Иллюстрированный самоучитель по Secure Web
The ClipBook service is not
C:\>whoami /groups
[Group 1] = "Everyone"
[Group 2] = "BUILTIN\Backup Operators"
[Group 3] = "LOCAL"
[Group 4] = "NT AUTHORITYMNTERACTIVE"
[Group 5] = "NT AUTHORITYXAuthenticated Users"
G:\>main
The ClipBook service is not started.
More 'help is available by typing NET HELPMSG 3521.
Impersonating: SYSTEM Dumping SAM for RID 500 ...
F:Ox020001000000000000000000000000000000000000COO.
V:0x00000000a800000002000100a80000001a000000000c4.
Обратите внимание, что эта программа взлома для выполнения своих губительных действий использует учетную запись SYSTEM. Теперь хакер может взломать пароль администратора и зарегистрироваться в системе. (Напомним, что при наличии системных привилегий это не составляет труда. Гораздо сложнее "пробраться" в группу администраторов.)
Контрмеры против использования именованных каналов
Компания Microsoft выпустила модуль обновления, изменяющий способ создания и размещения именованных каналов диспетчером Win 2000 Service Control Manager (SCM). Его можно найти по адресу http://www.microsoft.com/technet/security/ bulletin/MS00-053 .asp. Этот модуль обновления не вошел в сервисный пакет SP1 и может применяться как до, так и после установки этого пакета.
Привилегии интерактивных учетных записей конечно же необходимо жестко ограничить в любой системе, содержащей конфиденциальные данные, поскольку в противном случае задачи хакера значительно облегчаются. Чтобы проверить права интерактивных учетных записей в системе Windows 2000, запустите аплет Security Policy (либо для локальной политики либо для политики групп), найдите элемент User Rights Assignment в группе Local Policies и ознакомьтесь с тем, как выделяются права при локальной регистрации.
В Win 2000 появилась новая возможность отменять для некоторых групп или пользователей действие многих привилегий. Например, как видно из рисунка, возможность локальной регистрации отменяется путем выбора политики Deny logon locally.
