Иллюстрированный самоучитель по Secure Web


Использование доверительных отношений - часть 2


К сожалению, такие ситуации встречаются гораздо чаще, чем хотелось бы. Чтобы исправить положение, необходимо проверить, не имеют ли место в вашей сети следующие факты.

  •  Пароли локальных учетных записей Administrator совпадают с паролями членов группы Domain Admins.
  •  Пароли и пользовательские имена локальных учетных записей совпадают с паролями и пользовательскими именами учетных записей домена (особенное внимание необходимо уделить учетным записям, которые входят в группу Domain Admins).
  •  В полях комментария указана информация, которая может послужить подсказкой для получения данных о пароле домена, например: "Пароль такой же, как и у администратора на SERVER1".

Контрмеры против дублирования данных учетных записей


Самой лучшей защитой от таких "подводных камней" является использование сложных паролей для всех учетных записей группы администраторов домена и их последующее регулярное изменение (не реже, чем один раз в месяц). Кроме того, пользовательские учетные записи не должны использоваться для выполнения административных функций. Если в этом есть необходимость, создайте для таких пользователей специальные учетные записи и установите режим их аудита. Например, вместо того чтобы вносить учетную запись jsmith в группу Domain Admins, создайте учетную запись jsmitha с соответствующим уровнем привилегий. (Обратите внимание, что не стоит создавать учетные записи вида isadmin, поскольку они сразу же привлекут внимание взломщика.)

Еще одним хорошим практическим методом является использование NT-варианта утилиты UNIX su (из набора NTRK) для запуска команд с привилегиями другого пользователя.

Встроенная команда runae Windows 2000 предоставляет более простой способ запуска приложений с необходимыми привилегиями. Например, следующая команда runas запускает сеанс командной оболочки, работающий в контексте учетной записи Administrator домена DOMAIN2.

runas /user:domain2\administrator cmd.exe

Атака на секреты LSA


Эта атака может послужить одним из самых ярких примеров той опасности, к которой может привести хранение регистрационных данных в незашифрованном виде. Такая информация вместе с некоторыми другими важными данными хранится системой NT во многих местах. Процесс получения конфиденциальной информации носит название атаки на секреты подсистемы защиты LSA (Local Security Authority). Эту информация определяется параметром системного реестра HKEY_LOCAL_MACHINE\-SECURITY\Policy\Secrets. К секретам LSA относятся следующие данные.



Начало  Назад  Вперед