27.11.2014 Views

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

SYN/ACK<br />

DNS<br />

Запрос адреса<br />

хоста<br />

у контроллера<br />

данного домена<br />

Запрошенный адрес<br />

Запрос LDAP<br />

Клиент<br />

Ответ LDAP<br />

Контроллер<br />

домена<br />

ôàéëîâ SAM, Sniff è ñîçäàííûõ äðóãèìè<br />

óòèëèòàìè (LC, LCS è PwDump). Ðåàëèçîâàíî<br />

òðè òèïà àòàê äëÿ ïîäáîðà ïàðîëåé ïî õýøàì:<br />

àòàêà ïî ñëîâàðþ, ãèáðèäíàÿ àòàêà ïî ñëîâàðþ<br />

è brute force.<br />

Èìåííî ïî ýòèì ïðè÷èíàì íà ñìåíó ïðîòîêîëó<br />

ñåòåâîé àóòåíòèôèêàöèè NTLMv1<br />

ïðèøåë NTLMv2. Íîâàÿ ðåàëèçàöèÿ âî ìíîãîì<br />

ïîõîæà íà ñâîåãî ïðåäøåñòâåííèêà, íî õýø<br />

îáðàçóåò áîëåå óñòîé÷èâûé ê âçëîìó àëãîðèòì<br />

HMAC-MD5, à ïðè çàïðîñå èñïîëüçóåòñÿ<br />

128-ðàçðÿäíûé êëþ÷. ×òîáû ñäåëàòü íåâîçìîæíûìè<br />

íåêîòîðûå àòàêè, ãäå ïðîèãðûâàþòñÿ<br />

ðàíåå çàïèñàííûå ó÷åòíûå äàííûå, â<br />

NTLMv2 ââåäåíà ìåòêà âðåìåíè. Â äîìåííîé<br />

ñðåäå NTLMv2 ïðèìåíÿåòñÿ âìåñòî Kerberos<br />

â ñèòóàöèÿõ: àóòåíòèôèêàöèÿ ïî IP-àäðåñó, â<br />

ðàáî÷åé ãðóïïå, åñëè êëèåíò íå ïðèíàäëåæèò<br />

äîìåíó èëè òåêóùåìó ëåñó (â òîì ñëó÷àå åñëè<br />

íå óñòàíîâëåíî äîâåðèòåëüíîå îòíîøåíèå), è<br />

ïðè íåâîçìîæíîñòè èñïîëüçîâàíèÿ Kerberos<br />

(íàïðèìåð, áëîêèðîâêà firewall). Åñòü åùå<br />

âàðèàíòû, íî î íèõ ÷óòü äàëüøå.<br />

Çàïðåòèòü õðàíåíèå LM-õýøåé â Windows 2k/<br />

XP/2k3 äîâîëüíî ïðîñòî: äëÿ ýòîãî íåîáõîäèìî<br />

äîáàâèòü â ðååñòð ïàðàìåòð NoLMHash<br />

òèïà DWORD â ðàçäåë HKLM\SYSTEM\<br />

CurrentControlSet\Control\Lsa ñî çíà÷åíèåì 1<br />

(ïîäðîáíåå î çàïðåùåíèè õðàíåíèÿ LM-õýøåé<br />

ìîæíî ïðî÷èòàòü â ñòàòüå KB299656). Êñòàòè,<br />

åñëè äëèíà ïàðîëÿ áîëåå 15 ñèìâîëîâ, òî<br />

ñîõðàíåííûé LM-õýø íåëüçÿ èñïîëüçîâàòü äëÿ<br />

àóòåíòèôèêàöèè, à çíà÷èò, îí íåïðèãîäåí è<br />

äëÿ âçëîìà.<br />

Ïàðàìåòð òèïà DWORD LMCompatibilityLevel<br />

â ýòîì æå ðàçäåëå ïîçâîëÿåò ðàçðåøèòü LMàóòåíòèôèêàöèþ<br />

òîëüêî ïî çàïðîñó ñåðâåðà<br />

èëè âîîáùå çàïðåòèòü. Çäåñü óêàçûâàåòñÿ îäíî<br />

èç 6 çíà÷åíèé:<br />

0 (ïî óìîë÷àíèþ) — èñïîëüçîâàòü LM- è<br />

NT-îòâåòû, NTLMv2 îòêëþ÷åí<br />

1 — èñïîëüçîâàòü ïðè íåîáõîäèìîñòè<br />

NTLMv2<br />

2 — òîëüêî NT-îòâåò<br />

3 — òîëüêî NTLMv2<br />

4 — îòêàçûâàòü êîíòðîëëåðó äîìåíà â<br />

LM-àóòåíòèôèêàöèè<br />

5 — îòêàçûâàòü êîíòðîëëåðó äîìåíà<br />

â LM- è NT-àóòåíòèôèêàöèè, òîëüêî<br />

NTLMv2<br />

 äîìåííîé ñðåäå ïðîùå âîñïîëüçîâàòüñÿ<br />

âîçìîæíîñòÿìè ãðóïïîâîé ïîëèòèêè (Group<br />

Policy Object), âûáðàâ â ðåäàêòîðå GPO ïóíêò<br />

«Ïàðàìåòðû áåçîïàñíîñòè» ïî ìàðøðóòó<br />

«Êîíôèãóðàöèÿ êîìïüþòåðà Êîíôèãóðàöèÿ<br />

Windows Ïàðàìåòðû áåçîïàñíîñòè Ëîêàëüíûå<br />

ïîëèòèêè» è àêòèâèðîâàâ ïîëèòèêó<br />

«Network security: Do not store LAN Manager<br />

hash value on next password change» (íå õðàíèòü<br />

õýø-çíà÷åíèÿ LAN Manager ïðè ñëåäóþùåé<br />

ñìåíå ïàðîëÿ). Íà÷èíàÿ ñ Vista, îíà äåéñòâóåò<br />

ïî óìîë÷àíèþ. Ïîëèòèêà «Network Security:<br />

LAN Manager authentication level» îïðåäåëÿåò<br />

íàñòðîéêè NTLM; óñòàíîâèâ åå â «NTLM2<br />

responses only», ìîæíî çàïðåòèòü èñïîëüçîâàíèå<br />

LM è NTLMv1.<br />

 Vista è âûøå LM-õýøè è NTLMv1 òàêæå ïîääåðæèâàþòñÿ,<br />

ïàðàìåòð LmCompatibilityLevel<br />

óñòàíîâëåí â 3, — òî åñòü, ïî óìîë÷àíèþ äëÿ<br />

íåäîìåííîé àóòåíòèôèêàöèè èñïîëüçóåòñÿ<br />

NTLMv2. Èñïîëüçîâàíèå NTLM â äîìåííîé<br />

ñðåäå îïðåäåëÿåò ïîëèòèêà «Network Security:<br />

Restrict NTLM: NTLM authentication for this<br />

domain». Ïî óìîë÷àíèþ â Win2k8R2 îíà<br />

íå óñòàíîâëåíà. Åñëè â ñåòè íåò êëèåíòîâ ñ<br />

óñòàðåâøèìè ñèñòåìàìè, åå ìîæíî ïåðåêëþ÷èòü<br />

â «Deny all», ïîëíîñòüþ çàïðåòèâ<br />

èñïîëüçîâàíèå ýòîãî ïðîòîêîëà. Êàê âàðèàíò,<br />

ïðè ïîìîùè ýòîãî ïàðàìåòðà ìîæíî çàïðåòèòü<br />

NTLM ïðè äîñòóïå ê ñåðâåðó äîìåíà èëè<br />

ó÷åòíîé çàïèñè.<br />

ЗАЩИТА УЧЕТНЫХ ЗАПИСЕЙ Òåïåðü, êîãäà<br />

òû âñå çíàåøü îá îñîáåííîñòÿõ àóòåíòèôèêàöèè<br />

ïîëüçîâàòåëÿ â AD, ðàçáåðåì, êàê ìîæíî<br />

óñëîæíèòü æèçíü ïîòåíöèàëüíîìó âçëîìùèêó.<br />

Íåêîòîðûå ñîâåòû òåáå, âîçìîæíî, ïîêàæóòñÿ<br />

áàíàëüíûìè, íî îïûò ïîêàçûâàåò, ÷òî ïðè-<br />

XÀÊÅÐ 07 /127/ 09 117

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!