Бесплатный электронный учебник по защите информации компьютера в интернет

служба Компьютерная помощь
Кириши Ленинградской области
(911) 239-8212, E-m@il

Получение привилегий администратора

	Первые признаки вируса
	Компьютерные вирусы
	Классификация компьютерных вирусов
	Нежелательные программы
	Вредоносные программы
	Удаление программ вирусов
	Правила антивирусной безопасности компьютера
	Какой антивирус лучший?
	Скачать антивирус бесплатно
	Бесплатно скачать антивирус для Vista
	Лицензионный антивирус Касперского 7.0
	Купить лицензионный антивирус Касперского 7.0
	Лицензионный антивирус Dr.Web 4.44
	Купить лицензионный антивирус Dr.Web 4.44
	Карта сайта / Главная
	Наша ссылка

Получение привилегий администратора

Как было продемонстрировано выше, в большинстве случаев получить доступ на уровне пользователей очень просто. Для этого достаточно воспользоваться утилитой chknull, чтобы обнаружить пользователей без паролей, либо прибегнуть к их подбору. Следующим шагом большинства взломщиков будет получение прав администратора на сервере или дереве. Для решения этой задачи существует два основных метода:

•  "захват" (pillage) сервера (традиционный метод), 
•  ложные атаки NCP.

Несанкционированное получение данных

На этой стадии многие злонамеренные взломщики будут предпринимать попытки несанкционированного получения данных. Другими словами, они будут пытаться зарегистрироваться везде, где это возможно, и найти доверчивых пользователей, хранящих пароли в незашифрованном виде. Такой подход способен принести гораздо больше выгоды, чем это может показаться на первый взгляд.
Несанкционированное получение данных (pillaging), скорее всего, похоже на "черную магию", и этот процесс очень трудно продемонстрировать. Лучше всего в поисках подсказок и намеков просто просматривать каждый доступный файл. Никогда нельзя знать наверняка, однако в какой-то момент можно обнаружить даже пароль администратора. Со структурой корня тома SYS можно "познакомиться", воспользовавшись командой map n secret/sys:\ или с помощью программы On-Site. Просмотрите каждый доступный каталог. К числу каталогов, в которых содержатся интересные файлы, относятся следующие:

•  SYS:SYSTEM
•  SYS:ETC
•  SYS:HOME
•  SYS:LOGIN
•  SYS:MAIL A SYS:PUBLIC

He забывайте о том, что пользователь, с помощью учетной записи которого вы зарегистрировались, может и не иметь доступа ко всем этим каталогам. Однако вы можете оказаться счастливчиком. Каталоги SYSTEM и ETC особенно важны, поскольку в них содержатся жизненно важные конфигурационные файлы сервера. Их может просмотреть лишь пользователь с правами администратора.

Контрмеры против несанкционированного получения данных

Контрмеры, позволяющие предотвратить попытки взломщика несанкционированно получить данные на томах NetWare просты и очевидны. Оба совета предполагают ограничение прав пользователей.

•  С помощью утилиты filer назначьте ограниченные права доступа ко всем томам, каталогам и файлам.
•  С использованием утилиты Nwadamn3x назначьте ограниченные права доступа ко всем объектам дерева NDS, включая Organization, Organizational Unit, серверы, пользователей и т.д.

nwpcrack

Утилита nwpcrack представляет собой средство взлома паролей систем NetWare 4.x С ее помощью можно взломать пароль определенного пользователя с использованием словаря. В приведенном примере была обнаружена группа администраторов. После регистрации в качестве пользователя появляется возможность увидеть пользователей, имеющих права, эквивалентные администраторам, или просто тех из них, кто является членом группы администраторов, MIS и т.д. Проделав это, в группе администраторов были обнаружены пользователи DEOANE и JSYMOENS. Именно с них и стоит начать атаку.
Запустив утилиту nwpcrack для пользователя DEOANE, нам удалось взломать его пароль, как видно из следующего рисунка. Теперь мы обладаем привилегиями администратора на данном сервере и можем получить доступ к любому из объектов, доступных этому пользователю.

Не пытайтесь применять утилиту nwpcrack к учетным записям администраторов, если включен режим блокировки вторжений. В противном случае может быть заблокирована учетная запись за пределами дерева. Перед тестированием с помощью утилиты nwpcrack учетной записи ADMIN (или эквивалентной) нужно создать ее резервную копию. В системе Windows NT не может возникнуть подобного состояния DoS, поскольку в ней нельзя заблокировать исходную учетную запись администратора, если не используется дополнительная утилита из набора NTRK, passprop. Если с помощью утилиты nwpcrack будет обнаружен активный режим выявления вторжений, то вы получите сообщение tried password«password» с тем же паролем, выведенным повторно. Это будет свидетельствовать о том, что сервер NetWare больше не будет принимать запросы на регистрацию от этого пользователя. Тогда нужно нажать комбинацию клавиш <Ctrl+C>, чтобы выйти из программы, поскольку в противном случае на консоли сервера появится хорошо знакомое сообщение DS-5.73-32: intruder lock-out on account Admin ("Блокирование вторжения для учетной записи Admin"). А это совсем не входит в планы взломщика.

Контрмеры: защита от утилиты nwpcrack

Защититься от подбора пароля пользователей (скорее всего, администраторов) с помощью утилиты nwpcrack очень просто. Вот некоторые рекомендации.

•  Реализуйте строгую политику использования паролей. Компания Novell не предоставила простого решения этой проблемы. Ее позиция по этому вопросу заключается в том, что администраторы могут ввести строгий режим использования паролей лишь посредством следования принятой политике обеспечения безопасности. Это сильно отличается от позиции компании Microsoft, которая с помощью динамически подключаемой библиотеки passfilt.dll позволяет ограничить типы паролей, которые можно использовать, принудительно задавая минимальную длину паролей и обязательные метасимволы (например, !@#$%). Как минимум нужно требовать, чтобы пользователи использовали пароли определенной длины и избегали повторений. Длину пароля проще всего контролировать С ПОМОЩЬЮ Переменной USER_TEMPLATE.
•  Включите режим выявления вторжений и блокирование учетных записей. Выделите нужный контейнер (Organizational Unit), а затем выберите команду Details. Щелкните на кнопке Intruder Detection и задайте для параметров требуемые значения. По умолчанию рекомендуется установить следующие значения.

Detect Intruders  Включен
Incorrect login attempts &nb; 3
Intruder attempt reset interval (Days)      14
Intruder attempt reset interval (Hours)     0
Intruder attempt reset interval (Minutes)  0
Lock account after detection   &nbssp;  Включен 
Intruder lockout reset interval (Days)      7
Intruder lockout reset interval (Hours)     0
Intruder lockout reset interval (Minutes)  0