Інвентаризація Windows Nt/2000

За весь час свого існування Windows NT заслужила на репутацію системи, яка надає загальнодоступну інформацію по будь-якому видаленому запиту. В основному це здійснюється через протоколи передачі даних Cifs/smb (Common Internet File System/server Message Block), від яких в значній мірі залежить робота мережевих служб. Хоча в Win 2000 є можливість автономного використання протоколу Tcp/ip без протоколу NETBIOS, вона отримала в спадок всі недоліки своєї попередниці. Система Win 2000 містить також декілька нових можливостей, які можуть зацікавити випадкового складальника інформації. У даному розділі обговорюватимуться і старі, і нові особливості, а також дії, що рекомендуються, за допомогою яких можна захистити цінну інформацію ще до того моменту, коли хто-небудь збере достатню кількість інформації для великомасштабної атаки.

Windows Nt/2000 Hacking Kit

Починаючи з версії Windows NT 3.1 компанія Microsoft пропонує за окрему платню додатковий комплект документації і компакт-диск, на якому зібрана безліч утиліт для адміністрування мереж на базі Windows NT, — Windows NT Resource Kit (як у варіанті Workstation, так і у варіанті Server). У комплект NTRK (так ми називатимемо його далі в цій книзі) входить обширна підбірка різних утиліт, починаючи від частково реалізованого інтерпретатора популярної мови сценаріїв Perl, що дозволяє перенести на платформу NT багато популярних утиліт UNIX, і закінчуючи утилітами видаленого адміністрування, що не входять в стандартний комплект постачання Windows NT. Без даного комплекту не може обійтися жоден серйозний адміністратор NT.
Проте, окрім зручності у використанні, функціональність NTRK має і зворотну сторону. Багато хто з цих інструментів може служити зломщикам для отримання важливої інформації, завдяки чому в певних кругах комплект отримав назву Windows NT Hacking Kit (набір інструментів хакера). Оскільки роздрібна ціна пакету NTRK складає близько $200, включаючи два оновлені доповнення, можна припустити, що будь-який зломщик, для якого дана сума є достатньо прийнятною, може скористатися вхідними в його склад інструментами для проникнення у вашу мережу (особливо якщо врахувати, що деякі з них розповсюджуються вільно через FTP-узел компанії Microsoft за адресою ftp://ftp. microsoft.com/bussys/winnt/winnt-public/reskit/).
Версія комплекту для Win 2000 (W2rk) продовжує раніше почату традицію і містить численні інструменти, які можна використовувати двояким чином. Крім того, на компакт-диску для операційної системи Win 2000 Server в теці Supportxtools міститься безліч утиліт, які можуть виявитися корисними для хакера. У даному розділі будуть розглянуті ті засоби і утиліти, які значною мірою здатні полегшити рішення задачі інвентаризації. Інші ж засоби ми розглянемо в розділах 5 і 6.

Інтерпретатор мови Perl, наявний в комплекті NTRK, надає не такі широкі можливості, як комплект для Windows від компанії Activestate, який можна знайти за адресою http://www.activestate.com. У комплект W2rk компанією Microsoft включена версія Activeperl Build 521 компанії Activestate. Якщо ви плануєте використовувати мову Perl в Windows, ми радимо звернутися саме до цієї реалізації, оскільки багато з утиліт, що розглядаються в книзі, реалізованих на цій мові, у разі застосування інтерпретатора Perl з набору NTRK працюють некоректно.Хотя свідомим адміністраторам Nt/2000 ми настійно рекомендуємо набувати всіх комплектів NTRK і відстежувати всі нововведення, не встановлюйте їх на серверах, що діють. Інакше ви обернете зброю проти себе! Для забезпечення необхідної функціональності встановлюйте лише найбільш важливі утиліти. Для зберігання помістите на знімний або мережевий диск всі утиліти NTRK і використовуйте їх лише при необхідності.

Нульові з'єднання: "Священний Грааль" інвентаризації

Як уже згадувалося, системи Windows Nt/2000 мають ахиллесову п'яту при використанні протоколів Cifs/smb і NETBIOS в режимі, використовуваному за умовчанням. До складу стандартів Cifs/smb і NETBIOS входять програмні інтерфейси, що повертають різну інформацію про комп'ютер через порт TCP з номером 139. Такі дані зможуть отримати навіть ті користувачі, які не були аутентіфіцировани. Першим кроком на шляху діставання видаленого доступу до цих інтерфейсів є створення простого, без аутентифікації, з'єднання з системою Nt/2000 за допомогою так званого нульового сеансу (null session). Передбачається, що в результаті раніше виконаного сканування портів було встановлено, що TCP-порт 139 знаходиться в стані очікування запитів. Таке з'єднання можна встановити за допомогою наступної команди.
net use \\192.168.202.33\ipc$ "" /u:""
При виконанні такої команди здійснюється підключення до прихованого каналу зв'язку між процесами (share) Ipc$ no IP-адресу 192.168.202.33 як анонімний користувач (/і:"") з порожнім паролем (""). Якщо така спроба виявиться успішною, зломщик отримує відкритий канал, через який він може спробувати застосувати різні методи, описані в даному розділі, щоб отримати якомога більше інформації про мережу, спільно використовувані ресурси, користувачів, групи, ключах системного реєстру і так далі
Практично всі методи збору інформації, описані в даному розділі, використовують недолік системи безпеки Windows NT, що полягає в наданні можливості анонімного підключення і інвентаризації певних ресурсів без вимоги яких-небудь паролів. Цей недолік, який в різних джерелах називається по-різному, — "червона кнопка" (Red Button), нульовий сеанс або анонімне підключення (anonymous logon) — є єдиною істотною можливістю, за допомогою якої потенційні зломщики можуть отримати всю потрібну ним інформацію.

Нульовий сеанс: контрзаходи

При установці нульового з'єднання потрібний доступ до TCP-порту 139, так що найбільш правильний шлях запобігання такій небезпеці полягає у фільтрації запитів по протоколу NETBIOS до портів TCP і UDP з номерами від 135 до 139 по всьому периметру мережевих пристроїв управління доступом. Необхідно також заборонити використання протоколу NETBIOS поверх Tcp/ip і на окремих вузлах, від'єднавши клієнт WINS (Tcp/ip) від відповідного інтерфейсу за допомогою аплета Network панелі управління. У системі Windows 2000 для цього потрібно запустити аплет відповідного мережевого підключення, відкрити діалогове вікно Advanced Tcp/ip Settings, перейти у вкладку WINS і відключити режим Disable NETBIOS Over Tcp/ip.

У системі Win 2000 використовується ще порт 8mb з номером 445, який дозволяє отримати аналогічну інформацію. Докладніші відомості і опис методів захисту містяться в розділі 6.

Одним з найприкметніших виключень з цього правила є утиліта sid2user (описувана в розділі "Інвентаризація Користувачів І Груп Nt/2000"), яка продовжує функціонувати навіть при включеному режимі Restrictanonymous.