ÃÂÕáÛãçÃÂÙÃÂÞ CUDA ØÔÕÃÂœ? phpMyAdmin - Xakep Online
ÃÂÕáÛãçÃÂÙÃÂÞ CUDA ØÔÕÃÂœ? phpMyAdmin - Xakep Online
ÃÂÕáÛãçÃÂÙÃÂÞ CUDA ØÔÕÃÂœ? phpMyAdmin - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
SYN/ACK<br />
В НАСТРОЙКАХ УЧЕТНОЙ ЗАПИСИ МОЖНО УСТАНО-<br />
ВИТЬ АЛГОРИТМЫ ШИФРОВАНИЯ KERBEROS<br />
GPO ПОЗВОЛЯЕТ УПРАВЛЯТЬ ИСПОЛЬЗОВАНИЕМ<br />
LM/NT-ХЭШЕЙ В ДОМЕНЕ<br />
ПЕРЕИМЕНОВАВ УЧЕТНУЮ ЗАПИСЬ АДМИ-<br />
НА, ТЫ УСЛОЖНИШЬ ЖИЗНЬ ВЗЛОМЩИКУ<br />
çàêîí÷èòñÿ íåóäà÷åé, è âìåñòî íåãî áóäåò çàäåéñòâîâàí<br />
NTLM. Ïðè÷åì, ïîñëåäíÿÿ îøèáêà õàðàêòåðíà íå òîëüêî<br />
äëÿ Win2k3 è ïðåäûäóùèõ âåðñèé, êàê ýòî îïèñàíî íà<br />
ñòðàíèöå support.microsoft.com/kb/327825, íî ïîÿâëÿåòñÿ<br />
ïðè íåêîòîðûõ óñëîâèÿõ è â Win2k8. Íåäîñòàòî÷íûé è<br />
ôèêñèðîâàííûé ðàçìåð áèëåòà äàåò âîçìîæíîñòü ïðîâåäåíèÿ<br />
DOS-àòàêè, ðåçóëüòàòîì êîòîðîé ÿâëÿåòñÿ îòêàç â<br />
ðåãèñòðàöèè ïîëüçîâàòåëÿ ñ ó÷åòíûìè ïðàâàìè àäìèíèñòðàòîðà.<br />
Ïðàâäà, äëÿ òàêîé àòàêè íåîáõîäèìî èìåòü ïðàâà<br />
ïî óïðàâëåíèþ ãðóïïàìè.<br />
×òîáû èçáåæàòü ïîäîáíîé ñèòóàöèè, óâåëè÷ü ðàçìåð òîêåíà,<br />
óñòàíîâèâ ìàêñèìàëüíîå çíà÷åíèå 65535 äëÿ ïàðàìåòðà<br />
ðååñòðà MaxTokenSize (REG_DWORD), èëè èñïîëüçóé<br />
ôîðìóëó äëÿ ðàñ÷åòà, îïèñàííóþ â áþëëåòåíå KB327825.<br />
Òàêæå ñëåäóåò óäàëèòü sidHistory, ÷òîáû îñâîáîäèòü ìåñòî<br />
â áèëåòå. Ýòî ìîæíî ïðîäåëàòü ïðè ïîìîùè VBS ñêðèïòà,<br />
âçÿòîãî ñ support.microsoft.com/kb/295758.<br />
 Kerberos âåðñèè 5.0, íà îñíîâå êîòîðîãî ïîñòðîåí<br />
Kerberos â Windows îò 2k, äëÿ ïîëó÷åíèÿ áèëåòà èñïîëüçóåòñÿ<br />
ìåõàíèçì ïðåäâàðèòåëüíîé àóòåíòèôèêàöèè<br />
(pre-authentication). Â õîäå íåãî êëèåíò îòñûëàåò íà ñåðâåð:<br />
ëîãèí, äîìåí è îòìåòêó âðåìåíè, çàøèôðîâàííûå ïîñðåäñòâîì<br />
ñåêðåòíîãî êëþ÷à, êîòîðûé ñîçäàí íà îñíîâå ïàðîëÿ.<br />
Çíàíèå ìåòêè âðåìåíè ïîçâîëÿåò ïðîãðàììå KerbCrack<br />
XÀÊÅÐ 07 /127/ 09<br />
(Kerberos Password Crack, ntsecurity.nu/toolbox/kerbcrack)<br />
ðàñøèôðîâàòü äàííûå äëÿ âõîäà. Ñàì KerbCrack ìîæåò<br />
çàïóñêàòüñÿ âî âñåõ ÎÑ Windows íà ÿäðå NT, âêëþ÷àÿ Vista,<br />
è ñîñòîèò èç äâóõ ïðîãðàìì: ñíèôåðà è ðàñøèôðîâùèêà.<br />
 ðåàëèçàöèÿõ Kerberos äî Win2k3 âêëþ÷èòåëüíî äëÿ<br />
øèôðîâàíèÿ èñïîëüçóþòñÿ àëãîðèòìû ÑÐÑ-32, MD4,<br />
MD5 è DES. Íà÷èíàÿ ñ Vista, â ýòîì ñïèñêå ïîÿâèëñÿ<br />
áîëåå íàäåæíûé AES 128/256. Ýòî ñäåëàëî ïðèìåíåíèå<br />
KerbCrack íåýôôåêòèâíûì. Åñëè äëÿ àóòåíòèôèêàöèè<br />
ïðèìåíÿþòñÿ ñìàðò-êàðòû, òî â ñåàíñå ïðåäâàðèòåëüíîé<br />
àóòåíòèôèêàöèè äëÿ øèôðîâàíèÿ èñïîëüçóåòñÿ çàêðûòûé<br />
êëþ÷ ïîëüçîâàòåëÿ. Ïîýòîìó, ÷òîáû èçáåæàòü ïåðåõâàòà,<br />
òàêîé ìåòîä ðåãèñòðàöèè ïðåäïî÷òèòåëåí. Êàê âàðèàíò,<br />
ìîæíî çàøèôðîâàòü òðàôèê ïðè ïîìîùè VPN, íàïðèìåð,<br />
IPsec. È, íàêîíåö, èñïîëüçîâàâ ïîëèòèêó «Network Security:<br />
Configure encryption types allowed for Kerberos», ìîæíî<br />
æåñòêî óñòàíîâèòü èñïîëüçóåìûå Kerberos àëãîðèòìû<br />
øèôðîâàíèÿ è çàïðåòèòü óñòàðåâøèé DES.<br />
Ñëåäóåò äîáàâèòü, ÷òî â Win2k8 ïîÿâèëñÿ íîâûé ïàðàìåòð<br />
«Allow Cryptography algorithms compatible with Windows NT<br />
4.0». Ïî óìîë÷àíèþ îí íå óñòàíîâëåí — «Not Configured»,<br />
à çíà÷èò, âñå êëèåíòû, íå ïîääåðæèâàþùèå íîâûå è áîëåå<br />
çàùèùåííûå àëãîðèòìû, íå ñìîãóò ïîäñîåäèíèòüñÿ ê<br />
äîìåíó. Åñëè ïðè ïîäêëþ÷åíèè ê Win2k8-äîìåíó ïîÿâëÿþòñÿ<br />
îøèáêè, îïèñàííûå â KB942564 (go.microsoft.com/<br />
fwlink/?Linkid=104751), òî âêëþ÷è ýòîò ïàðàìåòð. Ïðàâäà,<br />
öåíà òàêîãî øàãà — ñíèæåíèå áåçîïàñíîñòè. Â êðàéíåì<br />
ñëó÷àå, â Win2k8 â ñâîéñòâàõ îòäåëüíîé ó÷åòíîé çàïèñè, âî<br />
âêëàäêå Account, ìîæíî ðàçðåøèòü èñïîëüçîâàíèå DES/<br />
AES è îòêëþ÷èòü ïðåäâàðèòåëüíóþ àóòåíòèôèêàöèþ.<br />
Çäåñü æå íàõîäèòñÿ ïàðàìåòð «Smart Card Is Required for<br />
Interactive Logon», óñòàíîâêà êîòîðîãî òðåáóåò èñïîëüçîâàíèÿ<br />
ñìàðò-êàðòû ïðè âõîäå. Ïî óìîë÷àíèþ ýòà ïîëèòèêà<br />
îòêëþ÷åíà.<br />
ЗАКЛЮЧЕНИЕ Àòàêè, ïîçâîëÿþùèå ïåðåõâàòèòü è ðàñøèôðîâàòü<br />
ïàðîëü, â íîâûõ âåðñèÿõ ñèñòåìû ïðàêòè÷åñêè<br />
ñâåäåíû íà íåò. Òîëüêî â òîì ñëó÷àå, êîãäà â ñåòè ïðèñóòñòâóþò<br />
êëèåíòû, ðàáîòàþùèå ïîä óïðàâëåíèåì ñòàðûõ âåðñèé<br />
Windows èëè äðóãèõ ÎÑ, íå ïîääåðæèâàþùèõ íîâûå<br />
ïàðàìåòðû ïðîòîêîëà, ñóùåñòâóåò âåðîÿòíîñòü ïåðåõâàòà<br />
ïàðîëÿ.z<br />
INFO<br />
info<br />
• По умолчанию<br />
в системах от Vista<br />
и выше для недоменной<br />
аутентификации<br />
используется<br />
NTLMv2.<br />
• Чтобы NTLMv2<br />
могли использовать<br />
клиенты Win98, на<br />
них следует установить<br />
специальный<br />
Directory Service<br />
Client.<br />
• При правильных настройках<br />
и постоянном<br />
аудите происходящих<br />
событий риск<br />
нарушения работоспособности<br />
AD можно<br />
свести к минимуму.<br />
119