Главная Windows, Новое DNS, Windows 7, Windows Server 2008
  • nslookup Wpad или что забыли при настройке Web Proxy Autodiscovery

    • Рубрика: Windows,Новое
    • Автор: Илгиз Мамышев
    • Дата: Tuesday 14 Jul 2009

    N002[5] В процессе настройки механизма автоматического определения прокси сервера в сети столкнулся с неожиданной проблемой – DNS не разрешает запись WPAD. Соответственно браузер не может автонастроиться на прокси сервер и получить доступ в Интернет.

  • Главная Windows Active Directory
    • Снимки Active Directory в Windows Server 2003

      • Рубрика: Windows
      • Автор: Илья Рудь
      • Дата: Saturday 04 Jul 2009

      canon      Одной из новых возможностей в Windows Server 2008 было создание снимков состояния Active Directory, которые должны были стать подспорьем в случае восстановления службы каталогов. Бесспорно, довольно интересная штатная возможность. Недавно в 1001-й раз запускал одну из самых любимых утилит из комплекта  SYSINTERNALS под названием AdExplorer  и совершенно случайно остановил взгляд в меню на слове “Snapshot”.  Сама утилита Active Directory Explorer не что иное, как  средство просмотра и редактирования Active Directory (AD). Не смотря на то, что это могут и родные утилиты Windows Server 2003, я выбрал ее за приятный и удобный интерфейс. С выходом Windows Server 2008 она по-прежнему остается актуальным инструментом. Но теперь ближе к теме.

      К своему стыду я выяснил, что одной из возможностей утилиты AdExplorer является создание снимков Active Directory с последующим их сохранением в **.DAT файлы. Получается, что создание снимка в Windows Server 2003 вполне обычное дело, пусть и выполняемое сторонними средствами.

      snap1 

      Запустив утилиту и подключившись к вашему контроллеру домена в меню файл можно обнаружить функцию “Create Snapshot”.

      snap2

      Далее указываем имя снимка и его местоположение, а также процент максимальной загрузки сервера на который мы готовы пойти для создания снимка. В примечании указано, что при выборе 25% времени на создание снимка базы понадобится в 4 раза больше времени. Остается нажать “Ок” и дождаться окончания процесса. На моем виртуальном контроллере на базе Windows Server 2003  снимок  создался за 10 секунд с весом файла снимка 2,4 мегабайта. Файл ntds.dit  в оригинале весил чуть более 10 мегабайт.

      snap3 

      Теперь при желании просмотреть состояние нашей Active Directory, достаточно при запуске утилиты указать, что вы хотите использовать снимок для загрузки. В принципе можно сказать, что и все, но тогда бы я скрыл от вас самое вкусное. Имея несколько снимков Active Directory, вы с легкостью можете их сравнить. Естественно не вручную отыскивая изменения, а используя опцию “Compare Snapshot”

      snap4

      snap5

      В появившемся меню необходимо указать с каким снимком будет осуществляться сравнение и главное полным оно будет или частичным. На моем тестовом сервере я создал два снимка отличающиеся друг от друга одним единственным пользователем. В результате на выходе я получил следующее окно:

      snap6

      По результатам сравнения я могу сдать вывод, что в промежутке между созданиями снимков была заведена учетная запись пользователя Vasya Pupkin и изменился атрибут “rIDNextRID”, описывающий  RID, который будет выдан следующему объекту  Active Directory.

      Еще одним плюсом данного решения является  возможность создать расписание  для автоматического снятия образов Active Directory. Для этого понадобится создать пакетный файл запускающий утилиту с ключом «-snapshot», после чего поставить его запуск по расписанию. Получается очень дружелюбное и простое решение для владельцев контроллеров домена Windows Server 2003.

      MCT Илья Рудь

    • Главная Windows, Новое Active Directory
      • Active Directory — трудности перевода. Часть 3

        • Рубрика: Windows,Новое
        • Автор: Илья Рудь
        • Дата: Wednesday 01 Jul 2009

        intranet-active-directory К концу второй части наша организации доросла до двух офисов, и вы познакомились с понятием сайтов. Вполне может быть, что на этом ваша сеть и остановится в росте, но мы пойдем дальше.

        К вам опять подходит Шеф, но теперь сообщает другую новость о том что сегодня за завтраком он купил еще одну фирму . И теперь очень хочет от вас услышать, как вы видите дальнейшую организацию вашей сети. Прежде чем делать какие-то выводы, вы обязаны задать несколько ключевых вопросов.

      • Главная Security, Windows, Новое Active Directory
        • Взлом пароля администратора домена или почему рулит комплексная безопасность.

          SecurityAlert Компания Майкрософт уже довольно давно продвигает на рынок идеологию  обеспечения безопасности “Defence in depth” (эшелонированная оборона). Название  было заимствовано у военных стратегов, а смысл заключается в том, что бороться за безопасность нужно на каждом участке. Сама стратегия делит все рубежи защиты на 7 участков, каждый из которых подразумевает свой комплекс мер. Для тех кто считает, что пароль из 14 символов это верх защиты их корпоративной сети посвящается следующая “пошаговка”. Для выполнения ее необходим уровень знаний продвинутого пользователя, физический доступ к контролеру домена и желание покопаться 15 минут в Google.

          Проще говоря Bitlocker, RODC и физическая безопасность  серверной  “рулят”.

          Для выполнения следующих манипуляций был выбран контроллер домена Windows Server 2008R2 (чего уж скромничать). Естественно я не знаю паролей  учетных записей и допускаю то что они достаточно сложны, а следовательно проверять варианты “sex,god,123,password” смысла особого нет.

          Зайдя в Google и введя в строке поиска “Reset Password Domain Administrator” я первой строчкой попадаю на сайт израильского MVP, который в деталях описывает процесс сброса пароля доменного администратора. Одно но, чтобы использовать данный способ нужно знать пароль администратора DSRM, для тех кто запамятовал поясняю, что это учетная запись хранится на контроллере домена локально и используется в случаях когда вашей службе каталогов “совсем плохо”, т.е для восстановления. Но увы, я этого пароля не знаю.

          Поэтому я отрываю в вторую закладку в браузере и ввожу опять же в Google текст  “linux cd for reset administrator password” и ищу образ загрузочного диска который позволит мне сбросить пароль DSRM. И на сайте опять же американского специалиста Petter Nordahl-Hagen нахожу нужный диск. Скачать его можно отсюда.

          А дальше? Дальше процесс не требующий никакой умственной деятельности.

          1

          Грузим наш сервер с диска скачанного по ссылке.

          2

          Выбираем раздел жесткого диска с системой. У меня на слайде их два и это не удивительно Windows Server 2008 R2 создает раздел в 200 мегабайт на случай включения Bitlocker.

          3

          Выбираю опцию “Password Reset” и нажимаю Enter.

          4

          Дале говорю, что желаю редактировать учетную запись.

          5

          Указываю, что меня интересует учетная запись Administrator.

          6

          И в итоге выхожу на запрос, что сделать с данной учеткой. Я сбрасывал пароль на пустой, хотя можно просто задать свой пароль.

          7

          Не забываю сохранить сделанные изменения, в противном случае от ваших действий толку будет ноль. После сохранения ухожу в перезагрузку и при старте компьютера нажима. F8 дабы попасть на выбор вариантов загрузки.

          1

          Естественно выбираю вариант загрузки “Directory Service Restore Mode”, чтобы зайти под учетной записью DSRM-администратора.

          2

          Выбираю “вход под другой учетной записью” т.е  локальный вход и ввожу если осуществлял смену пароля либо оставляю пусты пароль DSRM-администратора.

          3

          Далее делаю следующее: создаю на диске C: папку с именем “tools”  и копирую в нее содержимое диска, набор утилит позаимствованных у MVP. Скачать можно отсюда. И добавляю в эту папку файл cmd.exe, взятый из  каталога C:\Windows\System32.

          4

          После запускаю командную строку и ввожу “instsrv PassRecovery “C:\tools\srvany.exe””. Это даст мне возможность запустить srvany.exe как сервис с именем PassRecovery, запустится который с привилегиями SYSTEM.

          5

          Остается самая малость. Открыть редактор реестра и раскрыть ветку

          HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PassRecovery

          Создана данная ветка была при установке службы шагом выше.

          6

          В ней мы создаем папку для наших будущих ключей с именем “Parameters”. Имя только такое.

          7

          Создаю два ключа реестра с именами Application и AppParameters. Application указывает на пусть к командной строке в нашей папке.

          AppParameters описывает, что должно в этой командной строке выполниться. А выполнится там команда “net user” и сбросит пароль учетной записи administrator (на этот раз доменной)  на Pa$$w0rd. Такой чудной пароль был выбрал не случайно, просто он соответствует требованиям сложности, которые будут проверяться при сбросе пароля.

          name: Application

          type: REG_SZ (string)

          value: с:\tools\cmd.exe

          name: AppParameters

          type: REG_SZ (string)

          value: /k net user administrator Pa$$w0rd /domain

          8

          Напоследок нахожу созданную мной  службу PassRecovery и ее свойствах ставлю галочку “Allow Service to interact with desktop”. Можно перезагружаться в нормально режиме.

          9

          Когда я загрузился  и удостоверился, что пароль был сброшен, служба была остановлена и удалена. Следом за ней и все файлы из папки C:\tools.

          Вывод: Способ топорный (+ баянный), но действенный как автомат Калашникова. Год назад  на сайте Павла Нагаева был  продемонстрировано другой вариант получения нужного доступа посему важность физической безопасности вашей серверной и шифрования нисколько не преувеличена.

          MCT Илья Рудь

        • Главная Security, Windows, Новое Security, Windows XP
          • Расчет вероятности взлома парольной защиты Windows XP при условии соблюдения рекомендаций Microsoft по безопасности Windows XP

            Проблему безопасности компьютерных сетей надуманной не назовешь. Практика показывает: чем масштабнее сеть и чем более ценная информация доверяется подключенным к ней компьютерам, тем больше находится желающих нарушить ее нормальное функционирование ради материальной выгоды или просто из праздного любопытства. Идет постоянная виртуальная война, в ходе которой организованности системных администраторов противостоит изобретательность компьютерных взломщиков.

            Основным защитным рубежом против злонамеренных атак в компьютерной сети является система парольной защиты, которая имеется во всех современных программных продуктах. В соответствии с установившейся практикой, перед началом сеанса работы с операционной системой пользователь обязан зарегистрироваться, сообщив ей свое имя и пароль. Имя требуется для идентификации пользователя, а пароль служит подтверждением правильности произведенной идентификации. Информация, введенная пользователем в диалоговом режиме, сравнивается с той, что имеется в распоряжении операционной системы. Если проверка дает положительный результат, то пользователю становятся доступны все ресурсы операционной системы, связанные с его именем.

            Целью настоящей работы являлось:

            • рассмотрение принципов работы парольных взломщиков различных программных продуктов;
            • проверка уровня защиты операционных систем Windows 2000/XP/2003;
            • проведение попыток взлома паролей пользователей операционных систем;
            • расчет вероятности успешного взлома системы парольной защиты при условии соблюдения требований Микрософт по безопасности Windows XP.

            Что такое парольный взломщик?

            Наиболее эффективным является метод взлома парольной защиты операционной системы (в дальнейшем – ОС), при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. Однако любая современная ОС надежно защищает пользовательские пароли, которые хранятся в этом файле, при помощи шифрования. Кроме того, доступ к таким файлам, как правило, по умолчанию запрещен даже для системных администраторов, не говоря уже о рядовых пользователях операционной системы. Тем не менее, в ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда ему на помощь приходят так называемые парольные взломщики – специализированные программы, которые служат для взлома паролей операционных систем.

            Как работает парольный взломщик?

            Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, используют необратимое шифрование, что делает невозможным более эффективный алгоритм взлома, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой ОС. Затем они сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли пользователей этой системы. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из данного набора.

            За счет очень большого числа перебираемых комбинаций, которое растет экспоненциально с увеличением числа символов в исходном наборе, такие атаки парольной защиты ОС могут отнимать слишком много времени. Однако хорошо известно, что большинство пользователей операционных систем особо не затрудняют себя выбором стойких паролей, то есть таких, которые трудно взломать. Поэтому для более эффективного подбора паролей взломщики обычно используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто используемых на практике в качестве паролей.

            (Большой набор словарей можно найти на сайте http://www.password.ru)

            К каждому слову из словаря парольный взломщик применяет одно или несколько правил, в соответствии с которыми оно видоизменяется и порождает дополнительное множество опробуемых паролей:

            • производится попеременное изменение буквенного регистра, в котором набрано слово;
            • порядок следования букв в слове меняется на обратный;
            • в начало и в конец каждого слова приписывается цифра 1;
            • некоторые буквы изменяются на близкие по начертанию цифры.

            В результате, например, из слова password получается pa55w0rd).

            Это повышает вероятность нахождения пароля, поскольку в современных ОС, как правило, различаются пароли, набранные заглавными и строчными буквами, а пользователям этих систем настоятельно рекомендуется выбирать такие, в которых буквы чередуются с цифрами.

            Одни парольные взломщики поочередно проверяют каждое слово из специального словаря, применяя к нему определенный набор правил для генерации дополнительного множества опробуемых паролей.

            Другие предварительно обрабатывают весь словарь при помощи этих же правил, получая новый словарь большего размера, из которого затем черпают проверяемые пароли. Учитывая, что обычные словари естественных человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость шифрования паролей достаточно высока, парольные взломщики, осуществляющие поиск по словарю, работают достаточно быстро (до одной минуты).

            Взлом операционных систем (на примере Windows 2000/XP/2003)

            База данных учетных записей пользователей

            Одним из основных компонентов системы безопасности Windows 2000/XP/2003 является диспетчер учетных записей пользователей. Он обеспечивает взаимодействие других компонентов системы безопасности, приложений и служб Windows 2000/XP/2003 с базой данных учетных записей пользователей (Security Account Management Database, сокращенно SAM). Эта база обязательно имеется на каждом компьютере с Windows 2000/XP/2003. В ней хранится вся информация, используемая для аутентификации пользователей Windows 2000/XP/2003 при интерактивном входе в систему и при удаленном доступе к ней по компьютерной сети.

            База данных SAM представляет собой один из разделов (hive) системного реестра (registry) Windows 2000/XP/2003. Этот раздел принадлежит ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM.

            Он располагается в каталоге \winnt_root\System32\Config (winnt_root – условное обозначение каталога с системными файлами Windows 2000/XP/2003) в отдельном файле, который тоже называется SAM. Основная часть информации в базе данных SAM хранится в двоичном виде. Доступ к ней обычно осуществляется с помощью диспетчера учетных записей. Изменять записи, хранящиеся в базе данных SAM, при помощи программ, которые напрямую редактируют реестр Windows 2000/XP/2003(REGEDT или REGEDT32), не рекомендуется. По умолчанию этого и нельзя делать, т. к. доступ к базе данных SAM запрещен для всех без исключения категорий пользователей Windows 2000/XP/2003.

            Хранение паролей пользователей

            Именно в учетных записях базы данных SAM находится информация о пользовательских именах и паролях, которая необходима для идентификации и аутентификации пользователей при их интерактивном входе в систему. Как и в любой другой современной многопользовательской ОС, эта информация хранится в зашифрованном виде. В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (Windows 2000/XP/2003 и LAN).

            В методе Windows 2000/XP/2003 строка символов пользовательского пароля хешируется с помощью функции MD4. (В алгоритме хеширования MD4 исходная битовая последовательность дополняется так, чтобы ее длина в битах плюс 64 нацело делилась на 512. Затем к ней приписывается 64-битовое значение ее первоначальной длины. Полученная таким образом новая последовательность обрабатывается блоками по 512 бит с помощью специальной итерационной процедуры. В результате на выходе MD4 получается так называемая «выжимка» исходной последовательности, имеющая длину 128 бит. Алгоритм MD4 оптимизирован для 32-разрядных аппаратных платформ и работает довольно быстро).

            В итоге из введенного пользователем символьного пароля получается 16-байтовая последовательность – хешированный пароль Windows 2000/XP/2003. Эта последовательность затем шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа используется так называемый относительный идентификатор пользователя (Relative Identifier, сокращенно RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM. Для совместимости с другим программным обеспечением корпорации Microsoft (Windows for Workgroups, Windows 95/98 и Lan Manager) в базе данных SAM хранится также информация о пароле пользователя в стандарте Lan Manager.

            Для его формирования все буквенные символы исходной строки пользовательского пароля приводятся к верхнему регистру, и если пароль содержит меньше 14 символов, то он дополняется нулями. Из каждой 7-байтовой половины преобразованного таким образом пароля пользователя (длина пароля в Windows 2000/XP/2003 ограничена 14 символами, ограничение накладывается диспетчером учетных записей), отдельно формируется ключ для шифрования некоторой фиксированной 8-байтовой последовательности по DES-алгоритму. DES-алгоритм является одним из самых распространенных алгоритмов шифрования данных. В США он имеет статус федерального стандарта. Это блочный алгоритм шифрования с симметричным ключом длиной 64 бита, из которых только 56 непосредственно используются при шифровании, а остальные 8 предназначены для контроля четности байтов ключа. При этом в качестве ключа используется PID (персональный идентификатор) пользователя).

            Полученные в результате две 8-байтовые половины хешированного пароля Lan Manager еще раз шифруются по DES-алгоритму и помещаются в базу данных SAM.

            Использование пароля

            Информация о паролях, занесенная в базу данных SAM, служит для аутентификации пользователей Windows 2000/XP/2003. При интерактивном или сетевом входе в систему введенный пароль сначала хешируется и шифруется, а затем сравнивается с 16-байтовой последовательностью, записанной в базе данных SAM. Если эти величины совпадают, пользователю разрешается вход в систему. Обычно в базе данных SAM хранятся в зашифрованном виде оба хешированных пароля. Однако в некоторых случаях ОС вычисляет только один из них. Например, если пользователь домена Windows 2000/XP/2003 изменит свой пароль, работая на компьютере с Windows for Workgroups, то в его учетной записи останется только пароль Lan Manager. А если пользовательский пароль содержит более 14 символов или они не входят в так называемый набор поставщика оборудования (original equipment manufacturer, сокращенно OEM), то в базу данных SAM будет занесен только пароль Windows 2000/XP/2003.

            Возможные атаки на базу данных SAM

            Обычно основным объектом атаки являются административные полномочия. Их можно получить, узнав в хешированном или символьном виде пароль администратора системы, который хранится в базе данных SAM. Поэтому именно на базу данных SAM бывает направлен главный удар взломщика парольной защиты Windows 2000/XP/2003.

            По умолчанию в Windows 2000/XP/2003 доступ к файлу \winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование файлов и каталогов Windows 2000/XP/2003 может перенести этот файл с жесткого диска на магнитную ленту. Резервную копию реестра можно также создать утилитой REGBAK из состава Windows NT Resource Kit. Кроме того, несомненный интерес для любого взломщика представляют резервная копия файла SAM (SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в каталоге \winnt_root\Repair.

            Также указанный файл можно получить, загрузившись с дискеты или CD-ROM и воспользовавшись программой NTFSDOS или аналогичной. В случае наличия загрузки двух операционных систем (например, Windows 98 и Windows 2000) процесс копирования файла SAM существенно упрощается.

            При наличии физической копии файла SAM извлечь хранимую в нем информацию не представляет большого труда. Загрузив файл SAM в реестр любого другого компьютера с Windows 2000/XP/2003 (например, с помощью команды Load Hive программы REGEDT32), можно детально изучить учетные записи пользователей, чтобы определить их значения PID и шифрованные варианты хешированных паролей. Зная PID пользователя и имея зашифрованную версию его хешированного пароля, компьютерный взломщик может попытаться расшифровать этот пароль, чтобы использовать его для получения сетевого доступа к другому компьютеру. Однако для интерактивного входа в систему одного лишь знания хешированного пароля недостаточно. Необходимо получить его символьное представление.

            Для восстановления пользовательских паролей ОС Windows 2000/XP/2003 в символьном виде существуют специальные парольные взломщики. Они выполняют как прямой подбор паролей, так и поиск по словарю, а также используют комбинированный метод взлома парольной защиты, когда в качестве словаря задействуется файл с заранее вычисленными хешированными паролями, соответствующими символьным последовательностям, которые часто применяются в качестве паролей пользователей операционных систем.

            Однако следует понимать, что программой взлома можно воспользоваться так же и для проверки надежности ваших паролей.

            Для этого необходимо:

            • выбрать пункт меню Вычисление PwDump и Sniff в окне Параметры.
            • Задается имя пользователя. (Имя пользователя Windows 2000/XP/2003 может содержать до 20 символов верхнего или нижнего регистра, за исключением следующих: " / \ [ ] : ; | = , + * ? < > . и пробелов.)
            • Задается пароль, который может содержать до 14 символов.

            После задания имени и пароля следует нажать на кнопку вычислить. Результат можно сохранить в виде PwDump- или Sniff-файла.

            Также существует задание параметров атаки по словарю:

            • Обычное использование словаря;
            • Записанные дважды слова;
            • Обратный порядок символов слов;
            • Усеченные до заданного количества символов слова;
            • Слова без гласных, за исключением заглавной;
            • Транслитерация русских букв латинскими по заданной таблице транслитерации;
            • Замена раскладки локализации латинской раскладкой клавиатуры;
            • Замена латинской раскладки клавиатуры раскладкой локализации;
            • А также множество других параметров взлома.

            Примером взломщика паролей является программа SAMInside (http://www.insidepro.com)

            1

            Рисунок 1 Окно программы SamInside

            Программа SAMInside выполняет следующие функции:

            • Получение информации о пользователях из SAM-файлов Windows 2000/XP/2003.
            • Подбор паролей пользователей из SAM-файлов.
            • Подбор паролей пользователей из SAM-файлов операционных систем Windows’2000/XP/2003, зашифрованных системным ключом Syskey.

            Дополнительно включает в себя следующие возможности:

            • Подбор паролей не только к LMHash, но и к NTHash.
            • Работа с SAM-файлом, который используется в данный момент системой.
            • Импорт хэшей из текстовых файлов, полученных в результате работы других программ (L0phtCrack, pwdump и др.).
            • Генерация LMHash/NTHash по определенному паролю.
            • Проверка введенного пароля на всех пользователях.
            • Перебор по словарю.
            • Отображение найденных паролей с верным регистром букв.
            • Более удобная работа с хэшами пользователей.

            Расчет вероятности взлома пароля Windows 2000/XP/2003 в течение срока жизни пароля, рекомендованного Microsoft

            Согласно рекомендаций по безопасности Windows XP (Державна експертиза

            з технічного захисту інформації операційної системи Windows XP Professional SP2 (шифр – "Експертиза WXP_SP2") время жизни пароля (параметр политики паролей «Требовать неповторяемость паролей» (Enforce password history)) должен составлять 42 дня.

            Согласно того же документа параметр «Минимальная длина пароля» (Minimum password lengths) должен составлять для АС (автоматизированной системы):

            • класс 1 (одиночного компьютера без локальной сети) – 7 символов;

            • класс 2 (локальная сеть без выхода в Интернет) – 8 символов;

            • класс 3 (сеть с выходом в Интернет) – 12 символов.

            Следует обратить внимание что длинные пароли, состоящие из 8 и более символов, как правило, более надежны, однако их применение приводит к увеличению числа ошибок при воде паролей, и, как следствие, увеличению числа заблокированных учетных записей, а следовательно, затрудняет работу службы поддержки сети. Использование длинных паролей фактически приводит к тому, что пользователи начнут записывать их, а следовательно, уровень безопасности будет снижен. Фактическое значение данного параметра должно соответствовать требованиям политики безопасности предприятия.

            Рассчитаем вероятность взлома пароля при условии применения данных параметров для АС классов 1 и 2.

            Исследование проводилось на компьютере с параметрами приведенными в Таблице 1 с помощью программного обеспечения Saminside 2.5.5.1.

            Таблица 1 Параметры ПК

            Элемент Значение
            Имя ОС Microsoft® Windows Vista™ Ultimate
            Версия 6.0.6000 Сборка 6000
            Процессор Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz, 1867 МГц, ядер: 2, логических процессоров: 2
            Полный объем физической памяти 2 046,94 МБ

            При этом скорость перебора паролей составляла 14 524 829 паролей в секунду.

            Таблица 2 Максимальное число вариантов паролей на заданном наборе символов

              Число символов 7 8
            Цифры от 0 до 9 10 10 000 000 100 000 000
            Маленькие (большие) буквы 26 8 031 810 176 208 827 064 576
            Цифры и маленькие буквы 36 78 364 164 096 2 821 109 907 456
            Цифры, маленькие и большие буквы 62 3 521 614 606 208 218 340 105 584 896
            Цифры, буквы и спецсимволы 72 10 030 613 004 288 722 204 136 308 736

            Если перебор паролей осуществляется с указанной выше средней скоростью (паролей в секунду), то соответственно максимальное время, необходимое для взлома соответствующего пароля (в сутках) составляет (Табл.3).

            Таблица 3 Время взлома пароля в сутках

              Число символов Длина пароля в символах
            7 8
            Числа 10 0,0000 0,0001
            Маленькие (большие) буквы 26 0,0064 0,1664
            Числа и маленькие буквы 36 0,0624 2,2480
            Числа маленькие и большие буквы 62 2,8062 173,9838
            Числа, буквы и спецсимволы 72 7,9929 575,4866

            Таким образом, вероятность взлома пароля в соответствии с требованиями параметра «Требовать неповторяемость паролей» (Enforce password history) составляющего 42 дня, будет приведена в Табл. 4 и рассчитана по формуле: P=(A/B)*100%, где P-вероятность взлома пароля в заданный срок, В – время взлома пароля в сутках, А=42 дня.

            В случае если B<=A, P=100%, т.е. если время взлома пароля заведомо меньше 42 дней, пароль считается взламываемым заведомо.

              Число символов 7 8
            Числа 10 100,00% 100,00%
            Маленькие (большие) буквы 26 100,00% 100,00%
            Числа и маленькие буквы 36 100,00% 100,00%
            Числа маленькие и большие буквы 62 100,00% 24,14%
            Числа, буквы и спецсимволы 72 100,00% 7,30%

            Таким образом можно сделать вывод, что с учетом существующих вычислительных мощностей, параметры длины пароля, приведенные в рекомендациях Микрософт на сегодня являются недостаточными.

            Для проведения устойчивой парольной защиты нужна большая длина пароля, что, в свою очередь будет требовать введения систем многофакторной аутентификации типа смарт-карта+PIN-код или аналогичных.

            Большое количество экспертов безопасности скажут, что вам необходимо увеличить длину пароля минимум до 15 символов, чтобы препятствовать взлому паролей. Это сделает весьма затруднительной даже атаку по словарю. Однако вы можете вообразить то, что скажут ваши пользователи, произнеси вы даже число 15?

            В таком случае эта более сильная, казалось бы, политика, приведет к существенному ослаблению защиты. Ведь пользователи простаивают, если забывают пароли. А попробуйте запомнить пароль типа 1@Pwr4%$*IhedYN? Вам не кажется, что даже один такой пароль способен только своим видом вогнать в ступор даже бывалого системного администратора? А что тогда говорить рядовому пользователю? Вы никогда не задавались мыслью, каких запросов в службу поддержки больше всего? Верно, запросов о забытых паролях! В некоторых организациях на это уходит от 15 минут до часа!

            Нам всем пора осознать, что пользовательские пароли – больше не являются лучшим решением!

            На сегодня наиболее безопасное решение – многофакторная аутентификация, которая требует минимум двух методов распознавания. Одним из лучших решений является, пожалуй, комбинация одного или более сертификатов на базе стандарта Х.509 вместе с алфавитно-цифровым PIN-кодом. Великолепно в данном случае то, что вы не должны иметь чересчур сложный для запоминания PIN-код. Ведь PIN-код это только одна часть, а вторая это сама смарт-карта. Ведь в таком случае необходимо вначале похитить саму смарт-карту, а уж затем PIN-код к ней. Смарт-карта не обязательно должна формой напоминать традиционную банковскую карту, она может приобрести вид USB-диска (eToken). В таком случае вы еще и экономите на считывателе для такой карты. Кроме того, так как это пластмассовая деталь – вы можете придать ей индивидуальный облик и использовать ее для физического доступа к помещениям, добавив к смарт-карте RFID-метку.

            Альтернативой данному способу аутентификации могут послужить одноразовые пароли (ОТР) и биометрические системы. Однако не стоит забывать, что данные системы все еще имеют ряд недостатков. ОТР ограничен сценариями типа идентификации клиента и его нельзя использовать для электронной подписи. Технология биометрии когда-то сможет стать серьезной альтернативой. Когда-то, но не сейчас. Уж слишком много ложных срабатываний.

            Вместе с тем вы можете задать вопрос, если эта система настолько хороша, почему она не получила широкого распространения?

            Дело в том, что сама по себе смарт-карта, без наличия продуманной системы поддержки (инфраструктуры открытых ключей, PKI) практически бесполезна. А эту инфраструктуру ввиду ее сложности, многие организации просто отказываются разворачивать!

            Однако пора понимать, что пароли на сегодня – уже защита вчерашнего дня! Время не стоит на месте и рано или поздно, но все поймут, что время паролей уже ушло!

            Литература

            1. Державна експертиза з технічного захисту інформації операційної системи Windows XP Professional SP2 (шифр – "Експертиза WXP_SP2") Киев 2005
            2. Чем нас пытаются взломать (Краткий обзор программ-взломщиков паролей) Безмалый В.Ф. Безмалая Е.В. http://bezpeka.com/ru/lib/sec/gen/anot381.html

            Безмалый Н.В.

            Microsoft Student Partner

          • Главная Security, Windows, Новое Live, Security, Windows 7, Видео
            • Видео – Обеспечение безопасности детей в Интернет. Windows Live Фильтр семейной безопасности.

              images Служба Семейная безопасность Windows Live пришла на смену службе «Семейная безопасность Windows Live One Care. Данная служба предназначена для помощи родителям в настройке параметров безопасности детей.

              С помощью данной службы можно защитить детей от просмотра нежелательного веб- содержимого, управлять списком пользователей, с которыми дети могут обмениваться электронной почтой или мгновенными сообщениями, а также отслеживать посещаемые детьми веб-сайты.

            • Главная Security, Windows, Новое BitLocker, Security, Windows 7, Видео
              • Видео – BitLocker to GO

                image0017 января 2009 года компания Microsoft представила для тестирования очередную версию операционной системы для рабочих станций – Windows 7. В данной операционной системе, как уже стало привычным, широко представлены технологии безопасности, в том числе и ранее представленные в Windows Vista. Сегодня речь пойдет о технологии шифрования Windows BitLocker, претерпевшей значительные изменения после своего появления в Windows Vista.

              • Главная Windows, Новое Active Directory
                • Active Directory — трудности перевода. Часть 2

                  • Рубрика: Windows,Новое
                  • Автор: Илья Рудь
                  • Дата: Wednesday 24 Jun 2009

                  dc Из первой части, мы четко уяснили, что для нормальной работы вашей доменной сети контроллер домена должен быть доступен, при этом иметь созданные учетные записи для ваших пользователей и компьютеров. А клиенты с свою очередь обязаны при входе в сеть обратиться к этому контроллеру. Теперь необходимо понять как клиент узнает IP-адрес контроллера что бы передать ему данные, введенные пользователем. Ведь ни имя, ни тем более IP-адрес контроллера не задается на клиентах.

                • Главная Windows, Новое Active Directory
                  • Active Directory – трудности перевода. Часть 1.

                    • Рубрика: Windows,Новое
                    • Автор: Илья Рудь
                    • Дата: Tuesday 23 Jun 2009

                    hls_active_directory

                    Прежде чем работать и детально изучать какую-то технологию мне необходимо понимать ее суть, выучить и опять же понять все основные термины, а самое главное разложить в голове по полочкам концепцию. Сегодня я предлагаю рассмотреть идеологию такой технологии как Active Directory, а как показывает опыт даже системные администраторы, имеющие за плечами годы администрирования AD зачастую «тонут» в терминах, встречающихся в документации. Посудите сами «Лес Active Directory, Дерево Active Directory , Схема Active Directory, Сайт Active Directory и.т.д» даже здоровая голова с непривычки закипит. На самом деле все очень просто, сейчас вы сами в этом убедитесь.

                  • Главная Windows, Новое Active Directory
                    • Новые возможности Active Directory в Windows Server 2008 R2

                      • Рубрика: Windows,Новое
                      • Автор: Илья Рудь
                      • Дата: Monday 22 Jun 2009

                      logoНаконец-то мною была закончена запись вебкаста для проекта TechDays в рамках которой я постарался рассказать о том, что же нового увидят системные администраторы в доменных службах Active Directory если установят операционную систему Windows Server 2008 R2. Сложность доклада установлена на уровне 200. На мой взгляд доклад не сложный и будет легко воспринят специалистами которые знакомыми с Active Directory. Продолжительность видео составляет около 42 минут.