Дополнительные возможности получения информации о паролях

Если в сети есть машины с установленными на них операционными системами Windows 3.11, Windows for Workgroups или Windows 95/98/Me, то имеются дополнительные возможности получения информации о паролях.

По умолчанию в этих операционных системах выполняется кэширование паролей пользователей на диск в файлы %WinDir%<ИмяПользователя>.pwl (PassWord List (англ.) - список паролей). Пароли хранятся в зашифрованном виде, причем регистр букв игнорируется (всегда используется верхний регистр). Алгоритм шифрования паролей начиная с Windows 95 OSR2 был изменен, так как была исправлена обнаруженная ошибка, поэтому восстановить пароли из старых PWL-файлов значительно проще. Для этого могут быть применены программы Glide (автор Frank Andrew Stevenson), PWL_Key (автор Артур Иванов), PwlHack (автор Владимир Калашников), PwlTool (авторами являются Vitas Ramanchauskas, Евгений Королев). Для восстановления паролей из новых PWL-файлов можно использовать PwlHack или PwlTool.

При разрешенном кэшировании паролей с момента входа и регистрации пользователя в Windows и до момента выхода пароли можно определить, запустив программу PwlView (авторами являются Vitas Ramanchauskas, Евгений Королев). Показываются кэшируемые пароли на локальной машине для текущего пользователя, используя недокументированные функции Windows API.

Если пользователь Windows NT/2000/XP/2003 является одновременно пользователем Windows 3.11, Windows for Workgroups или Windows 95/98/Me и будет определен его пароль (как пользователя Windows 3.11, Windows for Workgroups или Windows 95/98/Me), в котором, как уже упоминалось ранее, содержатся только символы верхнего регистра, то с помощью LCP пароль Windows NT/2000/XP/2003 может быть легко определен. Необходимо в качестве известных символов пароля указать символы ранее определенного пароля пользователя Windows 3.11, Windows for Workgroups или Windows 95/98/Me.

Рекомендации администратору Windows 3.11, Windows for Workgroups и Windows 95/98/Me

На машинах с Windows 3.11, Windows for Workgroups и Windows 95/98/Me:

* отключить кэширование паролей в Windows 3.11 и Windows for Workgroups. Для этого в файле %WinDir%system.ini добавить следующий параметр:

[NETWORK]

PasswordCaching=no

* отключить кэширование паролей в Windows 95/98/Me. Для этого с помощью редактора реестра найти в реестре двоичный параметр DisablePwdCaching и установить его в 1 (создав его, если он не существовал) в разделе

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork

* после отключения кэширования паролей удалить все PWL-файлы с диска и перезагрузить операционную систему;

* если конфигурация компьютера удовлетворяет аппаратным требованиям операционных систем Windows NT/2000/XP/2003, перейти на их использование.

Рекомендации администратору Windows NT/2000/XP/2003

На машинах с Windows NT/2000/XP/2003:

* сделать недоступным для вскрытия корпус компьютера для предотвращения возможного отключения жесткого диска с операционной системой или подключения другого диска;

* в Setup разрешить загрузку только с жесткого диска, чтобы не допустить загрузку с другого носителя;

* установить пароль на вход в Setup, не позволяя отменить запрет на загрузку с другого носителя;

* Windows NT/2000/XP/2003 должна быть единственной операционной системой, установленной на машине, что делает невозможным копирование и замену файлов из других операционных систем;

* использовать только файловую систему NTFS, отказаться от использования FAT и FAT32;

* удостовериться в Windows NT, что установлен Service Pack 3 или более поздний и активизирована служебная программа SYSKEY;

* отказаться от хранения ключа запуска в реестре, изменив в программе SYSKEY размещение ключа запуска на использование пароля запуска или хранение ключа запуска в файле на дискете;

* использовать встроенную в операционные системы Windows 2000/XP/2003 возможность шифрования файлов посредством EFS (Encrypting File System (англ.) - файловая система с шифрованием), являющейся частью NTFS5;

* запретить удаленное управление реестром, остановив соответствующую службу;

* запретить использовать право отладки программ SeDebugPrivilege. Для этого в оснастке "Локальная политика безопасности" нужно выбрать элемент "Параметры безопасностиЛокальные политикиНазначение прав пользователя" и в свойствах политики "Отладка программ" удалить из списка всех пользователей и все группы;

* отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами подключаться к ним через сеть. Для этого необходимо добавить в реестр параметр AutoShareWks (для версий Workstation и Professional) или AutoShareServer (для версии Server) типа DWORD и установить его в 0 в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

Диапазон: 0-1, по умолчанию - 1.

0 - не создавать особые общие ресурсы;

1 - создавать особые общие ресурсы.

Подробнее об удалении особых общих ресурсов можно прочитать в статье KB314984 HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers (для версий Workstation и Professional) и в статье KB318751 HOW TO: Remove Administrative Shares in Windows 2000 (для версии Server);

* запретить или максимально ограничить количество совместно используемых сетевых ресурсов;

* ограничить анонимный доступ в операционных системах Windows NT/2000, позволяющий при анонимном подключении получать информацию о пользователях, политике безопасности и общих ресурсах. В Windows NT/2000 нужно добавить в реестр параметр RestrictAnonymous типа DWORD в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Диапазон: 0-2, по умолчанию - 0 для Windows NT/2000, 1 - для Windows XP/2003.

0 - не ограничивать, положиться на заданные по умолчанию разрешения;

1 - не разрешать получать список учетных записей и имен пользователей;

2 - не предоставлять доступ без явных анонимных разрешений (недоступно в Windows NT).

Подробнее об ограничении анонимного доступа можно прочитать в статье KB143474 Restricting Information Available to Anonymous Logon Users (для Windows NT) и в статье KB246261 How to Use the RestrictAnonymous Registry Value in Windows 2000 (для Windows 2000);

* запретить хранение LM-хэшей в операционных системах Windows 2000/XP/2003 для затруднения восстановления паролей злоумышленником, вынуждая использовать для этого NT-хэши. Для этого необходимо добавить в реестр параметр NoLMHash типа DWORD и установить его в 1 в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Диапазон: 0-1, по умолчанию - 0.

0 - хранить LM-хэши;

1 - не хранить LM-хэши.

Подробнее о запрещении хранения LM-хэшей можно прочитать в статье KB299656 How to Prevent Windows from Storing a LAN Manager Hash of Your Password in Active Directory and Local SAM Databases;

* если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование LM-аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:

o LMCompatibilityLevel типа DWORD в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

Диапазон: 0-5, по умолчанию - 0.

0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;

1 - использовать аутентификацию NTLMv2, если это необходимо;

2 - посылать только NT-ответ;

3 - использовать только аутентификацию NTLMv2;

4 - контроллеру домена отказывать в LM-аутентификации;

5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).

o NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0

Диапазон: объединенные по логическому ИЛИ любые из следующих значений:

0x00000010 - целостность сообщений;

0x00000020 - конфиденциальность сообщений;

0x00080000 - безопасность сеанса NTLMv2;

0x20000000 - 128-битное шифрование.

Подробнее об использовании NTLMv2 можно прочитать в статье KB147706 How to Disable LM Authentication on Windows NT;

* если в сети присутствуют только клиенты с Windows 2000/XP/2003, то рекомендуется использовать протокол аутентификации Kerberos;

* запретить отображение имени пользователя, который последним регистрировался в операционной системе, в диалоговом окне регистрации. Для этого нужно добавить в реестр строковый параметр DontDisplayLastUserName и установить его в 1 в разделе

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Диапазон: 0-1, по умолчанию - 0.

0 - отображать имя последнего пользователя;

1 - не отображать имя последнего пользователя.

Подробнее о запрещении отображения имени пользователя можно прочитать в статье KB114463 Hiding the Last Logged On Username in the Logon Dialog;

* запретить запуск экранной заставки при отсутствии регистрации пользователя операционной системы в течение некоторого времени. Для этого нужно в реестре значение строкового параметра ScreenSaveActive установить в 0 в разделе

HKEY_USERS.DEFAULTControl PanelDesktop

Подробнее о запрещении запуска экранной заставки можно прочитать в статье KB185348 HOW TO: Change the Logon Screen Saver in Windows;

* при выборе паролей Windows NT/2000/XP/2003 соблюдать следующие правила:

o не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией;

o длина пароля в Windows NT должна быть не менее 7 символов (при максимально возможной длине пароля в 14 символов), в Windows 2000/XP/2003 - более 14 символов (при максимально возможной длине пароля в 128 символов);

o пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы (причем в каждой из 7-символьных половин пароля, если длина пароля менее или равна 14);

o символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу;

* своевременно выполнять установку пакетов исправлений и обновлений операционной системы;

* переименовать административную и гостевую учетные записи, отключив при этом последнюю;

* избегать наличия учетной записи с именем и паролем, совпадающими с административной, на другом компьютере в качестве обычной учетной записи;

* иметь только одного пользователя с административными правами;

* задать политику учетных записей (блокировку учетных записей после определенного числа ошибок входа в систему, максимальный срок действия пароля, минимальную длину пароля, удовлетворение пароля требованиям сложности, требование неповторяемости паролей и т.д.);

* установить аудит неудачных входов;

* воспользоваться программами из пакета Microsoft Security Tool Kit, в частности HFNetChk и Microsoft Baseline Security Analyzer (написаны Shavlik Technologies LLC для Microsoft), проверяющими наличие установленных обновлений и имеющихся ошибок в настройке системы безопасности;

* периодически выполнять аудит паролей, используя программу LCP или подобные ей.

Шевлюга Анна

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://www.nodevice.ru/