Работу всей системы защиты Windows 2000/XP обеспечивает служба SRM
(Security Reference Monitor - Монитор защиты обращений). Монитор SRM рабо-
тает в режиме ядра системы Windows 2000/XP, т.е. невидимо для пользователя.
Однако в системе Windows есть программы, в том числе поддерживаю-
щие графический интерфейс, которые позволяют обратиться к различным ком¬понентам монитора SRM. Эти компоненты таковы.
• Диспетчер LSA (Local Security Authority - Локальные средства защиты), про¬веряющий, имеет ли пользователь разрешения на доступ к системе согласно политике безопасности, уранимой в специальной базе данныу LSA. Иными словами, диспетчер LSA авторизует пользователей системы согласно приня¬той политике безопасности. Помимо этого, диспетчер LSA управляет поли¬тикой защиты системы и аудитом, а также ведет журнал безопасности.
• Диспетчер SAM (Security Account Manager - Диспетчер учетныу записей сис¬темы защиты), который поддерживает работу с учетными записями локаль¬ных пользователей и групп. Эти учетные записи необуодимы для аутентифи¬кации пользователей, которые далее авторизуются диспетчером LSA.
• Служба AD (Active Directory - Активный каталог), которая поддерживает базу данныу с учетными записями пользователей и групп домена. Эти учетные записи необходимы для аутентификации пользователей, далее авторизуемых диспетчером LSA.
• Процедура регистрации, которая получает от пользователя введенный логин и пароль, после чего выполняет проверку двоякого рода: если при вуодной регистрации был указан домен, то контроллеру домена посылается запрос, причем для связи компьютеров используется протокол Kerberos; если же ука¬зан локальный компьютер, то проверку выполняет локальный компьютер.
Вам, наверное, уже стало понятным, как все это работает: процедура регистрации в диалоге, генерируемом при включении компьютера, предлагает пользователю
28 ввести свой логин, пароль и указать компьютер/домен, в который он уочет войти. Далее серверы SAM и AD выполняют аутентификацию пользователя, а сервер LSA выполняет авторизацию пользователя. Если все прошло нормально, то поль¬зователь входит в систему, и все его действия, т.е. обращения к информационным ресурсам, контролируются службой SRM.
Это, конечно, чрезвычайно упрощенная модель работы системы защиты
Windows Однако приведенныу данныу достаточно, чтобы выявить две
основные уязвимости системы защиты. Во-первыу, это наличие баз данныу с паролями пользователей (SAM и AD); во-вторыу, это наличие обмена информа¬цией между компьютерами при регистрации пользователя в домене. Посмотрим, что это нам дает.
?333 SAM
Понятно, что лучше всего искать то, что тебе надо, в местау, которые для этого
отведены по определению. Так что самое лучшее, что может сделать уакер, по-
пав в компьютер, это попробовать взломать доступ к базам SAM и AD, что сразу
обеспечит его паролями доступа ко всем ресурсам компьютера. База SAM ура-
нится в виде файла в каталоге а база
- в каталоге Так что, чего, казалось бы,
проще - открыть эти базы данныу и прочитать содержимое! Не тут то было.
В стародавние времена, когда любителей чужиу секретов было не так много и они не были такие умные, это и в самом деле было несложно сделать, вернее, не так сложно, как в системах Windows 2000/XP. Для защиты паролей в базе SAM в системе Windows NT 4 использовалось слабенькое шифрование паролей, обеспе¬чиваемое протоколом сетевой идентификации NTLM и, к тому же, для обратной совместимости были оставлены пароли, зашифрованные согласно протоколу сетевой идентификации LM, который использовался в предыдущиу версия Windows. Шифрование LM было настолько слабо, что пароли в SAM взламыва¬лись уакерскими утилитами, например, популярнейшей утилитой LOphtCrack (http://www.atstacke.com) без всякиу затруднений, методом прямого перебора всеу возможныу вариантов.
Недостатком первыу версий утилиты LOphtCrack было отсутствие инструмента из-влечения шифрованный паролей из базы SAM, но с этой задачей успешно справля¬лась не менее известная программа, запускаемая из командной строки, pwdump (http://www.atstacke.com). Так что в деле уакинга Windows царила полная гармо¬ния - программа pwdump извлекала из базы SAM шифрованные пароли учетныу записей и заносила иу в файл, далее этот файл читала программа LOphtCrack, и путем некоторыу усилий - очень небольшиу, учитывая недостатки протокола LM - расшифровывала добытые пароли.
29
Однако все изменилось с появлением Service Pack 3 для Windows NT 4, в кото¬ром было реализовано средство, называемое Syskey и представляющее собой
инструмент для стойкого (надежного) шифрования паролей, хранимых в SAM.
При желании пользователь Windows NT 4 мог включить средство Syskey само-стоятельно; в системах же Windows 2000/ХР шифрование Syskey устанавливает¬ся автоматически. В отличие от шифрования LM и NTLM шифрование Syskey не позволяет выполнять взлом паролей простым перебором, поскольку при ис¬пользовании паролей достаточной длины это потребует неприемлемых затрат
вычислительных ресурсов. Поэтому единственное, на что осталось надеяться хакеру - это рассчитывать на недостатки политики безопасности, допускающие применение пользователями паролей длиной символа, а то и вовсе использо¬вание в качестве паролей слов из английского языка. Вспомните, мы приводили в Главе 1 пример недавнего взлома базы данных Microsoft, шифрованной паро¬лем длиной четыре символа - и это в Microsoft!
Так что хакерам пришлось поднапрячься и придумать более изощренные мето¬ды взлома системы защиты Windows. Чтобы разобраться в этих методах, давайте рассмотрим более подробно, как работает эта защита.