation позволяет компьютерам обращаться к ресурсам в сети. Служба Server предназначена для управления созданием и защитой каталогов и принтеров, а также позволяет компьютеру выполнять роль сервера, предоставляющего свои собственные сетевые ресурсы для общего доступа. Дистанционный доступ к сетевым ресурсам в ОС Windows NT осуществляется по протоколу SMB (Server Message Block); этот протокол применяется также для удаленного управления системой. Ниже рассмотрим вопросы защиты сервера SMB на базе Windows NT.

       Наибольший  интерес с точки зрения безопасности представляет процесс регистрации  пользователей в сети Windows NT по протоколу SMB. C каждым сетевым ресурсом сервера связан список контроля доступа, поэтому любой сеанс связи начинается с процесса регистрации сетевого клиента и проверки его прав на доступ к запрашиваемому сетевому ресурсу. При открытии сеанса связи сервер генерирует случайный 8-байтовый «вызов» и посылает его клиенту. Клиент шифрует по алгоритму DES полученный от сервера «вызов», используя в качестве ключа шифрования 16-байтовый хэшированный пароль из своего файла SAM. Результатом является 24-байтовый «ответ» клиента, который и передается серверу. Как уже упоминалось, в SAM хранятся два хэшированных пароля: хэш Windows NT и хэш LAN Manager. Поэтому клиент формирует два «ответа» общей длиной 48 байт. Сервер в свою очередь проводит аналогичные вычисления, используя собственный «вызов» и хэшированный пароль пользователя из своей базы данных SAM. Полученное в результате значение сервер сравнивает с пришедшим от клиента «ответом»; если они совпадают, то регистрация заканчивается успешно (рисунок 1).

Рисунок 1 – Процедура регистрации в сети

       Перед открытием сеанса связи стороны  договариваются об используемом диалекте SMB. На этом этапе злоумышленник, имеющий  доступ к локальной сети, способен вынудить клиента выслать пароль в открытом виде без применения схемы «вызов-ответ». Применяемый алгоритм сетевой регистрации Windows NT дает злоумышленнику, перехватившему пару «вызов-ответ», возможность подобрать пароль пользователя. Упоминавшаяся ранее программа L0phtCrack способна вычислить текстовые пароли на основании «вызова» сервера и «ответа» клиента. Как и в случае паролей из локальной базы SAM, «ответ» по стандарту LAN Manager наименее устойчив к взлому. В среднем подбор пароля по этому «ответу» занимает только на 40% больше времени, чем прямая атака на хэш LAN Manager из SAM. Вместе с тем администратор может запретить включение пароля LAN Manager в «ответ» клиента. Для этого в ключе HKLM\SYSTEM\CurrentControlSet\Control\LSA параметр LMCompatibilityLevel следует задать равным 2. Однако следует знать, что отключение совместимости с LAN Manager сделает невозможной работу сервера Windows NT с системами, поддерживающими этот протокол (Windows 95, Windows for Workgroups).

       Обратите  внимание, что при формировании «ответа» клиентом используется не сам текстовый пароль, а только его хэшированное представление. Поэтому, если злоумышленнику удастся заполучить хэшированный пароль пользователя, он сможет пройти сетевую регистрацию, не взламывая хэш.

       Итак, основные проблемы безопасности локальной  сети связаны, прежде всего, с возможностью прослушивания сети злоумышленником  и перехвата паролей. Если локальная  сеть построена на базе широковещательного протокола, в частности, Ethernet, то на любом компьютере сетевой адаптер может быть переведен в режим приема всех пакетов – promiscuous mode. Кроме того, сама Microsoft предоставила в распоряжение пользователя прекрасное средство прослушивания сети - Network Monitor. Многие администраторы используют Network Monitor для поиска неисправностей в сети, но при этом они имеют потенциальную возможность перехватывать передаваемую по сети конфиденциальную информацию, например имена и пароли пользователей. Кроме Network Monitor существует ряд специализированных «анализаторов пакетов» (packet sniffer), позволяющих автоматизировать процесс обнаружения паролей NT в прослушиваемом сетевом трафике.

       Для борьбы с прослушиванием следует  жестко контролировать физический доступ к сетевому кабелю, использовать коммутаторы  вместо концентраторов, внимательно  относиться к защите маршрутизаторов. Иногда, по тем или иным причинам, контроль за физическим доступом посторонних лиц к каналам передачи данных оказывается невозможным. В таких случаях можно воспользоваться специальными шифрующими протоколами для организации виртуального канала между клиентом и сервером в соответствии с технологией VPN (Virtual Private Network). Как уже было описано выше, для доступа к сетевым ресурсам сервера клиент должен пройти процедуру регистрации. Для этого ему необходимо знать имя и пароль пользователя, имеющего учетную запись на данном сервере или на контроллере домена. Однако из этого правила есть два исключения: гостевой и анонимный входы. Если на сервере Windows NT учетная запись Guest не заблокирована, то любой незарегистрированный пользователь автоматически получает доступ к сетевым ресурсам с правами Guest. Поэтому разрешать гостевой вход следует с особой осторожностью. C помощью сетевого сканера Legion администратор может выявить все серверы SMB, предоставляющие свои ресурсы для гостевого доступа незарегистрированным пользователям.

       Еще одним способом войти в систему NT без какой-либо регистрации является анонимный вход. Сервер открывает  анонимный сеанс SMB, когда в ответ  на «вызов» клиент посылает пакет с пустым паролем и без имени пользователя. В рамках этого сеанса клиент не получает доступа ни к файлам, ни к принтерам, но имеет доступ к специальному ресурсу IPC$ (Inter Process Communication). Этот ресурс предназначен для создания именованных каналов, которые компьютеры в сети используют для обмена различной служебной информацией (кроме того, именованные каналы применяются для дистанционного управления сервером).