ÃÂÕáÛãçÃÂÙÃÂÞ CUDA ØÔÕÃÂœ? phpMyAdmin - Xakep Online
ÃÂÕáÛãçÃÂÙÃÂÞ CUDA ØÔÕÃÂœ? phpMyAdmin - Xakep Online
ÃÂÕáÛãçÃÂÙÃÂÞ CUDA ØÔÕÃÂœ? phpMyAdmin - Xakep Online
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
SYN/ACK<br />
DNS<br />
Запрос адреса<br />
хоста<br />
у контроллера<br />
данного домена<br />
Запрошенный адрес<br />
Запрос LDAP<br />
Клиент<br />
Ответ LDAP<br />
Контроллер<br />
домена<br />
ôàéëîâ SAM, Sniff è ñîçäàííûõ äðóãèìè<br />
óòèëèòàìè (LC, LCS è PwDump). Ðåàëèçîâàíî<br />
òðè òèïà àòàê äëÿ ïîäáîðà ïàðîëåé ïî õýøàì:<br />
àòàêà ïî ñëîâàðþ, ãèáðèäíàÿ àòàêà ïî ñëîâàðþ<br />
è brute force.<br />
Èìåííî ïî ýòèì ïðè÷èíàì íà ñìåíó ïðîòîêîëó<br />
ñåòåâîé àóòåíòèôèêàöèè NTLMv1<br />
ïðèøåë NTLMv2. Íîâàÿ ðåàëèçàöèÿ âî ìíîãîì<br />
ïîõîæà íà ñâîåãî ïðåäøåñòâåííèêà, íî õýø<br />
îáðàçóåò áîëåå óñòîé÷èâûé ê âçëîìó àëãîðèòì<br />
HMAC-MD5, à ïðè çàïðîñå èñïîëüçóåòñÿ<br />
128-ðàçðÿäíûé êëþ÷. ×òîáû ñäåëàòü íåâîçìîæíûìè<br />
íåêîòîðûå àòàêè, ãäå ïðîèãðûâàþòñÿ<br />
ðàíåå çàïèñàííûå ó÷åòíûå äàííûå, â<br />
NTLMv2 ââåäåíà ìåòêà âðåìåíè. Â äîìåííîé<br />
ñðåäå NTLMv2 ïðèìåíÿåòñÿ âìåñòî Kerberos<br />
â ñèòóàöèÿõ: àóòåíòèôèêàöèÿ ïî IP-àäðåñó, â<br />
ðàáî÷åé ãðóïïå, åñëè êëèåíò íå ïðèíàäëåæèò<br />
äîìåíó èëè òåêóùåìó ëåñó (â òîì ñëó÷àå åñëè<br />
íå óñòàíîâëåíî äîâåðèòåëüíîå îòíîøåíèå), è<br />
ïðè íåâîçìîæíîñòè èñïîëüçîâàíèÿ Kerberos<br />
(íàïðèìåð, áëîêèðîâêà firewall). Åñòü åùå<br />
âàðèàíòû, íî î íèõ ÷óòü äàëüøå.<br />
Çàïðåòèòü õðàíåíèå LM-õýøåé â Windows 2k/<br />
XP/2k3 äîâîëüíî ïðîñòî: äëÿ ýòîãî íåîáõîäèìî<br />
äîáàâèòü â ðååñòð ïàðàìåòð NoLMHash<br />
òèïà DWORD â ðàçäåë HKLM\SYSTEM\<br />
CurrentControlSet\Control\Lsa ñî çíà÷åíèåì 1<br />
(ïîäðîáíåå î çàïðåùåíèè õðàíåíèÿ LM-õýøåé<br />
ìîæíî ïðî÷èòàòü â ñòàòüå KB299656). Êñòàòè,<br />
åñëè äëèíà ïàðîëÿ áîëåå 15 ñèìâîëîâ, òî<br />
ñîõðàíåííûé LM-õýø íåëüçÿ èñïîëüçîâàòü äëÿ<br />
àóòåíòèôèêàöèè, à çíà÷èò, îí íåïðèãîäåí è<br />
äëÿ âçëîìà.<br />
Ïàðàìåòð òèïà DWORD LMCompatibilityLevel<br />
â ýòîì æå ðàçäåëå ïîçâîëÿåò ðàçðåøèòü LMàóòåíòèôèêàöèþ<br />
òîëüêî ïî çàïðîñó ñåðâåðà<br />
èëè âîîáùå çàïðåòèòü. Çäåñü óêàçûâàåòñÿ îäíî<br />
èç 6 çíà÷åíèé:<br />
0 (ïî óìîë÷àíèþ) — èñïîëüçîâàòü LM- è<br />
NT-îòâåòû, NTLMv2 îòêëþ÷åí<br />
1 — èñïîëüçîâàòü ïðè íåîáõîäèìîñòè<br />
NTLMv2<br />
2 — òîëüêî NT-îòâåò<br />
3 — òîëüêî NTLMv2<br />
4 — îòêàçûâàòü êîíòðîëëåðó äîìåíà â<br />
LM-àóòåíòèôèêàöèè<br />
5 — îòêàçûâàòü êîíòðîëëåðó äîìåíà<br />
â LM- è NT-àóòåíòèôèêàöèè, òîëüêî<br />
NTLMv2<br />
 äîìåííîé ñðåäå ïðîùå âîñïîëüçîâàòüñÿ<br />
âîçìîæíîñòÿìè ãðóïïîâîé ïîëèòèêè (Group<br />
Policy Object), âûáðàâ â ðåäàêòîðå GPO ïóíêò<br />
«Ïàðàìåòðû áåçîïàñíîñòè» ïî ìàðøðóòó<br />
«Êîíôèãóðàöèÿ êîìïüþòåðà Êîíôèãóðàöèÿ<br />
Windows Ïàðàìåòðû áåçîïàñíîñòè Ëîêàëüíûå<br />
ïîëèòèêè» è àêòèâèðîâàâ ïîëèòèêó<br />
«Network security: Do not store LAN Manager<br />
hash value on next password change» (íå õðàíèòü<br />
õýø-çíà÷åíèÿ LAN Manager ïðè ñëåäóþùåé<br />
ñìåíå ïàðîëÿ). Íà÷èíàÿ ñ Vista, îíà äåéñòâóåò<br />
ïî óìîë÷àíèþ. Ïîëèòèêà «Network Security:<br />
LAN Manager authentication level» îïðåäåëÿåò<br />
íàñòðîéêè NTLM; óñòàíîâèâ åå â «NTLM2<br />
responses only», ìîæíî çàïðåòèòü èñïîëüçîâàíèå<br />
LM è NTLMv1.<br />
 Vista è âûøå LM-õýøè è NTLMv1 òàêæå ïîääåðæèâàþòñÿ,<br />
ïàðàìåòð LmCompatibilityLevel<br />
óñòàíîâëåí â 3, — òî åñòü, ïî óìîë÷àíèþ äëÿ<br />
íåäîìåííîé àóòåíòèôèêàöèè èñïîëüçóåòñÿ<br />
NTLMv2. Èñïîëüçîâàíèå NTLM â äîìåííîé<br />
ñðåäå îïðåäåëÿåò ïîëèòèêà «Network Security:<br />
Restrict NTLM: NTLM authentication for this<br />
domain». Ïî óìîë÷àíèþ â Win2k8R2 îíà<br />
íå óñòàíîâëåíà. Åñëè â ñåòè íåò êëèåíòîâ ñ<br />
óñòàðåâøèìè ñèñòåìàìè, åå ìîæíî ïåðåêëþ÷èòü<br />
â «Deny all», ïîëíîñòüþ çàïðåòèâ<br />
èñïîëüçîâàíèå ýòîãî ïðîòîêîëà. Êàê âàðèàíò,<br />
ïðè ïîìîùè ýòîãî ïàðàìåòðà ìîæíî çàïðåòèòü<br />
NTLM ïðè äîñòóïå ê ñåðâåðó äîìåíà èëè<br />
ó÷åòíîé çàïèñè.<br />
ЗАЩИТА УЧЕТНЫХ ЗАПИСЕЙ Òåïåðü, êîãäà<br />
òû âñå çíàåøü îá îñîáåííîñòÿõ àóòåíòèôèêàöèè<br />
ïîëüçîâàòåëÿ â AD, ðàçáåðåì, êàê ìîæíî<br />
óñëîæíèòü æèçíü ïîòåíöèàëüíîìó âçëîìùèêó.<br />
Íåêîòîðûå ñîâåòû òåáå, âîçìîæíî, ïîêàæóòñÿ<br />
áàíàëüíûìè, íî îïûò ïîêàçûâàåò, ÷òî ïðè-<br />
XÀÊÅÐ 07 /127/ 09 117