Речь сегодня пойдет о холодном норвежском хакере, его детишках Компакте и Дискетке и о противостоянии хитрого Юзверя и забывчивого Админа. В статье будет описан как сам яд, так и противоядие от него. Так что пользователям просьба не слишком надеяться на нерадивость администратора, но и администраторам просьба - мотать на ус и исполнять рекомендации.
Итак, начнем. Самым ужасным ночным кошмаром администраторов является опасность закрытия всех ресурсов на пароль и утери этого самого пароля. Применительно к администраторам компьютерных сетей это касается пароля на администраторский логин центрального сервера данных. При утере пароля зайти с правами администратора становится невозможным. Единственным способом доступа к данным в этом случае является получение физического доступа к носителям информации и ее съем (выкрутить винчестер и воткнуть в другой компьютер). Как известно, такая мера у сколь либо грамотного администратора проку не дает, так как толковый админ данные хранит на томах, файловая система которых поддерживает управление ограничения доступа к информации по аутентификационной паре логин/пароль (применимо к компьютерам с ОС Windows NT/2000/XP/2003 это NTFS всех возможных версий). Таким образом, остается только "сломать" пароль администратора.
Для получения доступа к базе данных SAM, в которой Windows хранит сведения о параметрах учетных записей пользователей, требуется найти на локальном жестком диске файлы базы данных и, как правило, извлечь их на другой носитель, ибо на NTFS-дисках корректно править данные умеют не очень многие программы. После проведения "взлома" файлы базы данных укладываются на место, и - вуаля! - ларчик просто открывается.
Основную же проблему представляет собой метод "взлома" пароля администратора. Существует масса утилит, перебирающих "грубой силой" по комбинации символов или по словарю генерируемые варианты паролей, но все они работают с очень низкой скоростью в случае корректного подбора пароля. Однако есть комплект утилит (home.eunet.no/~pnordahl/ntpasswd/bootdisk.html), который не подбирает пароль, а устанавливает вместо него новый. Если им воспользуется простой пользователь, то администратор очень быстро узнает о факте взлома, так как перестанет срабатывать ранее введенный пароль, под которым администратор любит удаленно заходить на эту систему. После разбирательства с применением административных мер и штрафных санкций пользователь надолго запомнит удачную попытку проникновения. ;)
В рассматриваемом комплекте утилит есть несколько особенностей, которые ограничивают область его применения (внимание, админы!):
- Комплект поставляется в виде образа загрузочной дискеты или загрузочного компакт-диска. Чтобы пользователи не смогли им воспользоваться, отключите загрузку с перечисленных устройств и запарольте вход в BIOS (по-моему, админ обязан сделать это в свой первый день на рабочем месте). Заодно отключите USB-концентратор, дабы загрузку не смогли произвести с USB-внешнего привода (поскольку BIOS большинства современных системных плат имеют горячую клавишу для вызова Boot Menu независимо от входа в сам BIOS). Физически порты USB могут оставаться открытыми только на компьютерах пользователей, которые проверены временем.;) Всем остальным - данные только по сети.
- Комплект написан на английском языке и рассчитан на работу с англоязычными именами пользователей. Таким образом, корректно имена пользователей, набранные в Windows русскими буквами, не отображаются, что может ввести взломщика в состояние психологического дискомфорта. Если администратор сделает нескольких пользователей, помимо самого администратора, взломщик может растеряться, а может сломать пароли у всех.:)
- Комплект написан для наиболее быстрого взлома пароля, введение ответов "по умолчанию" осуществляется простым нажатием Enter-а. Но если администратор поставил несколько копий Windows в различные каталоги на различные диски (или просто не удалял старых копий Windows), простому пользователю будет нелегко разобраться, какую из систем ломать и где она находится.
- Хотя комплект и написан на Linux с его всемогущей поддержкой NTFS 5+, все же ни одна программа, не зная пароля администратора, не сможет даже подлезть к файлам SAM, если на диске, где они хранятся, установлена шифрующая NTFS - EFS.
- Автор до сих пор предупреждает, что его драйверы для жестких дисков поддерживают большинство типов контроллеров, но не все существующие. Так что есть вероятность, что на особо белом, особо свежем сервере без дискеты с драйверами от RAID-контроллера в комплекте пакет работать откажется.
- На серверах, хранящих важную информацию, помимо RAID, должна быть внедрена распределенная файловая система DFS, базирующаяся, как и EFS, на NTFS. В случае предпринятия попытки взлома SAM на DFS рассматриваемой программой шансов на успех весьма мало, так как Windows при старте заменит "испорченную" копию SAM на старую с другого сетевого диска.
И в завершение обзора хотелось бы повторить старую как мир прописную истину: брать чужое нехорошо!
Дядюшка хардовик
Mexicanetz Express,
crowngold.narod.ru
Комментарии
2. Прога - дрянь. Есть специализированные средства типа ERD (emergency repair disk) Commander, которые предназначены специально для таких случаев, и у них проблем с драйверами нет по определнеию, т.к. они используют при построени загрузочного CD хостовую ОС. И с разделами NTFS работают в RW режиме по определению. Ломать EFS ещё не пробовал, но теперь займусь этим.
2. прога - работает, дрянь она или нет. ЕРД работает, как и описанная тулза, в режиме РВ, но за исключением интерфейса, между ними нет никакой разницы. Описываемая программа интерфейсно ориентирована на чайника, хоть немного владеющего инглишем
при использовании в инет кафе acronisa
и прямом доступе гостя к образу
файл SAM получить - всего подключить образ на диск и скопировать
далее легко...
Сейчас хозяева интернет-кафе поняли, что админы должны быть хорошие и высокооплачиваемые. Если даже какой-то идиот из них и решится на использование акрониса, то он настроит параметры доступа к этому файлу через НТФС так, чтобы только юзер с правами админа имел шанс запустить в файло лапы