Вторжение на доверительную территорию

Один из основных приемов взломщиков — поиск данных пользователей домена (а не локальной системы). Это позволяет хакерам получить доступ к контроллеру домена и легко обмануть систему безопасности домена. Такой деятельности обычно невольно способствуют администраторы, которые регистрируются на локальной машине с использованием данных учетной записи домена. Система Win 2000 не может предостеречь своих пользователей от очевидных ошибок.

Средства получения данных LSA -живут и здравствуют


Как было показано в главе 5, получение данных LSA — основной механизм для вгпома доверительных отношений, поскольку позволяет получить данные о нескольких последних зарегистрированных в системе пользователях и пароли учетных записей служб.
Хотя компания Microsoft объявила об устранении ошибок, связанных с получением данных LSA, в сервисном пакете SP3, многие из этих важных данных можно получить с помощью обновленной утилиты Isadump2 Тодда Сабина (Todd Sabin) . Приведем пример извлечения с помощью lsadump2 данных учетной записи службы на контроллере домена Win 2000. Последняя запись свидетельствует о том, что служба BckpSvr регистрируется с паролем password1234.

С:\>lsadump2
$MACHINE.ACC
7D 58 DA 95 69 3E 3E 9E AC Cl B8 09 Fi Oc C4 9E } X.. i»...
6A BE DA 2D F7 94 B4 90 B2 39 D7 77 j ..-...9.w
TemServLiceningSignKey-12d4b7c8-77d5-lld1-8c24-OOc04fa3080d
TS:InternetConnectorPswd
36 00 36 00 2В 00 32 00 48 00 68 О0 32 0O 62 00 6.6.+.2.H.h.i.b.2
44 00 55 00 41 00 44 00 47 00 50 00 ОС О0 D.U.D.G.P....
SC_BckpSrv
74 00 65 00 73 00 74 00 75 00 73 00 65 00 72 00 p. a. s. s.w.o. r .d.
31 00 32 00 33 00 34 00 1.2.3.4.


Зная пароль службы, взломщик может использовать утилиты (например, встроенную net user или nltest/TRUSTED_DOMAINS из набора Resource Kit) для изучения учетных записей пользователей и доверительных отношений в этой системе (что легко реализуется с помощью привилегий администратора). Такое исследование скорее всего приведет к выявлению пользователя bckp (или ему подобного) и доверительных отношений с внешними доменами. Попытка зарегистрироваться в этих доменах с помощью bckp/passwordl234, по всей вероятности, окажется успешной.

Контрмеры против Isadump2


Компания Microsoft считает, что описанная ситуация не представляет угрозы для безопасности системы, поскольку для запуска утилиты Isadump2 требуется привилегия seoebugprivilege, делегируемая по умолчанию только администраторам. Лучший способ противостояния lsadump2 - защитить учетные записи администраторов. Если же хакер получит доступ к учетной записи администратора, то с помощью lsaduir.P2 он сможет получить и учетные записи служб внешних доменов, и с этим ничего не поделаешь.

Новая система множественной репликации и модель доверительных отношений

Одним из наиболее значительных отличий Win 2000 от NT в области архитектуры доменов является переход к системе множественной репликации и модели доверительных отношений. В рамках леса Win 2000 все домены хранят реплики совместно используемой службы Active Directory и строят двухсторонние доверительные отношения друг с другом по транзитивному принципу на базе протокола Kerberos (доверительные отношения между лесами доменов или с доменами нижнего уровня NT 4 по-прежнему остаются односторонними). Это приводит к интересным следствиям при разработке топологии доменов.
Первым порывом многих администраторов доменов является попытка создания отдельного леса для каждого объекта защиты в рамках организации. На самом деле это неверный подход. Главной задачей администраторов должна стать консолидация доменов в рамках единой схемы управления. Более тонкое управление доступом можно поддерживать на уровне отдельных объектов леса. Возможности такого управления настолько широки, что многие администраторы приходят в замешательство от обилия имеющихся вариантов разрешений. В решении задачи большую помощь могут оказать контейнеры каталогов OL (Organizational Units) и новое средство делегирования прав (delegation feature).
Однако в рамках этой модели члены новых универсальных групп (например, группы администраторов предприятия Enterprise Admins) и в меньшей степени глобальных групп домена (например, Domain Admins) вступают в доверительные отношения со всеми доменами леса. Поэтому взлом учетной записи члена одной из таких групп обеспечивает хакеру доступ ко всем доменам леса. Поэтому авторы советуют организовывать не вполне доверенные сущности (например, подсети организаций-партнеров) или объекты, подверженные угрозам извне (например, центр данных Internet) в отдельный лес или реализовывать их как отдельные серверы.
Кроме того, при двухсторонних транзитивных доверительных отношениях группа Authenticated Users приобретает совсем другой смысл. В больших организациях не имеет смысла рассматривать эту группу как доверенную.