|
Інвентаризація користувачів і груп Nt/2000
Знати імена комп'ютерів і спільно використовуваних ресурсів зовсім непогано, проте справжнім святом для хакера є отримання імен користувачів. З тієї миті, як отримано таке ім'я, можна вважати, що 50% робіт по злому облікового запису виконано. Деякі фахівці вважають, що насправді після отримання імені користувача залишається витратити значно менше зусиль, оскільки поширеною практикою є використання простих паролів (і, взагалі кажучи, імен облікових записів!).
Ми знову спробуємо відкрити нульовий сеанс (який вже згадувався в цьому розділі) для діставання початкового доступу і спробуємо скористатися різними прийомами інвентаризації. Крім того, ви дізнаєтеся, як витягувати інформацію про користувачів з використанням служби SNMP і служби активного каталога Windows 2000.
Інвентаризація користувачів через протокол NETBIOS
На жаль, неправильно конфігуровані комп'ютери Nt/2000 надають інформацію про користувачів з такою ж готовністю, як і про спільно використовувані ресурси. Це неодноразово демонструвалося при розгляді прийомів інвентаризації NETBIOS. У даному розділі ви ще раз зіткнетеся з вже відомими і познайомитеся з новими засобами, які дуже добре підходять для отримання інформації про користувачів.
Раніше вже розглядалися можливості вбудованої в операційну систему утиліти nbtstat і її доповнення — вільно поширюваної програми nbtscan. Обидві утиліти дозволяють отримати дамп видаленої таблиці імен NETBIOS, і, що дуже важливе, при цьому не потрібно відкривати нульовий сеанс. Отже імена користувачів будуть отримані незалежно від того, чи правильно встановлено значення параметра Restrictanonymous системного реєстру.
Утиліта еnum групи розробників Razor (яка вже згадувалася вищим) автоматично встановлює нульове з'єднання і витягує всю найбільш цінну інформацію, про яку тільки може мріяти зломщик. Наступний приклад, що демонструє всю небезпеку подібних дій, скорочено був відредагований.
D:\toolbox>enum -u -d -р -l -с 172.16.41.10
server: 172.16.41.10
setting up session... success
password policy: rain length: none
lockout threshold: none
opening Isa policy... success. names:
netbics: LABFARCE.COM
domain: La3farce.COM
trusted domains:
SYSOPS
PDC: CORP-DC
netlogon done by а PDC server
getting user list {pass 1, index 0)... success, got 11.
Administrator (Built-in account for administering
the computer/domain)
attributes:
chris attributes:
Guest (Built-in account for guest access to the computer/domain)
attributes: disabled
keith attributes: Michelle attributes:
Утиліта enum дозволяє також визначити видалений пароль одного користувача за один раз з використанням параметров-о -і <ім'я-користувач> -f <файл-словаря>.
У комплекті NTRK є ще декілька інструментів, за допомогою яких можна отримати докладнішу інформацію про користувачів (через нульовий сеанс або іншими способами). До таких утиліт відносяться usrstat, showgrps, local і global. Проте найбільш могутнім засобом отримання інформації про користувачів є утиліта Dumpsec. Вона дозволяє отримати список користувачів, груп, використовуваних системних політиках і правах користувачів NT. У наступному прикладі утиліта Dumpsec використовується в командному рядку для отримання файлу з інформацією про користувачів видаленого комп'ютера (не забувайте про те, що ця утиліта вимагає відкриття нульового сеансу).
C:\>dumpsec /computer=\\192.168.202.33 /rpt=usersonly
/saveas=tsv /outfile=c:\temp\users.txt
C:\>cat c:\temp\users.txt
4/3/99 8:15 PM - Somarsoft Dumpsec - \\192.168.202.33
Username Fullname
Comment
barzini Enrico Barzini Rival mob chieftain
godfather Vito
Corleone Capo
godzilla Administrator Built-in account for administering
the
domain
Guest Built-in account for guest access
lucca Lucca
Brazzi Hit man
mike Michael Corleone Son of Godfather
При використанні графічного інтерфейсу утиліти Dumpsec можна отримати звіт з набагато більшою кількістю полів, проте навіть формат приведеного вище прикладу зазвичай дозволяє виявити порушника. Наприклад, одного разу ми натрапили на сервер, на якому пароль для перейменованого облікового запису адміністратора зберігався в полі Fullname. При завданні правильного значення параметра Restrictanonymous всі спроби витягання такої інформації за допомогою утиліти Dumpsec блокуватимуться.
Ідентифікація облікових записів за допомогою утиліт
user2sid/sid2user
Двома
іншими надзвичайно могутніми засобами інвентаризації Nt/2000 є утиліти sid2user і user2sid, написані Євгенієм Рудним (Evgenii
Rudnyi). Ці утиліти командного рядка дозволяють отримати ідентифікатор захисту користувача (SID — Security ID) no його ідентифікатору і навпаки. SID — це числове значення змінної довжини, що призначається системою NT під час установки. Хороший опис структури і функцій SID приведений в статті Марка Русиновіча
(Mark Russinovich). Після отримання за допомогою утиліти user2sid ідентифікатора SID домена зломщик може використовувати його для витягання відповідних імен користувачів. Наприклад
C:\>user2sid \\
192.168.202.33 "domain users"
S-l-5-21-8915387-1645822062-1819828000-513
Number
of subauthorities is 5
Domain is WINDOWSNT
Length of SID in memory
is 28 bytes
Type of SID is Sidtypegroup
Таким чином,
ми отримали SID комп'ютера, що є рядком, що починається з S-1 і декількома числами, розділеними дефісами. Останнє число послідовності називається відносним ідентифікатором (RID — Relative ID), значення
якого для вбудованих груп і користувачів Windows Nt/2000, таких як Administrator або Guest, визначено за умовчанням. Наприклад, RID користувача Administrator завжди дорівнює 500, а користувача Guest — 501. Озброївшись цією інформацією, хакер може за допомогою утиліти sid2user і RID 500, доданого до SID, дізнатися ім'я користувача, що є адміністратором, навіть якщо обліковий запис Administrator був перейменований.
C:\>sid2user \\192.168.2.33 5 21
8915387 1645822062 18198280005 500
Name is godzilla
Domain is WINDOWSNT
Type of
SID is Sidtypeuser
Звернете увагу, що префікс S-1 і дефіси опущені. Еше одним цікавим фактом є те, що першому обліковому запису, створеному в будь-якій локальній системі або домені Nt/2000, привласнюється RID 1000, а кожному подальшому об'єкту — наступний номер (1001, 1002, 1003 і так далі), причому при видаленні об'єкту його номер вже ніколи не використовується при створенні нових об'єктів. Таким чином, дізнавшись лише SID, хакер може отримати відомості практично про всіх користувачів і групи системи, що працює під управлінням Windows Nt/2000, як у минулому, так і в сьогоденні. Найважливіше, що утиліти sid2user і user2sid працюють навіть в тих випадках, коли включений режим Restrictanonumous (див. вищий) — аби тільки був відкритий порт 139. Є над чим подумати, чи не так?
Приклад сценарію, який можна використовувати для застосування утиліт sid2user/user2sid, міститься нижче в розділі "Дозвольте Сценаріям Виконати Всю Роботу".
Інвентаризація користувачів через протокол NETBIOS: контрзаходи
Хоча заходи захисту проти розглянутих вище прийомів інвентаризації вже розглядалися, не зайвим буде згадати про них ще раз.
Для блокування запитів до таблиці імен NETBIOS за допомогою таких утиліт, як nbtstat і nbtscan, краще всього заборонити доступ до TCP- і UDP-портам з номерами 135-139 і 445. Інакше дані про користувачам можна захистити лише одним способом — заборонивши використання служб Alerter і Messenger на окремих вузлах. Спосіб запуску цих служб при завантаженні комп'ютера можна задати за допомогою аплета Services панелі управління.
Зашита даних, які можна отримати шляхом відкриття нульового сеансу з використанням утиліти Dumpsec, може бути забезпечена при установці відповідного значення (типу Reg_dword, 1 для Nt4 і 2 для Win 2000) для параметра Restrictanonymous системного реєстру. Його можна знайти в поддереве Hklm\system\currentcontrolset\ Control\lsa.
Запобігти спробам витягання даних за допомогою утиліт sid2user/user2sid можна лише одним способом, а саме заборонивши доступ до портів 139 і 445.
Інвентаризація призначених
для користувача облікових записів за допомогою протоколу SNMP
Не забувайте про те, що комп'ютери під управлінням системи Windows, на яких запущений агент SNMP, будуть предостаапять інформацію про облікові записи таким засобам, як, наприклад, утиліта IP Network Browser від компанії Solar Winds (див. мал. 3.3 вище в даному розділі). Докладніші відомості про заходи захисту проти інвентаризації SN М Р містяться в попередньому розділі.
Інвентаризація служби активного каталога .'#." Win 2000 за допомогою утиліти
ldp
Найбільш істотною зміною, внесеною компанією Microsoft в свою нову операційну систему Win 2000, є додавання в неї служби каталогів, робота якої заснована на протоколі LDAP (Lightweight Directory Access Protocol — протокол доступу, що прохає, до каталогів). Компанія Microsoft називає цю службу активні каталогом (Active Directory). У активному каталозі міститься уніфіковане логічне представлення всіх об'єктів корпоративної мережі. З погляду інвентаризації, активний каталог є прекрасним джерелом витягання необхідної інформації. Серед різноманітних засобів підтримки Windows 2000 (які можна знайти на настановному компакт-диску серверної версії в теці Support\tools) є простою клієнт LDAP (ldp.exe), призначений для адміністрування активного каталога.
Літом 1999 року автори цієї книги брали участь в тестуванні засобів забезпечення безпеки системи Windows 2000. При цьому було виявлено, що просто задавши для утиліти Idp контроллер домена Win 2000, за допомогою простого запиту LDAP можна провести інвентаризацію всіх існуючих користувачів і груп. Для цього потрібно лише відкрити аутентіфіцированний сеанс на основі протоколу LDAP. Якщо за допомогою інших засобів зломщикові вдалося отримати в своє розпорядження який-небудь обліковий запис, то протокол LDAP надає альтернативний механізм інвентаризації користувачів, якщо заблоковані порти NETBIOS або відсутні інші служби.
У
наступному прикладі ілюструється використання утиліти дdp
для інвентаризації користувачів і груп контроллера домена bigdc.labfarce.org, що має кореневий контекст активного каталога oc=labfarce, Dc=org. При цьому передбачається, що раніше вже був отриманий пароль облікового запису Guest цього контроллера — guest.
1. По-перше, необхідно підключитися до цільового комп'ютера з використанням утиліти
ldp. Для цього виберіть команду Connection>connect і введіть IP-адрес або доменне ім'я цільового сервера. Можна підключитися до LDAP-порту з номером 389, який використовується за умовчанням, або використовувати порт 3268 служб глобального каталога. В даному випадку застосовується порт 389.
2. Після установки з'єднання необхідно реєструватися як користувач Guest, дані про яке були отримані раніше. Для цього виберіть команду
Connections>bind, переконаєтеся, що встановлений прапорець Domain і у відповідному полі введено коректне ім'я домена, а потім введіть ім'я і пароль, як показано на малюнку.
3.
Після успішного відкриття сеансу LDAP можна приступати до інвентаризації користувачів і груп. Виберіть команду View>tree
і введіть в діалоговому вікні, що з'явилося, кореневий контекст (наприклад, dc=labfarce, dc=org).
4. У лівій панелі з'явиться новий елемент. Після клацання на символі +, розташованому зліва від нього, в лівій панелі під кореневим елементом з'явиться декілька основних об'єктів.
5. Нарешті після подвійного клацання на елементах Cn=users і Cn=builtin в лівій панелі діалогового вікна з'явиться перелік користувачів і вбудованих груп сервера, відповідно (мал. 3.4).
Мал. 3.4. Утиліта ldp.exe, засіб адміністрування активного каталога, дозволяє виконати інвентаризацію користувачів активного каталога через аутентіфіцированноє з'єднання
Завдяки чому за допомогою простого гостьового підключення можна витягувати подібну інформацію? Деяким службам (таким як RAS і SQL Server) системи Nt4, потрібно отримувати інформацію про об'єкти груп і користувачів, що міститься в активному каталозі. Процедура установки активного каталога Win 2000 (dcpromo) надає можливість розширити дозволи на доступ до активного каталога і надати їх серверам раніших версій для отримання необхідної інформації (мал. 3.5). Якщо в процесі установки був вибраний цей режим, то об'єкти користувачів і груп будуть доступні для інвентаризації через протокол LDAP.
Інвентаризація служби активного каталога: контрзаходи
Перше і найважливіше, що необхідно здійснити, це контролювати доступ до TCP-портам з номерами 389 і 3268 по межах мережі. Якщо у ваші завдання не входить надання даних активного каталога всьому світу, забороните несанкціонований доступ до нього.
Для того, щоб запобігти просочуванню інформації в ті частини мережі, у яких немає дозволів на використання дерева активного каталога, обмежте відповідним чином ці дозволи. Відмінність між змішаним режимом (який слід розуміти як "менш безпечний") і основним режимом роботи системи Win 2000 визначається членством в групі Pre-windows 2000 Compatible Access, якій за умовчанням надані дозволу на використання активного каталога (див. таблиці. 3.2).
Таблиця 3.2. Paзрешенія на використання б'ектов дерева активного
калога для групи Pre-wind ows 2000 Compatible Access
Об'єкт
|
Дозволи
|
До яких об'єктів застосовується
|
Кореневий каталог
|
Проглядання вмісту
|
До даного і всім дочернім об'єктам
|
Користувачі
|
Проглядання вмісту, читання всіх
властивостей і дозволів
|
До об'єктів користувачів
|
Групи
|
Проглядання вмісту, читання всіх
властивостей і дозволів
|
До об'єктів груп
|
При виборі режиму Permissions compatible with pre-windows 2000 servers (мал. 3.5) майстром установки активного каталога в групу Pre-windows 2000 Compatible Access автоматично буде додана група Everyone. До спеціальної групи Everyone входять всі аутентіфіцированниє користувачі. Якщо групу Everyone видалити з групи Pre-windows 2000 Compatible Access (а потім перезавантажити контроллери домена), то домен функціонуватиме з вищим ступенем безпеки, що забезпечується основним режимом роботи Windows 2000. Якщо по яких-небудь міркуваннях потрібно понизити рівень захисту, то групу Everyone необхідно додати знову, запустивши в командному рядку наступну команду.
net localgroup "Pre-windows 2000 Compatible Access" everyone /add
Мал. З.5. Майстер установки служби активного каталога Win 2000 (dcpromo) надає можливість розширити дозволи на доступ до активного каталога і надати їх серверам раніших версій
Докладніша інформація міститься в статті Q240855 бази даних (Knowledge Base) компанії Microsoft, яку можна знайти за адресою
http: //search.support. microsoft.com.
Механізм
управління доступом, визначуваний членством в групі Pre-windows 2000 Compatible Access, застосовується також і до запитів, що генеруються при використанні відкритих сеансів NETBIOS. Підтвердженням цього може служити наступний приклад, де знову використовується утиліта enum (описана вище). Перший раз ця утиліта запущена для інвентаризації сервера Win 2000 Advanced Server, на якому в групу Pre-windows 2000 Compatible Access входить група Everyone.
D:\toolbox>enum -u corp-dc
server: corp-dc
setting up session... success.
getting user list (pass 1, index 0)... success, got 7.
Administrator Guest
Iusr_corp-dc Iwam_corp-dc krbtgt
Netshowservices Tsinternetuser cleaning up... success.
Тепер видалимо групу Everyone з групи Pre-windows 2000 Compatible Access, виконаємо перезавантаження і запустимо той же самий запит.
D:\toolbox>enum -u corp-dc
server: corp-dc
setting up session... success.
getting user list (pass 1, index 0)... fail
return 5, Access is denied.
cleaning up... success.
Серйозно розглянете питання оновлення всіх серверів RAS (Remote Access Service— спужба удапенного доступу), RRAS (Routing and Remote Access Service — спужба маршрутизації і удапенного доступу) і SQL і установки на них системи Windows 2000 перед тим, як перейти на іспопьзованіє спужби активного катапога. Це подзвонить забпокировать можливість випадкового перегляду інформації про облікові записи.
|
