Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба
Компьютерная помощь |
Вторжение на доверительную территорию |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши: (8911) 239-8212 |
|
|||||
|
Вторжение на доверительную территорию Один из основных приемов взломщиков — поиск данных пользователей домена (а не локальной системы). Это позволяет хакерам получить доступ к контроллеру домена и легко обмануть систему безопасности домена. Такой деятельности обычно невольно способствуют администраторы, которые регистрируются на локальной машине с использованием данных учетной записи домена. Система Win 2000 не может предостеречь своих пользователей от очевидных ошибок. |
||||
Средства получения данных LSA -живут и здравствуют Как было показано в главе 5, получение данных LSA
— основной механизм для вгпома доверительных отношений, поскольку
позволяет получить данные о нескольких последних зарегистрированных
в системе пользователях и пароли учетных записей служб. С:\>lsadump2 Зная пароль службы, взломщик может использовать утилиты (например, встроенную net user или nltest/TRUSTED_DOMAINS из набора Resource Kit) для изучения учетных записей пользователей и доверительных отношений в этой системе (что легко реализуется с помощью привилегий администратора). Такое исследование скорее всего приведет к выявлению пользователя bckp (или ему подобного) и доверительных отношений с внешними доменами. Попытка зарегистрироваться в этих доменах с помощью bckp/passwordl234, по всей вероятности, окажется успешной. Контрмеры против Isadump2 Компания Microsoft считает, что описанная ситуация
не представляет угрозы для безопасности системы, поскольку для запуска
утилиты Isadump2 требуется привилегия seoebugprivilege, делегируемая
по умолчанию только администраторам. Лучший способ противостояния
lsadump2 - защитить учетные записи администраторов. Если же хакер
получит доступ к учетной записи администратора, то с помощью lsaduir.P2
он сможет получить и учетные записи служб внешних доменов, и с этим
ничего не поделаешь. Новая система множественной репликации и модель доверительных отношений Одним из наиболее значительных отличий Win 2000 от
NT в области архитектуры доменов является переход к системе множественной
репликации и модели доверительных отношений. В рамках леса Win 2000
все домены хранят реплики совместно используемой службы Active Directory
и строят двухсторонние доверительные отношения друг с другом по транзитивному
принципу на базе протокола Kerberos (доверительные отношения между
лесами доменов или с доменами нижнего уровня NT 4 по-прежнему остаются
односторонними). Это приводит к интересным следствиям при разработке
топологии доменов. |
|||||
|
|
|||
|