Главная Security, Windows, Новое Взлом пароля администратора домена или почему рулит комплексная безопасность.
  • Взлом пароля администратора домена или почему рулит комплексная безопасность.

    SecurityAlert Компания Майкрософт уже довольно давно продвигает на рынок идеологию  обеспечения безопасности “Defence in depth” (эшелонированная оборона). Название  было заимствовано у военных стратегов, а смысл заключается в том, что бороться за безопасность нужно на каждом участке. Сама стратегия делит все рубежи защиты на 7 участков, каждый из которых подразумевает свой комплекс мер. Для тех кто считает, что пароль из 14 символов это верх защиты их корпоративной сети посвящается следующая “пошаговка”. Для выполнения ее необходим уровень знаний продвинутого пользователя, физический доступ к контролеру домена и желание покопаться 15 минут в Google.

    Проще говоря Bitlocker, RODC и физическая безопасность  серверной  “рулят”.

    Для выполнения следующих манипуляций был выбран контроллер домена Windows Server 2008R2 (чего уж скромничать). Естественно я не знаю паролей  учетных записей и допускаю то что они достаточно сложны, а следовательно проверять варианты “sex,god,123,password” смысла особого нет.

    Зайдя в Google и введя в строке поиска “Reset Password Domain Administrator” я первой строчкой попадаю на сайт израильского MVP, который в деталях описывает процесс сброса пароля доменного администратора. Одно но, чтобы использовать данный способ нужно знать пароль администратора DSRM, для тех кто запамятовал поясняю, что это учетная запись хранится на контроллере домена локально и используется в случаях когда вашей службе каталогов “совсем плохо”, т.е для восстановления. Но увы, я этого пароля не знаю.

    Поэтому я отрываю в вторую закладку в браузере и ввожу опять же в Google текст  “linux cd for reset administrator password” и ищу образ загрузочного диска который позволит мне сбросить пароль DSRM. И на сайте опять же американского специалиста Petter Nordahl-Hagen нахожу нужный диск. Скачать его можно отсюда.

    А дальше? Дальше процесс не требующий никакой умственной деятельности.

    1

    Грузим наш сервер с диска скачанного по ссылке.

    2

    Выбираем раздел жесткого диска с системой. У меня на слайде их два и это не удивительно Windows Server 2008 R2 создает раздел в 200 мегабайт на случай включения Bitlocker.

    3

    Выбираю опцию “Password Reset” и нажимаю Enter.

    4

    Дале говорю, что желаю редактировать учетную запись.

    5

    Указываю, что меня интересует учетная запись Administrator.

    6

    И в итоге выхожу на запрос, что сделать с данной учеткой. Я сбрасывал пароль на пустой, хотя можно просто задать свой пароль.

    7

    Не забываю сохранить сделанные изменения, в противном случае от ваших действий толку будет ноль. После сохранения ухожу в перезагрузку и при старте компьютера нажима. F8 дабы попасть на выбор вариантов загрузки.

    1

    Естественно выбираю вариант загрузки “Directory Service Restore Mode”, чтобы зайти под учетной записью DSRM-администратора.

    2

    Выбираю “вход под другой учетной записью” т.е  локальный вход и ввожу если осуществлял смену пароля либо оставляю пусты пароль DSRM-администратора.

    3

    Далее делаю следующее: создаю на диске C: папку с именем “tools”  и копирую в нее содержимое диска, набор утилит позаимствованных у MVP. Скачать можно отсюда. И добавляю в эту папку файл cmd.exe, взятый из  каталога C:\Windows\System32.

    4

    После запускаю командную строку и ввожу “instsrv PassRecovery “C:\tools\srvany.exe””. Это даст мне возможность запустить srvany.exe как сервис с именем PassRecovery, запустится который с привилегиями SYSTEM.

    5

    Остается самая малость. Открыть редактор реестра и раскрыть ветку

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PassRecovery

    Создана данная ветка была при установке службы шагом выше.

    6

    В ней мы создаем папку для наших будущих ключей с именем “Parameters”. Имя только такое.

    7

    Создаю два ключа реестра с именами Application и AppParameters. Application указывает на пусть к командной строке в нашей папке.

    AppParameters описывает, что должно в этой командной строке выполниться. А выполнится там команда “net user” и сбросит пароль учетной записи administrator (на этот раз доменной)  на Pa$$w0rd. Такой чудной пароль был выбрал не случайно, просто он соответствует требованиям сложности, которые будут проверяться при сбросе пароля.

    name: Application

    type: REG_SZ (string)

    value: с:\tools\cmd.exe

    name: AppParameters

    type: REG_SZ (string)

    value: /k net user administrator Pa$$w0rd /domain

    8

    Напоследок нахожу созданную мной  службу PassRecovery и ее свойствах ставлю галочку “Allow Service to interact with desktop”. Можно перезагружаться в нормально режиме.

    9

    Когда я загрузился  и удостоверился, что пароль был сброшен, служба была остановлена и удалена. Следом за ней и все файлы из папки C:\tools.

    Вывод: Способ топорный (+ баянный), но действенный как автомат Калашникова. Год назад  на сайте Павла Нагаева был  продемонстрировано другой вариант получения нужного доступа посему важность физической безопасности вашей серверной и шифрования нисколько не преувеличена.

    MCT Илья Рудь

Комментарии

  1. Что сказать? На самом деле еще лет 5-6 назад Microsoft заявлял “Компьютер к которому злоумышленник может получить физический доступ, больше не ваш компьютер!” И это правда.
    Что касается BitLocker – то в данном случае, опять таки, опираясь на Microsoft, стоит вспомнить, что шифрование жесткого диска – последняя линия обороны (физической защиты).
    Единственное о чем советовал бы помнить применяя шифрование – о том, чтобы не нарушить законы своей страны.
    В частности на Украине можно применять только сертифицированные СБУ средства шифрования, в РФ, думаю, аналогично.
    Если у вас на сервере нет ТРМ, то рекомендую обратить внимание на Secret Disk от Aladdin. Так как без ТРМ шифрование недостаточно устойчиво к взлому (см. мои же статьи по шифрованию на этом майте), то применение Secret Disk с ключами, которые будут храниться в eToken позволит решить эту проблему

  2. Может ктонить может точно расказать, как сейчас обстоит ситуация в России с TPM и Bitlocker с правовой точки зрения?

  3. Думаю стоит покопаться тут http://www.microsoft.com/Rus/Security/Certificate/Default.mspx

  4. В идеале создается новый аккаунт доменного админа, под которым происходят все телодвижения. Тогда атака будет значительно менее заметна.

  5. логично предположить, что данная атака актуальна и для клиентских компьютеров, та часть, где про сброс пароля. впрочем всё это лечится достаточно легко, и так же топорно как и принцип самой атаки. простым запретом записи в папку профилей для администратора. система выкидывает обратно в окно привествия с предложением ввести учетные данные снова, не показывая никаких ошибок. профиль администратора должен быть предварительно удален.
    более гибкий вариант – запретить через GPO.

  6. Сергей, что мне подсказывает, что это не очень способ защиты) Особенно если учесть, что тоже на раз-два обходится.

  7. Согласен, его можно обойти. Это даже не бесконечно сложно. Однако на практике много “кулхацкеров” из числа студентов сыпалось именно на этом простом и топорном методе, потому что он не показывает ошибоки. Я был админом в колледже с кучей действительно одаренных студентов, шаловливые ручки которых искали дыры в безопастности всё время. Для меня бесценный опыт.

    М ывсе знаем что универсальной защиты не существует. Комплекс мер решает всё. Нужно только что бы количество мер сужало круг возможных атак на систему.

  8. Проверил я – не сбрасывает пароля домена. Я имею локального админа. а как мне пароль домменого админа сбросить и взять себе права?!

  9. anonym, я думаю всеже надо еще раз внимательно пройти по инструкции и присмотреться к илюстрациям, скорей всего вы на каком-то шаге ошиблись.
    Можете посмотреть процедуру в оригинале, ссылка есть в самом начале. Но я не думаю, что в них есть принципиальная разница.

  10. Я ради любопытства попробовал сбросить пароль на виртуалке!
    Создал рядовую учетку админа и отключил главную Администатор.
    (Всегда так делаю) Выше указаннымспособом пароль не сбросился хотя я пробовал раз 20. И разные варианты пароля , и имя учетки вместо administrator подставлять.
    Может когда главный админ отключен то этот способ не работает?

  11. Я пробовал не дефолтном доменном Администраторе. Попробую как нибудь с другой учетной записью скажу.

  12. Владимир, Secret Disk только недавно “научился” шифровать раздел самой системы (в 4-й версии). А умеет ли он работать без наличия ключа, после загрузки?
    А вообще Secret Disk, как и любая сторонняя разработка, имеет немалое количество своих минусов. Например, с 3-й версией теневые копии разделов не работали в принципе! Про интеграции с AD даже и мыслей не было.

  13. это слишком громоздкий метод. можно гораздо элегантнее сломать пасс админа, всего лишь нужен запуск cmd при логон-экране. я уверен что Илья Рудь знает как это сделать:)Экранная клавиатура вызываемя до логона это не есть гуд, дырочка, опять таки при наличии физ доступа.

  14. Да, знаю. Еще давно Станкевич просветил.

  15. 🙂 я пробовал Ophcrack вообщем проблем не было, он просто в течении 10-20 минут вскрывал пароль на сервере:) и все гораздо проще…

  16. Здравствуйте. Я не очень уверенный пользователь, а скорее “чайник”. Из прочитанного практически ничего не понял, “буржуинским” практически не владею, но надеюсь, что Вы подскажете мне, как проще восстановить систему (восстановление отключено какой-то групповой политикой и требует связаться с администратором домена)? Отправлять sms крайне не хотелось бы. Заранее спасибо. Могу отблагодарить простым переводом в разумных пределах по факту (адрес или расч.счет сообщите тоже).

  17. Сергей Викторович, я точно также ничего не понял из вашего сообщения))) Поиграю в телепата и предположу, что у вас не грузится ОС и просит отослать СМС.

    Если так то вам сюда:
    http://www.drweb.com/unlocker/index
    http://support.kaspersky.ru/viruses/deblocker

  18. Мотивирующий пост 🙂

  19. Илья, здравствуйте, прсвятите пожалуйста по поводу Вашего 14 комментария, что конкретно Вам рассказал Станкевич, я к сожалению ничего не смог найти по наводящим комбинациям. От себя могу тоже немножко добавить нашел любопытную статью может мысль будет интересна и Вам http://www.inattack.ru/article/499.html

  20. Илья, здравствуйте, прсвятите пожалуйста по поводу Вашего 14 комментария, что конкретно Вам рассказал Станкевич, я к сожалению ничего не смог найти по наводящим комбинациям. От себя могу тоже немножко добавить нашел любопытную статью может мысль будет интересна и Вам http://www.inattack.ru/article/499.html

  21. Круто. Это штука работает. Серевер 1,5 года работал без управления после уволнения админа. А тут раз и все. Как говориться получите пароль админа и распишитесь.

  22. А может ли этот метод помочь, если учетная запись администратора заблокирована (Account is locked out) из-за нескольких попыток ввода неверного пароля?

  23. Там есть такой функционал.

  24. Что то по всем вложениям not found. Особенно набор утилит интересует

  25. Вот нашел более простой способ и нужен только диск с win 2008

    http://lordoftheping.blogspot.com/2009/05/i-did-not-use-my-tests-virtual-machines.html

  26. Скажите кто-нибудь пробовал данный способ на MS Windows Server 2003 R2 ?

  27. А возможно ли как то защитить сервер от кражи информации?
    Суть вопроса: необходимо клиенту установить специфичный софт на его сервер, и защитить этот софт от копирования и установки в другом месте. (необходимо чтобы софт просто работал и предоставлял свои сервисы в сеть клиента)
    Возникла идея установить на сервере клиента виртуальную машину, а в ней будет крутиться гостевая ось (винда) на этой гостевой будет крутиться необходимый софт и предоставлять сервисы.
    А саму гостевую ось превратить в “черную коробочку”, чтобы работала, но информацию с нее вытянуть нельзя было. могут ли в этом случае помочь truecrypt или bitlocker? возможно ли при их использовании сделать автоматическую загрузку гостевой виртуальной машины? при шифрации диска этими программами, сброс пароля на гостевой виртуалке позволит добраться до данных?

  28. Добрый день, прочел у вас про пароль на win 2008 server. Cколько не пробовал не получается у меня все равно. Напишите мне смс на 8-95два-87четыре-9ноль-26 , я вам перезвоню , и неважно какой у вас оператор, у меня безлимитка. Посовещаюсь с вами, с меня плюшки-)

  29. alex не майся дурью гугли “admin password utilman.exe”

  30. Logrus, расскажите о своём способе? Попробую сегодня этот, но не уверен, что сработает

  31. Евгений,ответ ferrumik вам подойдёт