Иллюстрированный самоучитель по Secure Web


Расширение привилегий - часть 2


C:\>whoami /groups

[Group 1] = "Everyone"

[Group 2] = "BUILTIN\Backup Operators"

[Group 3] = "LOCAL"

[Group 4] = "NT AUTHORITYMNTERACTIVE"

[Group 5] = "NT AUTHORITYXAuthenticated Users"

G:\>main

The ClipBook service is not started.

More 'help is available by typing NET HELPMSG 3521.

Impersonating: SYSTEM Dumping SAM for RID 500 ...

F:Ox020001000000000000000000000000000000000000COO.

V:0x00000000a800000002000100a80000001a000000000c4.

Обратите внимание, что эта программа взлома для выполнения своих губительных действий использует учетную запись SYSTEM. Теперь хакер может взломать пароль администратора и зарегистрироваться в системе. (Напомним, что при наличии системных привилегий это не составляет труда. Гораздо сложнее "пробраться" в группу администраторов.)

Контрмеры против использования именованных каналов


Компания Microsoft выпустила модуль обновления, изменяющий способ создания и размещения именованных каналов диспетчером Win 2000 Service Control Manager (SCM). Его можно найти по адресу http://www.microsoft.com/technet/security/ bulletin/MS00-053 .asp. Этот модуль обновления не вошел в сервисный пакет SP1 и может применяться как до, так и после установки этого пакета.

Привилегии интерактивных учетных записей конечно же необходимо жестко ограничить в любой системе, содержащей конфиденциальные данные, поскольку в противном случае задачи хакера значительно облегчаются. Чтобы проверить права интерактивных учетных записей в системе Windows 2000, запустите аплет Security Policy (либо для локальной политики либо для политики групп), найдите элемент User Rights Assignment в группе Local Policies и ознакомьтесь с тем, как выделяются права при локальной регистрации.

В Win 2000 появилась новая возможность отменять для некоторых групп или пользователей действие многих привилегий. Например, как видно из рисунка, возможность локальной регистрации отменяется путем выбора политики Deny logon locally.




Начало  Назад  Вперед