ОИБ. Практика 9. Аудит парольной системы ОС Windows NT


МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
федеральное государственное бюджетное образовательное учреждение
высшего образования
«Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева»
АЭРОКОСМИЧЕСКИЙ КОЛЛЕДЖ
Практическая работа № 9
ПреподавательПятков Антон Геннадьевич
Дисциплина Основы информационной безопасности
Красноярск

Практическая работа № 8
«Аудит парольной системы ОС Windows NT»
Цель: провести аудит парольной системы Windows, выяснить слабые стороны и определить способы повышения защищённости.
1. Теоретическая часть
Способ хранения паролей в Windows NT: хэширование и шифрование.
Windows до версии Vista по умолчанию хранила пароль в двух разных хэшах: LM и NT. В Vista и выше LM-хэш не хранится.
Особенности LM:
пароль не более 14 символов;
пароль добивается нулями до 14 символов;
пароль преобразуется в верхний регистр;
делится на 2 блока по 7 символов и только ПОТОМ шифруется DES.
Особенности NT:
пароль пользователя преобразуется в Unicode-строку и генерируется MD4;
хэш шифруется DES, ключ составляется на основе RID пользователя.
В системе Windows NT 4 использовалось слабое шифрование хранящихся в SAM паролей, для совместимости с предыдущими версиями Windows была также оставлена поддержка протокола LM. С появлением SP 3 для Windows NT 4 в базах SAM стало применяться более стойкое шифрование Syskey. Syskey – утилита, которая шифрует информацию хэшированного пароля в базе данных SAM в Windows, используя 128-битный ключ шифрования.
База SAM хранится в реестре, в ключе HKEY_LOCAL_MACHINE\SAM\SAM, доступ к которому запрещен по умолчанию даже администраторам. SAM-сервер реализован в виде DLL-библиотеки samsrv.dll, загружаемой lsass.exe
Задачи SAM:
идентификация субъектов (SID'ы);
проверка пароля, авторизация;
хранение статистики (время последнего входа в систему, количество входов, количество некорректных вводов пароля);
хранение и реализация настройки политики учётных записей (политики паролей, политики блокировки учётных записей );
хранение логической структуры группировки учётных записей (по группам, доменам);
контроль доступа к базе учётных записей;
предоставление программного интерфейса для управления базой учётных записей.
База данных SAM хранится в реестре (HKLM\SAM) и физически раздел SAM находится в соответствующем файле c:\Windows\System32\config\SAM. Пароли хранятся в ветке реестра в так называемом V-блоке: HKLM\SAM\SAM\Domains\Account\users\[RID]\V.
RID – уникальный идентификатор пользователя.
Перечень RID-ов есть в HKLM\SAM\SAM\Domains\Account\users\names\<имя пользователя>. RID учетной записи «Администратор» всегда 500 (0x1F4), а пользователя «Гость» – 501 (0x1f5). Доступ к разделу SAM по умолчанию возможен только пользователю SYSTEM.
База учётных записей может быть импортирована удаленно, что является слабым местом в парольной системе. Чтобы защитить ОС от импорта учётной базы пользователей с удаленного ПК, для этого нужно:
запретить удаленное управление реестром, остановив соответствующую службу;
запретить использовать право отладки программ, для чего в оснастке безопасности нужно выбрать элемент Computer Configuration\Security Settings\Local Policies\User Right Assignment, а в свойствах политики Debug programs удалить из списка всех пользователей и все группы;
отменить возможность применения специальных общих папок ADMIN$, C$, предназначенных для нужд ОС, но также позволяющих пользователю с административными правами подключаться к ним через сеть. Для блокирования данных разделяемых ресурсов необходимо в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\Current-ControlSet\Services\LanmanServer\ \Parame-ters добавить параметр AutoShareWks (для пользовательских версий Windows) или AutoShareServer (для серверных версий) типа DWORD и установить его значение равным 0;
заблокировать анонимный сетевой доступ, позволяющий получать информацию о пользователях, о политике безопасности и об общих ресурсах. С этой целью нужно добавить в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\ Current-ControlSet\Control\Lsa параметр Restrict-Anonymous типа DWORD, установив его равным 2;
запретить сетевой доступ нежелательных пользователей к вашему ПК. Для этого в оснастке безопасности в разделе Computer Configuration\Security Settings\Local Policies\User Right Assignment в свойствах политики «Access this computer from the network» откорректируйте список пользователей, которым разрешен сетевой доступ к компьютеру. Дополнительно в политике «Deny Access to this Computer from the network» можно указать список пользователей, которым запрещен удаленный доступ к данному компьютеру.

2. Практическая часть
В отчёте представить (с описанием и снимками экрана, достаточными для понимания факта проделанной работы) следующее:
Создайте пользователя с именем «Ваша Фамилия + номер зачетки».
Выполнить сброс пароля вашего пользователя через загрузку с внешнего носителя и использование специализированного ПО. Прокомментировать результаты работы.
Активация заблокированной учётной записи Windows NT «Администратор» с RID = 500. Прокомментировать результаты работы.
Получение пароля пользователя Windows NT при помощи специализированного ПО, например, LapchtCrack. После сброса пароля по 2 заданию пароль поставить вновь. Прокомментировать результаты работы.
Сформировать набор рекомендаций по повышению защищённости парольной системы Windows NT.
Для определения номера варианта пользоваться схемой:№ варианта = (номер зачетки) mod (количество вариантов заданий).
Вопросы (кратко ответить):
Что аудит, парольная система?
Где хранятся пароли в Windows NT?
Каков принцип работы парольной системы Windows NT?
Что такое SAM, где он находится и зачем нужен?
Что такое учётная запись, RID?
Каков принцип работы программ для сброса пароля?
Какие рекомендации можно сформировать для защиты парольной системы?

Приложенные файлы

  • docx 8830795
    Размер файла: 35 kB Загрузок: 0

Добавить комментарий