Захист операційних систем

При наявності фізичної копії файла SAM видобути з нього інформацію є справою не дуже складною. Завантаживши його в реєстр будь-якого іншого комп'ютера з Windows NT (за допомогою команди Load Hive програми Regedit32), можна вивчити облікові записи користувачів, щоб визначити значення RID користувачів і шифровані варіанти їх хешованих паролів. Знаючи RID і маючи зашифрований хешований пароль, зламщик може отримати мережений доступ до іншого комп'ютера, але для інтерактивного входу в систему цього все одно не достатньо, - треба мати символічне представлення цього пароля.

Існують спеціальні парольні зламщики для відновлення користувацьких паролів операційної системи Windows NT. Вони виконують як прямий підбір паролів, так і пошук за словниками, а також використовують комбіновані методи зламу парольного захисту, коли в якості словника використовується файл із заздалегідь вирахованими хешованими паролями, що відповідають символьним послідовностям, які часто використовуються в якості паролів. Серед таких програм слід відзначити такі:

- LophtCrack;

- ANTExp (Advanced NT Security Explorer, що має досить зручний інтерфейс.

Деякі методи захисту від парольних зламщиків

1. Обмежити фізичний доступ до комп'ютерів мережі:

- встановити паролі BIOS на включення комп'ютера і на зміну настройок BIOS;

- відключити можливість завантаження комп'ютерів з гнучких та компакт-дисків;

- для забезпечення контролю доступу до файлів і папок Windows NT системний розділ жорсткого диску повинен мати формат NTFS.

2. Каталог \repair засобами операційної системи закрити для доступу всіх користувачів, включаючи і адміністраторів. Дозволити доступ лише під час роботи утиліти RDISK, що створює в цьому каталозі архівні копії реєстру Windows NT. Слід надійно ховати дискети аварійного відновлення і носії з архівними копіями.

3. Для захисту бази SAM використати утиліту SYSKEY, яка дозволяє включити режим додаткового шифрування інформації про паролі. Унікальний 128-бітовий ключ для додаткового шифрування (ключ шифрування паролів - Password Encryption Key, PEK) автоматично зберігається в системному реєстрі для подальшого використання. Перед розміщенням його в системний реєстр ключ РЕК шифрується за допомогою іншого 128-бітового ключа, який називається системним ключем (System Key), і може зберігатися в системному реєстрі або у файлі STARTUP.KEY в кореневому каталозі на окремій дискеті. Можна не зберігати його на дискеті, тоді він кожний раз буде розраховуватись за допомогою алгоритму MD5 на основі пароля, введеного з клавіатури в запропоноване утилітою поле.

Цей спосіб зберігання системного ключа забезпечують максимальний захист паролів в базі SAM. Але це приводить до неможливості автоматичного перевантаження ОС, оскільки для завершення процесу перевантаження необхідно вставити дискету з системних ключем або вручну ввести системний ключ з клавіатури.

4. Для підвищення стійкості паролів рекомендується при допомозі утиліти "Диспетчер пользователей" (User Manager)

- задати мінімальну довжину користувацьких паролів не меншою за 8,

- включити режим "старіння" паролів, щоб користувачі їх періодично оновлювали (чим вища вірогідність атак, тим частіше треба міняти паролі),

- включити режим зберігання певної кількості раніше використовуваних паролів (щоб користувачі не вводили старі свої паролі).

5. Можна скористатись утилітою PASSPROP зі складу Windows NT Resource Kit (з ключем /COMPLEX). Це заставить користувачів вводити більш стійкі паролі, які би мали літери в різних регістрах, або сполучення літер і цифр, або літер і спеціальних символів. Для цього ж можна скористатись можливостями пакетів оновлення Windows NT.

Размещено на Allbest.ru