Views
3 years ago

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

SYN/ACK В WIN2K8 GPO

SYN/ACK В WIN2K8 GPO ПО УМОЛЧАНИЮ ЗАПРЕЩА- ЕТ ХРАНЕНИЕ LM-ХЭШЕЙ ПРОГРАММЫ ВРОДЕ LC5 ПОЗВОЛЯЮТ ВОССТАНОВИТЬ ПА- РОЛЬ ПО ПЕРЕХВАЧЕННОМУ LM/NT-ХЭШУ HTTP://WWW links • Статья «NTLM’s time has passed» на blogs.technet.com/ authentication. • Программа John the Ripper — www. openwall.com/john. • Программа LCP — www.lcpsoft.com/ russian. • Веб-интерфейс к AD, написанный на PHP: phpadview.web. envionsoftware.com. WARNING info Многие дыры живут в Windows еще со времен 95/NT, благополучно перекочевывая из релиза в релиз, и все для того, чтобы системы мирно сосуществовали друг с другом. 118 äåðæèâàþòñÿ èõ äàëåêî íå âñå.  ïåðâóþ î÷åðåäü ñëåäóåò èçìåíèòü óñòàíîâëåííûé ïî óìîë÷àíèþ ëîãèí àäìèíèñòðàòîðà äîìåíà: «Êîíôèãóðàöèÿ êîìïüþòåðà Ïàðàìåòðû Windows Ïàðàìåòðû áåçîïàñíîñòè Ëîêàëüíûå ïîëèòèêè Ïàðàìåòðû áåçîïàñíîñòè Ó÷åòíûå çàïèñè: Ïåðåèìåíîâàíèå ó÷åòíîé çàïèñè àäìèíèñòðàòîðà» èëè âî âêëàäêå «Active Directory Ïîëüçîâàòåëè è êîìïüþòåðû». Òî æå ñàìîå ïðîäåëûâàåì è ñ ãîñòåâîé ó÷åòíîé çàïèñüþ (åñëè òàêîâàÿ èñïîëüçóåòñÿ, ïî óìîë÷àíèþ îíà îòêëþ÷åíà). Ïîñëå ýòîãî íå çàáûâàåì îòñëåæèâàòü ïîïûòêè èñïîëüçîâàíèÿ ýòèõ ëîãèíîâ â ïðîãðàììàõ àóäèòà è, îáíàðóæèâ íåëàäíîå, áüåì òðåâîãó. Íàïàäàþùåìó â ýòîì ñëó÷àå ïðèäåòñÿ ïðîéòè ïîëíûé ïóòü, òî åñòü — ïîäáèðàòü è ëîãèí, è ïàðîëü. Êðîìå òîãî, ó àäìèíà ïîÿâèòñÿ áîëüøå èíôîðìàöèè äëÿ áëîêèðîâêè òàêèõ ïîïûòîê. Ïàðîëü äîëæåí áûòü äîñòàòî÷íî ñëîæíûì, ñî÷åòàòü â ñåáå áóêâû (â ðàçíûõ ðåãèñòðàõ), öèôðû, à òàêæå ñïåöñèìâîëû. ×àñòî íàïàäàþùèé ïðè ïîèñêå îáúåêòà äëÿ àòàêè îðèåíòèðóåòñÿ íà îïèñàíèå ó÷åòíîé çàïèñè. Ïîýòîìó ñëåäóåò óäàëèòü èëè èçìåíèòü îïèñàíèå àäìèíñêèõ ó÷åòîê, ÷òîáû óñëîæíèòü åìó ïîèñê. Âçàìåí — ñîçäàåì íåñêîëüêî ëîæíûõ ó÷åòíûõ çàïèñåé ñ îïèñàíèåì «Àäìèíèñòðàòîð», íî áåç êàêèõ-ëèáî ïðàâ è êîíòðîëèðóåì ïîïûòêè äîñòóïà ê íèì. Êàðäèíàëüíûì ðåøåíèåì ÿâëÿåòñÿ îòêëþ÷åíèå ó÷åòíîé çàïèñè àäìèíèñòðàòîðà. Ýòî ìîæíî ñäåëàòü ïðè ïîìîùè GPO-ïîëèòèêè «Ó÷åòíûå çàïèñè: Ñîñòîÿíèå ó÷åòíîé çàïèñè àäìèíèñòðàòîðà»; òåì áîëåå ÷òî îíà àâòîìàòè÷åñêè âêëþ÷àåòñÿ ïðè çàïóñêå ñèñòåìû â áåçîïàñíîì ðåæèìå. Ó÷èòûâàÿ âàæíîñòü ó÷åòíîé çàïèñè àäìèíèñòðàòîðà, åå íóæíî èñïîëüçîâàòü òîëüêî ïðè ïåðâîíà÷àëüíûõ íàñòðîéêàõ. Õîðîøèì âàðèàíòîì áóäåò ñîçäàíèå äâóõ äîïîëíèòåëüíûõ ó÷åòîê: äëÿ âûïîëíåíèÿ çàäà÷ àäìèíèñòðèðîâàíèÿ è äëÿ ïîâñåäíåâíîé ðàáîòû (âåá-ñåðôèíã, ïî÷òà, àñüêà, âåäåíèå äîêóìåíòàöèè è ò.ä.) Ïî óìîë÷àíèþ â ãîñòåâîì àêêàóíòå ïàðîëü íå èñïîëüçóåòñÿ — ýòî òàêæå ìîæåò ñòàòü ïðîáëåìîé. Ïîýòîìó îáÿçàòåëüíî óñòàíàâëèâàåì åãî. Âñå, êîìó áóäåò íóæåí ãîñòåâîé âõîä, ñìîãóò ïîëó÷èòü ýòó èíôîðìàöèþ ó àäìèíà. ×àñòî ïî÷òîâûé àäðåñ ïîëüçîâàòåëÿ ñîâïàäàåò ñ åãî ëîãèíîì — è ìîæåò áûòü èñïîëüçîâàí ïðè ïîïûòêå âçëîìà. Çëîóìûøëåííèêó ñîáðàòü áàçó òàêèõ ëîãèíîâ î÷åíü ïðîñòî. Äîñòàòî÷íî ïðîèçâåñòè DHA-àòàêó (Directory Harvest Attack) ïðè ïîìîùè ñïåöèàëüíîé ïðîãðàììû, В ЦЕЛЯХ БЕЗОПАСНОСТИ МОЖНО ОТКЛЮ- ЧИТЬ УЧЕТНУЮ ЗАПИСЬ АДМИНИСТРАТО- РА ãåíåðèðóþùåé íàáîð e-mail àäðåñîâ è îòïðàâëÿþùåé íà íèõ ïðîâåðî÷íûå ñîîáùåíèÿ. Åñëè SMTP-ñåðâåð ïîäòâåðæäàåò ïðèåì ñîîáùåíèÿ äëÿ òàêîãî àäðåñà (250 Recipient OK), òî îí ñ÷èòàåòñÿ äåéñòâóþùèì. Ìíîãèå ïî÷òîâûå ñåðâåðû èìåþò ôóíêöèè, îáåñïå÷èâàþùèå çàùèòó îò DNAàòàêè. Íàïðèìåð, â Exchange Server åñòü ïàðàìåòð «SMTP Tarpitting» äëÿ óñòàíîâêè ñëó÷àéíîãî âðåìåíè çàäåðæêè ïðè îòâåòå íà êîìàíäó RCPT TO âî âðåìÿ SMTP-çàïðîñà. Ýòî çàòðóäíÿåò ñáîð äåéñòâóþùèõ àäðåñîâ ñ äîìåíà. ПРОБЛЕМЫ KERBEROS Íåñìîòðÿ íà òî, ÷òî íà ñåãîäíÿ Kerberos ïðèçíàí ñàìûé áåçîïàñíûì ìåõàíèçìîì àóòåíòèôèêàöèè, åãî ðåàëèçàöèè äàëåêî íå áåçãðåøíû. Òàê, âåðñèÿ Kerberos â Win2k ïîçâîëÿëà óñòðîèòü UDP-øòîðì â ñåòè, ïîñêîëüêó ñåðâåð îòâå÷àë íà ëþáûå UDP-ïàêåòû, íàïðàâëåííûå â 464 ïîðò (Kerberos). Êðîìå ýòîãî, âîçìîæíî áûëî âûçâàòü ïåðåïîëíåíèå ñòåêà ïðè íåêîòîðûõ çàïðîñàõ. ×òîáû ñèñòåìû îò Win2k3 è íèæå äëÿ ïåðåñûëêè ïàêåòîâ Kerberos âìåñòî UDP èñïîëüçîâàëè TCP, ñëåäóåò óñòàíîâèòü ïàðàìåòð ðååñòðà MaxPacketSize â çíà÷åíèå 1 (DWORD). Îí íàõîäèòñÿ â ðàçäåëå HKLM\System\CurrentControlSet\ Control\Lsa\Kerberos\Parameters. Åùå îäíà ïðîáëåìà ñâÿçàíà ñ òåì, ÷òî åñëè ïîëüçîâàòåëü ÿâëÿåòñÿ ÷ëåíîì íåñêîëüêèõ ãðóïï, èëè àòðèáóò sidHistory, ïîêàçûâàþùèé ìèãðàöèþ ïîëüçîâàòåëÿ â äîìåíå, èìååò áîëüøîé ðàçìåð, òî áèëåò (Ticket Granting Ticket, TGT) ìîæåò ïðåâûñèòü óñòàíîâëåííûé ïî óìîë÷àíèþ ëèìèò â 12000 áèò. Ïîïûòêà àóòåíòèôèêàöèè ïðè ïîìîùè Kerberos XÀÊÅÐ 07 /127/ 09

SYN/ACK В НАСТРОЙКАХ УЧЕТНОЙ ЗАПИСИ МОЖНО УСТАНО- ВИТЬ АЛГОРИТМЫ ШИФРОВАНИЯ KERBEROS GPO ПОЗВОЛЯЕТ УПРАВЛЯТЬ ИСПОЛЬЗОВАНИЕМ LM/NT-ХЭШЕЙ В ДОМЕНЕ ПЕРЕИМЕНОВАВ УЧЕТНУЮ ЗАПИСЬ АДМИ- НА, ТЫ УСЛОЖНИШЬ ЖИЗНЬ ВЗЛОМЩИКУ çàêîí÷èòñÿ íåóäà÷åé, è âìåñòî íåãî áóäåò çàäåéñòâîâàí NTLM. Ïðè÷åì, ïîñëåäíÿÿ îøèáêà õàðàêòåðíà íå òîëüêî äëÿ Win2k3 è ïðåäûäóùèõ âåðñèé, êàê ýòî îïèñàíî íà ñòðàíèöå support.microsoft.com/kb/327825, íî ïîÿâëÿåòñÿ ïðè íåêîòîðûõ óñëîâèÿõ è â Win2k8. Íåäîñòàòî÷íûé è ôèêñèðîâàííûé ðàçìåð áèëåòà äàåò âîçìîæíîñòü ïðîâåäåíèÿ DOS-àòàêè, ðåçóëüòàòîì êîòîðîé ÿâëÿåòñÿ îòêàç â ðåãèñòðàöèè ïîëüçîâàòåëÿ ñ ó÷åòíûìè ïðàâàìè àäìèíèñòðàòîðà. Ïðàâäà, äëÿ òàêîé àòàêè íåîáõîäèìî èìåòü ïðàâà ïî óïðàâëåíèþ ãðóïïàìè. ×òîáû èçáåæàòü ïîäîáíîé ñèòóàöèè, óâåëè÷ü ðàçìåð òîêåíà, óñòàíîâèâ ìàêñèìàëüíîå çíà÷åíèå 65535 äëÿ ïàðàìåòðà ðååñòðà MaxTokenSize (REG_DWORD), èëè èñïîëüçóé ôîðìóëó äëÿ ðàñ÷åòà, îïèñàííóþ â áþëëåòåíå KB327825. Òàêæå ñëåäóåò óäàëèòü sidHistory, ÷òîáû îñâîáîäèòü ìåñòî â áèëåòå. Ýòî ìîæíî ïðîäåëàòü ïðè ïîìîùè VBS ñêðèïòà, âçÿòîãî ñ support.microsoft.com/kb/295758.  Kerberos âåðñèè 5.0, íà îñíîâå êîòîðîãî ïîñòðîåí Kerberos â Windows îò 2k, äëÿ ïîëó÷åíèÿ áèëåòà èñïîëüçóåòñÿ ìåõàíèçì ïðåäâàðèòåëüíîé àóòåíòèôèêàöèè (pre-authentication).  õîäå íåãî êëèåíò îòñûëàåò íà ñåðâåð: ëîãèí, äîìåí è îòìåòêó âðåìåíè, çàøèôðîâàííûå ïîñðåäñòâîì ñåêðåòíîãî êëþ÷à, êîòîðûé ñîçäàí íà îñíîâå ïàðîëÿ. Çíàíèå ìåòêè âðåìåíè ïîçâîëÿåò ïðîãðàììå KerbCrack XÀÊÅÐ 07 /127/ 09 (Kerberos Password Crack, ntsecurity.nu/toolbox/kerbcrack) ðàñøèôðîâàòü äàííûå äëÿ âõîäà. Ñàì KerbCrack ìîæåò çàïóñêàòüñÿ âî âñåõ ÎÑ Windows íà ÿäðå NT, âêëþ÷àÿ Vista, è ñîñòîèò èç äâóõ ïðîãðàìì: ñíèôåðà è ðàñøèôðîâùèêà.  ðåàëèçàöèÿõ Kerberos äî Win2k3 âêëþ÷èòåëüíî äëÿ øèôðîâàíèÿ èñïîëüçóþòñÿ àëãîðèòìû ÑÐÑ-32, MD4, MD5 è DES. Íà÷èíàÿ ñ Vista, â ýòîì ñïèñêå ïîÿâèëñÿ áîëåå íàäåæíûé AES 128/256. Ýòî ñäåëàëî ïðèìåíåíèå KerbCrack íåýôôåêòèâíûì. Åñëè äëÿ àóòåíòèôèêàöèè ïðèìåíÿþòñÿ ñìàðò-êàðòû, òî â ñåàíñå ïðåäâàðèòåëüíîé àóòåíòèôèêàöèè äëÿ øèôðîâàíèÿ èñïîëüçóåòñÿ çàêðûòûé êëþ÷ ïîëüçîâàòåëÿ. Ïîýòîìó, ÷òîáû èçáåæàòü ïåðåõâàòà, òàêîé ìåòîä ðåãèñòðàöèè ïðåäïî÷òèòåëåí. Êàê âàðèàíò, ìîæíî çàøèôðîâàòü òðàôèê ïðè ïîìîùè VPN, íàïðèìåð, IPsec. È, íàêîíåö, èñïîëüçîâàâ ïîëèòèêó «Network Security: Configure encryption types allowed for Kerberos», ìîæíî æåñòêî óñòàíîâèòü èñïîëüçóåìûå Kerberos àëãîðèòìû øèôðîâàíèÿ è çàïðåòèòü óñòàðåâøèé DES. Ñëåäóåò äîáàâèòü, ÷òî â Win2k8 ïîÿâèëñÿ íîâûé ïàðàìåòð «Allow Cryptography algorithms compatible with Windows NT 4.0». Ïî óìîë÷àíèþ îí íå óñòàíîâëåí — «Not Configured», à çíà÷èò, âñå êëèåíòû, íå ïîääåðæèâàþùèå íîâûå è áîëåå çàùèùåííûå àëãîðèòìû, íå ñìîãóò ïîäñîåäèíèòüñÿ ê äîìåíó. Åñëè ïðè ïîäêëþ÷åíèè ê Win2k8-äîìåíó ïîÿâëÿþòñÿ îøèáêè, îïèñàííûå â KB942564 (go.microsoft.com/ fwlink/?Linkid=104751), òî âêëþ÷è ýòîò ïàðàìåòð. Ïðàâäà, öåíà òàêîãî øàãà — ñíèæåíèå áåçîïàñíîñòè.  êðàéíåì ñëó÷àå, â Win2k8 â ñâîéñòâàõ îòäåëüíîé ó÷åòíîé çàïèñè, âî âêëàäêå Account, ìîæíî ðàçðåøèòü èñïîëüçîâàíèå DES/ AES è îòêëþ÷èòü ïðåäâàðèòåëüíóþ àóòåíòèôèêàöèþ. Çäåñü æå íàõîäèòñÿ ïàðàìåòð «Smart Card Is Required for Interactive Logon», óñòàíîâêà êîòîðîãî òðåáóåò èñïîëüçîâàíèÿ ñìàðò-êàðòû ïðè âõîäå. Ïî óìîë÷àíèþ ýòà ïîëèòèêà îòêëþ÷åíà. ЗАКЛЮЧЕНИЕ Àòàêè, ïîçâîëÿþùèå ïåðåõâàòèòü è ðàñøèôðîâàòü ïàðîëü, â íîâûõ âåðñèÿõ ñèñòåìû ïðàêòè÷åñêè ñâåäåíû íà íåò. Òîëüêî â òîì ñëó÷àå, êîãäà â ñåòè ïðèñóòñòâóþò êëèåíòû, ðàáîòàþùèå ïîä óïðàâëåíèåì ñòàðûõ âåðñèé Windows èëè äðóãèõ ÎÑ, íå ïîääåðæèâàþùèõ íîâûå ïàðàìåòðû ïðîòîêîëà, ñóùåñòâóåò âåðîÿòíîñòü ïåðåõâàòà ïàðîëÿ.z INFO info • По умолчанию в системах от Vista и выше для недоменной аутентификации используется NTLMv2. • Чтобы NTLMv2 могли использовать клиенты Win98, на них следует установить специальный Directory Service Client. • При правильных настройках и постоянном аудите происходящих событий риск нарушения работоспособности AD можно свести к минимуму. 119

ИюНь - Xakep Online
Май - Xakep Online
Скачать - Xakep Online
ЛЕГКИЙ ХАК - Xakep Online
7 ЧУДЕС KDE - Xakep Online
Январь - Xakep Online
Офисное западло - Xakep Online
JIT SPRAY АНАЛИЗ TDSS - Xakep Online
Скачать - Xakep Online
ЛУЧШИХ ВИРУСОВ - Xakep Online
Ноябрь - Xakep Online
WebMoney - Xakep Online
Untitled - Xakep Online
КОНКУРС - Xakep Online
Скачать - Xakep Online
Взлом GSM - Xakep Online
2009 - Xakep Online
ВЗЛОМ ИНТЕРНЕТ-МАГАЗИНА: - Xakep Online
с татьи - Xakep Online
PDF - Xakep Online
c-лето ;) - Xakep Online
содержание 10 (59) - Xakep Online
Ноябрь - Xakep Online
ЗАКАДРИ КАРДИНГ НАШИ ИДУТ! - Xakep Online
PDF - Xakep Online
PDF - Xakep Online
Бунт машин и восстание червей - Xakep Online
шпион внутри - Xakep Online