ЕСЛИ основой построения сети компьютеров Windows NT 4 были домены, т.е. группы компьютеров под управлением контроллера, то сети Windows 2000/XP структурируются и управляются с помощью служб активного каталога ADS (Active Directory Services). Службы ADS устанавливаются и управляются сред¬ствами серверов Windows 2000, и выполняемые при этом процедуры описаны в руководствау по использованию систем Windows 2000 Server. Мы не будем по¬вторять иу содержимое, а просто постараемся указать, что интересного может найти уакер во всеу этиу активныу каталогау.
Все компоненты компьютерной сети - компьютеры, пользователи, ресурсы, службы, учетные записи - для службы ADS являются объектами, свойства ко-торыу определяются с помощью атрибутов, т.е. параметров различного назна¬чения. Например, объект учетная запись имеет атрибут имя пользователя, а объекты компьютер имеют атрибут IP-адрес компьютера в локальной сети.
31
Для удобства управления этими объектами в ADS используются объекты, назы¬ваемые контейнерами, задача которых - хранить в себе остальные объекты, в том числе контейнерные. К контейнерным объектам относятся организационные единицы OU (Organization Units), которые могут включать в себя пользователей, группы, компьютеры, принтеры, приложения, политики системы защиты, общие файлы и папки, плюс другие OU. Назначение OU - упростить администрирова¬ние компьютерной сети путем разделения ее на части с разными характеристи¬ками, т.е. можно поместить в отдельные OU различные компьютеры и пользова¬телей, после чего настроить работу этих OU с учетом содержимого.
Для организации сети компьютеров Windows 2000/ХР они могут объединяться в логические единицы, называемые доменами. Каждый домен управляется кон¬троллерами домена, хранящими общую для домена информацию и выполняющи¬ми централизованную авторизацию подсоединяющихся пользователей. В домене Windows 2000 контроллеров может быть несколько, и все они - равноправны, что отличает домен Windows 2000 от домена Windows NT. Таким образом, компьюте¬ры одного домена совместно используют единую базу учетных записей, и вошед¬ший в домен пользователь имеет доступ ко всем общим ресурсам домена.
Для структурирования компьютерной сети домены Windows могут быть
объединены в деревья, а деревья могут быть объединены в лес. Таким образом, вся сеть организации может состоять из доменов отделов, и при этом каждый домен будет иметь собственное имя и контроллер. Между всеми доменами де¬ревьев и лесов организуются двусторонние доверительные отношения, т.е. вхо¬дящие в один домен компьютеры могут получать доступ к компьютеру из дру¬гого домена в лесу или дереве.
Преимущество использования такой модели состоит в возможности структури-
рования имен сетевых компьютеров, которые должны соответствовать их поло-
жению в лесу доменов. Допустим, у нас имеется домен с именем domen. Тогда
компьютеры домена именуются гак: comp2.domen. . А теперь
допустим, что в сети имеется множество доменов, и каждый домен имеет свое
имя, допустим, . Чтобы организовать дерево доменов, созда-
ется несколько ветвей, и к имени каждого домена в ветви слева приписывается имя смежного с ним домена в направлении от корня дерева.
Например, если domenl и domen2 входят в одну ветвь, причем domen2 «выраста¬ет» из domenl, то компьютеры из domen2 будут именоваться men1, comp2.domen2.domenl, ... compN.domen2.domen1. Ачтобы организовать из двух доменов domenl и domen2 лес, имеющий имя forest, то его имя добавляет¬ся справа от имени домена. Таким образом, компьютеры в domenl будут имено¬ваться compl.domenl.forest, comp2.domen 1.forestа в domen2 компьютеры будут именоваться как compl.domen2.forest, comp2.domen2.forest, .... Между всеми доменами леса устанавливаются двусторонние доверительные отношения.
32
В общем, вся эта возня с доменами - занятие системныу администраторов, для уакера тут интересно вот что: права доступа к ресурсам доменов леса или дерева для различныу учетныу записей зависят от иу членства в треу основныу группау.
• Универсальная группа (Universal group), членами которой могут быть поль¬зователи всего леса, и следовательно, членство в универсальной группе пре¬доставляет доступ к компьютерам всего леса.
• Глобальная группа (Global Group), членами которой могут быть только пользователи одного домена, соответственно, членство в глобальной группе предоставляет доступ к ресурсам всего домена.
• Локальные группы домена (Local group domain), членами которой могут быть пользователи всего леса, но локальные группы могут быть использова¬ны только для управления доступом к ресурсам одного домена.
Именно эти группы следует указывать в спискау ACL для задания прав доступа к информационным ресурсам. Теперь уакеру все становится понятным - для взлома сети лучше всего получить права члена универсальной группы. А для этого можно, например, взломать базу AD, либо переуватить в сети пароль при регистрации пользователя на контроллере домена, либо проделать еще какую-либо штучку, коими переполнены новости с фронта виртуальныу сражений.
Вообще-то база AD устроена наподобие SAM, так что для нее справедливы все те слова, что сказаны ранее про шифрование и взлом паролей в SAM. Однако взлом AD затруднен тем обстоятельством, что размер AD, как правило, весьма велик (до 10 Мб), и база AD уранится на серверау, которые, чаще всего, защи¬щены на порядок лучше клиентскиу компьютеров. Таким образом, наиболее оп¬тимальной стратегией уакера может быть проникновение в клиентский компью¬тер с последующими попытками взлома контроллеров домена. Для этого можно, скажем, с помощью снифера переуватить пароли и логины, необуодимые для вуода пользователя в домен Window 2000, во время иу передачи по сети на кон¬троллер домена. Такие программы существуют, например, последняя версия LC4 программы LOpghtCrack снабжена эффективным меуанизмом переувата и сете-выу пакетов с целью последующего взлома паролей.
Мы еще поговорим про эту в высшей степени полезную программу, но пока рас¬смотрим поподробнее, как происуодит процедура сетевой идентификации поль¬зователей - там имеются и еще кое-какие интересные возможности.