Иллюстрированный самоучитель по Secure Web


Инвентаризация пользователей и групп NT/2000 - часть 4


Пример сценария, который можно использовать для применения утилит sid2user/user2sid, содержится ниже в разделе "Позвольте Сценариям Выполнить Всю Работу".


Инвентаризация пользователей через протокол NetBIOS: контрмеры


Хотя меры защиты против рассмотренных выше приемов инвентаризации уже рассматривались, не лишним будет упомянуть о них еще раз.

Для блокировки запросов к таблице имен NetBIOS с помощью таких утилит, как nbtstat и nbtscan, лучше всего запретить доступ к TCP- и UDP-портам с номерами 135-139 и 445. В противном случае данные о пользователям можно защитить лишь одним способом — запретив использование служб Alerter и Messenger на отдельных узлах. Способ запуска этих служб при загрузке компьютера можно задать с помощью аплета Services панели управления.

Зашита данных, которые можно получить путем открытия нулевого сеанса с использованием утилиты DumpSec, может быть обеспечена при установке соответствующего значения (типа REG_DWORD, 1 для NT4 и 2 для Win 2000) для параметра RestrictAnonymous системного реестра. Его можно найти в поддереве HKLM\SYSTEM\CurrentControlSet\ Control\LSA.

Предотвратить попытки извлечения данных с помощью утилит sid2user/user2sid можно лишь одним способом, а именно запретив доступ к портам 139 и 445.

Инвентаризация пользовательских учетных записей с помощью протокола SNMP


Не забывайте о том, что компьютеры под управлением системы Windows, на которых запущен агент SNMP, будут предостаапять информацию об учетных записях таким средствам, как, например, утилита IP Network Browser от компании Solar Winds (см. рис. 3.3 выше в данной главе). Более подробные сведения о мерах защиты против инвентаризации SN М Р содержатся в предыдущем разделе.

Инвентаризация службы активного каталога .'#." Win 2000 с помощью утилиты ldp


Наиболее существенным изменением, внесенным компанией Microsoft в свою новую операционную систему Win 2000, является добавление в нее службы каталогов, работа которой основана на протоколе LDAP (Lightweight Directory Access Protocol — упрошенный протокол доступа к каталогам). Компания Microsoft называет эту службу активные каталогом (Active Directory). В активном каталоге содержится унифицированное логическое представление всех объектов корпоративной сети. С точки зрения инвентаризации, активный каталог является прекрасным источником извлечения требуемой информации. Среди разнообразных средств поддержки Windows 2000 (которые можно найти на установочном компакт-диске серверной версии в папке Support\Tools) имеется простой клиент LDAP (ldp.exe), предназначенный для администрирования активного каталога.



Начало  Назад  Вперед