Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Лабораторна робота № 11
Дослідження захисту операційної системи WINDOWS 2k.
Мета роботи: розглянути побудову захисту операційної системи WINDOWS 2k та виявити уразливості файлу облікових записів.
Кількість годин на виконання — 2
Години на самостійну роботу — 6
Вимоги до лабораторної бази та перелік необхідного програмного забезпечення
Для проведення лабораторних досліджень необхідна ПЕОМ класу IBM PC з наступної мінімальної конфігурації:
На комп'ютері має бути встановлена операційна система (ОС) WINDOWS NT/XP/2000/2003, але можливо виконання вправ в середовищі ОС WINDOWS 95/98/Millenium з умови надання примірників SAM-файлів, які заздалегідь повинні бути отримані у середовищі WINDOWS NT/XP/2000/2003.
Додаткове прикладне програмне забезпечення:
К операционным системам (ОС) данной группы относятся следующие: Windows NT/2000/2003 и XP Professional. Все эти ОС разрабатывались много позже, чем ОС группы Windows 9x, что дало возможность разработчикам учесть все недостатки и недочеты систем безопасности их предшественников. Характерной чертой ОС группы Windows 2k является наличие функций администрирования, когда права каждого пользователя назначаются не им самим, а предоставляются ему администратором. Каждый пользователь также должен быть включен в одну из рабочих групп, членов которых объединяют одинаковые права доступа к ресурсам локального компьютера и сети.
Основу системы защиты Windows 2k составляет система хранения файлов NTFS (New Technology File System). Основное отличие файловой системы NTFS от других (FAT, VFAT, HTPS) состоит в том, что только она одна удовлетворяет стандарту безопасности С2, в частности, NTFS обеспечивает защиту файлов и каталогов не только при удаленном, но при локальном к ним доступе.
Каждый файл в NTFS-разделе представлен записью в специальном файле, называемом главной файловой таблицей (MFA - master file table). NTFS резервирует первые 16 записей таблицы для специальной информации. Первая запись этой таблицы описывает непосредственно главную файловую таблицу, за ней следует зеркальная запись (mirror record) MFT. Если первая запись MFT разрушена, то NTFS читает вторую запись для отыскания зеркального файла MFT, первая запись которого идентична первой записи MFT. Местоположения сегментов данных MFT и зеркального файла MFT записаны в секторе начальной загрузки. Дубликат сектора начальной загрузки находится в логическом центре диска.
Далее в файле MFA следуют другие служебные записи, например, третья запись MFT - файл регистрации (log file) используется для восстановления файлов. Семнадцатая и последующие записи главной файловой таблицы используются собственно файлами и каталогами.
В MFA для каждой записи файла отводится определенный объем пространства. Небольшие файлы и каталоги (до 1500 байт) могут полностью размещаться внутри записи в MFA. Для файлов большего объема указывается их местонахождение подобно тому, как это делается в FAT.
В самом общем виде, для каждого файла или папки хранится набор атрибутов, основным среди которых с позиции безопасности является Security Descriptor (дескриптор безопасности). Именно в нем размещается информация о том, кто является владельцем файла, и какие права по доступу к нему имеют другие пользователи – ACL (Access Control List). Указанные права задаются с помощью маски доступа (access mask). Разрешения для доступа (permissions) подразделяются на:
Теперь рассмотрим, каким образом происходит идентификация пользователя с предоставлением ему определенного набора прав. Во-первых, как и в других аналогичных операционных системах, существует «суперпользователь» - Администратор, который изначально обладает неограниченными правами, в том числе и по назначению или ограничению прав доступа для других пользователей. Таким образом, только Администратор или другой пользователь, принадлежащий к группе администраторов, может изменять содержимое дескриптора безопасности в MFA.
Для каждого пользователя создается специальная учетная запись, в которой в зашифрованном виде хранится вся информация об его пароле доступа. Все учетные записи хранятся в специальном файле SAM (Security Account Management Database).
Структура файла учетных записей SAM.
В отличии от своего предшественника – файла парольных кешей PWL для ОС Windows 9x, файл SAM имеет более сложную структуру и более совершенную систему защиты. Для каждого пользователя формируется учетная запись следующей структуры:
"ИмяПользователя:RID:LM-хэш:NT-хэш:ПолноеИмя,Описание:ОсновнойКаталогПользователя:"
где:
RID - (relative identifier.) - относительный идентификатор, назначаемый для каждого пользователя. Идентификаторы учетных записей Administrator (администратор) и Guest (гость) присваиваются самой ОС и равны соответственно 500 и 501. Другие пользователи в процессе их регистрации и создания учетных записей получают RID от 1000 и выше;
LM-хеш - (Lan Manager) 16-байтный хеш 14-символьного пароля, совместимого с Windows 9x;
NT-хеш - 16-байтный хеш 128-символьного пароля, используемого только в ОС Windows 2k;
содержимое остальных полей – данные о пользователе и его рабочий каталог.
Поскольку интерес для взломщика представляет, естественно, пароль, то остановимся поподробнее на системе его защиты. Во-первых, обратим внимание на то, что в учетной записи содержатся целых два парольных хеша. Объясняется это тем, что согласно концепции локальных сетей фирмы Microsoft, учетная запись пользователя дает ему возможность удаленного доступа к принадлежащим ему ресурсам данного компьютера через локальную сеть. А поскольку в качестве такого удаленного компьютера может использоваться и такой, где установлена ОС Windows 9x, то при формировании парольного хеша в учетной записи накладываются ограничения на длину пароля и способ хеширования. В дальнейшем будет показано, что именно наличие LM-хеша повышает шансы взломщика получить пароль какого-либо зарегистрированного пользователя, поэтому формирование LM-хеша желательно отключить.
NT-хеш является более защищенным и формируется для 128-символьного пароля с учетом регистра нажатых клавиш. Он является основным в ОС Windows 2k.
Оба хеша образуют, так называемый, V-блок.
Алгоритм формирования LM-хеша
Алгоритм формирования NT-хеша
Защита файла SAM
Для хранения файла учетных записей SAM используется системная папка %WindowsRoot%\system32\config\, для которой по умолчанию установлены специальное разрешение “List” для группы “Everyone” и разрешение “Full Control” для группы “Administrators”. Это дает возможность рядовым пользователям просматривать содержимое указанной папки, но блокирует их попытку скопировать файл SAM на другой компьютер для последующего взлома. Операционная система блокирует попытки просмотреть содержимое этого файла даже пользователями с правами администратора.
В этой папке также находятся файл SAM.log с журналом транзакций файла SAM и файл SYSTEM, который, как будет указано ниже, имеет важное значение в обеспечении безопасности Windows 2x.
Копии файлов SAM и SYSTEM, созданные с целью восстановления ОС после сбоев с помощью диска ERD (Emergency Repair Disk), находятся в папке %WindowsRoot%\repair и не защищены от копирования и просмотра.
Файлу SAM также соответствует ветвь системного реестра WINDOWS 2k:
HKEY_LOCAL_MACHINE\SAM\SAM
Для повышения безопасности в ОС Windows 2k в версиях NT (от SP3), 2000, XP используется дополнительное шифрование парольных хешей с помощью утилиты SYSKEY. Она позволяет включить режим дополнительного шифрования учетных записей пользователя в файле SAM. При этом уникальный 128-битовый уникальный ключ для шифрования PEK (Password Encryption Key) автоматически сохраняется для дальнейшего использования в системном реестре. Перед записью в реестр этот ключ PEK, в свою очередь шифруется системным ключом (System Key), который по усмотрению администратора может быть сохранен либо в реестре, либо в виде файла STARTUP.KEY в корневом каталоге «винчестера» или на дискете. Наконец, System Key вообще может вычисляться с помощью алгоритма MD5 при каждом запуске системы на основе пароля, набираемого на клавиатуре в диалоговом окне утилиты SYSKEY. Последние два способа хранения системного ключа обеспечивают максимальную защиту паролей в учетных записях SAM.
Текущую настройку режима SYSKEY соответствует состоянию ключа SecureBoot в разделе реестра HKEY_LOKAL_MACHINE\System\CurrentControlSet\Control\LSAЖ
1 – ключ System Key хранится в реестре;
2 – ключ вводится пользователем при каждом запуске системы;
3 – ключ записывается на дискету.
В операционной системе Windows NT (с SP3) для активизации дополнительной защиты с помощью SYSKEY необходимо выполнить определенную последовательность действий с обязательным предварительным созданием диска ERD. В операционных системах Windows 2000/XP программа SYSKEY изначально присутствует, активизирована, и шифрование не может быть отменено. В этом можно легко убедиться, загрузив программу syskey.exe из папки %WindowsRoot%\system32.
Возможные атаки на файл SAM
Теперь, когда изучены основные составляющие системы безопасности Windows 2k, рассмотрим ее уязвимости, чтобы иметь представление о методах проведения атак взломщиками.
Поскольку получить доступ к ресурсам компьютера можно только легитимному пользователю, то основные усилия хакеры направляют на взлом файла учетных записей SAM. Понятно, что вряд ли кто разрешит хакеру заниматься его взломом непосредственно на том же компьютере, поэтому он будет стремиться скопировать этот файл, благо его размер в несколько десятков килобайт это позволяет. Однако операционная система это не разрешит сделать даже администратору (см. выше). Выход может быть найден в загрузке какой-либо другой операционной системы и доступе к файлу SAM через нее. Это возможно, если в разных разделах «винчестера» имеются несколько ОС, например LINUX, Windows 98 и т.п. (вариант с подключением «винчестера» вторым к другому компьютеру здесь, понятно, рассматривать не будем). Правда, в этом случае нужно учесть, что далеко не каждая ОС поддерживает NTFS-разделы, поэтому они будут попросту не «видны».
Однако взломщик может применить утилиту NTFSDOS (авторы Mark Russinovich, Bryce Cogswell), с помощью которой NTFS-разделы становятся доступными даже после загрузки с системной дискеты MS-DOS. После этого файл SAM без проблем может быть скопирован на ту же дискету. При наличии защиты с помощью SYSKEY придется еще копировать из той же папки и файл системного реестра SYSTEM длиной несколько мегабайт, в котором хранится ключ System Key, но при наличии архиватора, привода флоппи-дисков и времени эта проблема тоже решаема.
Далее скопированные файлы могут быть подвергнуты детальному анализу с помощью специальных программ класса «парольные взломщики».
Первой программой, выполняющей восстановление паролей Windows 2х, была L0phtCrack (сегодняшнее название - LC4). Авторами L0phtCrack являются Peiter Mudge Zatko и Chris Wysopal из фирмы L0pht Heavy Industries, Inc. (сейчас @stake, Inc.).
Программа L0phtCrack позволяет вычислять пароли, используя три метода, известным нам по программе PWL Tools:
При использовании первого метода применяется поисковая словарная таблица, которую определяет специальный файл словаря. Хешированные пароли для всех слов в файле словаря уже являются вычисленными и сравниваются со всеми паролями для пользователей данной SAM. Когда фиксируется соответствие - пароль становится известен. Этот метод чрезвычайно быстр. Тысячи пользователей могут быть проверены при помощи 300 КБ файла словаря всего за несколько минут на обычном PII. Недостаток этого метода состоит в том, что при помощи словаря можно определить только очень простые пароли, которые существуют в английском языке (словарный запас которого не превышает 100 тыс. слов).
Второе метод, использует ту же таблицу, варьируя слова из таблицы.
Третий метод использует последовательный перебор символов типа A-Z, 0-9 и других наборов с вычислением хеша для каждого возможного пароля для этих символов. Единственный недостаток данного метода - время. Набор символов A-Z требует приблизительно 7 часов вычислений на 600 герцовых процессорах PIII или Athlon. Полный перебор набора символов A-Z и 0-9 требует приблизительно трое суток.
Однако, при использовании в пароле нелатинских букв программа L0phtCrack оказывается бессильной, и тогда для восстановления паролей рекомендуется использовать ее модификацию LC+4. Эта программа также имеет русскоязычный интерфейс, а также не требует инсталляции.
Из других программ такого класса наиболее известна SAMInside (автор Александр Полуэктов). Данная программа написана на ассемблере и оптимизирована под разные процессоры, что обеспечивает более высокую скорость перебора сочетаний символов. Программа восстанавливает пароли пользователей Windows NT/2000/XP/2003, импортированных из SAM-файлов и зашифрованных системным ключом SYSKEY. Программа также имеет размер всего несколько десятков килобайт и также не требует инсталляции.
Несколько особняком стоит утилита Offline NT Password & Registry Editor (автор Petter Nordahl-Hagen), которая представляет собой загрузочную дискету с возможностью доступа и редактирования учетных записей в файле SAM.
Меры повышения безопасности Windows 2k.
Теперь, ознакомившись с приемами вскрытия паролей учетных записей, можно сформулировать перечень мер по усилению безопасности Windows 2k. Важнейшая задача системного администратора Windows 2k состоит в защите информации, которая хранится в файле учетных записей SAM, от несанкционированного доступа. С этой целью необходимо:
Контрольные вопросы:
для каждой из групп определить время полного перебора всех комбинаций символов при условии, что пароль не превышает 10 символов. Результаты занести в протокол.
Задание на дом: