Защита информации в Интернет


Уязвимость WINDOWS 2000


Уязвимость WINDOWS 2000
Уязвимость WINDOWS 2000 Осенью 1999 года компания Microsoft открыла доступ через Internet к нескольким тестовым серверам с бета-версией операционной системы Windows 2000 Server на узле Windows2000...
Отказ в обслуживании
Отказ в обслуживании Если большинство серьезных атак против операционной системы NT, направленных на генерацию состояния DoS (отказ в обслуживании), предотвращаются с помощью сервисного пакета NT...
Атака SYN и бомбардировка IPпакетами
Атака SYN и бомбардировка  IP-пакетамиInternet подтверждает известную истину: жизнь — это игра без правил. Особенно наглядно это проявилось в эксперименте с Win2000test.com, когда согласно пр...
Контрмеры против атак DoS
Контрмеры против атак DoSЧтобы минимизировать ущерб от подобных атак, необходимо соответствующим образом настроить сетевые шлюзы или брандмауэры (более подробная информация содержится в главе 12)....
Таблица 6 3 Рекомендуемые параметры
Таблица 6.3. Рекомендуемые параметры для стека протокола TCP/IP в операционной системе NT/2000, позволяющие предотвратить атаки DoS Параметр в разделе HKLM\Sye\CCS\ Services Рекомендуемо...
Генерация состояния DoS сервера ч Telnet Win 2000
Генерация состояния DoS сервера ч.,, Telnet Win 2000Эта простая атака, придуманная в лаборатории SecureXpertLabs (http://www. secure xpert com), предполагает отправку бинарной строки, состоящей из...
Модуль обновления для сервера Telnet
Модуль обновления для сервера TelnetДля предотвращения этой атаки необходимо использовать модуль обновления, который можно найти по адресу http://www.microsoft.com/technet/security/ bulletin/MS00-...
Генерация состояния DoS на сервере имен NetBIOS
Генерация состояния DoS на сервере имен NetBIOSВ июле 2000 года сэр Дастик (Sir Dystic) из группы хакеров Cult of the Dead Caw ("Кутьт мертвой коровы", http://www.cultdeadcow.com) со...
Контрмеры против атаки DoS на сервер имен NetBIOS
 Контрмеры против атаки DoS на сервер имен NetBIOSК сожалению, протокол NetBIOS не документирован, поэтому авторы не могут гарантировать надежность следующего рецепта. Компания Microsoft разр...
Расширение привилегий
Расширение привилегий Если взломщик смог добраться до учетной записи пользователя в системе Windows 2000, то следующим его желанием станет получение исключительных привилегий — прав администратор...
Использование именованных конвейеров
Использование именованных конвейеров для запуска программ с системными привилегиямиАтака, обеспечивающая расширение привилегий на основе прогнозирования создания именованного канала при инициализа...
Контрмеры против использования именованных каналов
Контрмеры против использования именованных каналовКомпания Microsoft выпустила модуль обновления, изменяющий способ создания и размещения именованных каналов диспетчером Win 2000 Service Control M...
Контрмеры против нарушения доступа к рабочим станциям
Контрмеры против нарушения доступа к рабочим станциямПоскольку эта проблема связана с некорректной реализацией модели безопасности компанией Microsoft, то и в ее решении придется положиться на мод...
Несанкционированное получение данных
Несанкционированное получение данных После получения статуса администратора взломщики обычно стараются получить всю информацию, которую можно будет использовать для последующих вторжений....
Получение хэшкодов паролей Win 2000
Получение хэш-кодов паролей Win 2000 Хакеры будут счастливы узнать, что хэш-коды диспетчера локальной сети LanManager (LM) хранится в предлагаемом по умолчанию местоположении Win 2000 для обеспеч...
Не забывайте очищать каталог Repair \RegBack
Не забывайте очищать каталог Repair \RegBackНе оставляйте взломщикам никаких шансов — переносите файлы каталога Repair\RegBack на съемный диск или в другое безопасное место. А еще лучше — при запу...
Загрузка хэшкодов чо с с помощью pwdump2
Загрузка хэш-кодов чо, с с помощью pwdump2В операционной системе Win 2000 по умолчанию применяется кодировка SYSKEY (более подробная информация об этом содержится в разделе Q143475 базы знаний и в...
Контрмеры против загрузки хэшкодов с помощью pwdump2
Контрмеры против загрузки хэш-кодов с помощью pwdump2Поскольку принципы подключения динамических библиотек в Windows не изменились, то против утилиты pwdump2 не существует никакой зашиты. Слабым у...
Добавление хэшкодов в файл SAM с помощью chntpw
Добавление хэш-кодов в файл SAM с помощью chntpwЕсли хакер получил физический доступ к системе и у него достаточно времени для загрузки другой операционной системы, то он может реализовать сложную...
Контрмеры против chntpw
Контрмеры против chntpwЕсли хакеры могут получить неограниченный физический доступ к системе, то противостоять им практически невозможно. Одна из слабых контрмер состоит в такой настройке параметр...
Удаление пароля администратора вместе с файлом SAM
Удаление пароля администратора, вместе с файлом SAM25 июля 1999 года Джеймс Дж. Ерейс (James J. Grace) и Томас С.В. Бартлетт III (Thomas S. V. Bartlett III) опубликовали потрясающую статью о том,...
Предотвращение удаления файла SAM
Предотвращение удаления файла SAMКак отмечалось выше на уровне операционной системы существует единственный способ противостояния такой атаке. он заключается в защите паролем системного ключа или...
Шифрование файловой системы
Шифрование файловой системы Одним из главных достижений Win 2000 в области безопасности является шифрование файловой системы. Средство EPS (Encrypting File System) — это система шифрования на осн...
Расшифровка ключа агента восстановления EFS
Расшифровка ключа агента  восстановления EFSПродолжим начатое ранее обсуждение статьи Джеймса Дж. Грейса (James J. Grace) и Томаса С.В. Бартлетта III (Thomas S. V. Bartlett III). Возможность...
Делегирование прав агента восстановления не решает проблему
Делегирование прав агента восстановления не решает проблемуНа первый взгляд может показаться, что проблему легко решить, делегировав права агента восстановления другой учетной записи. На самом дел...
Экспортирование ключей восстановления
Экспортирование ключей восстановления и их безопасное хранениеВ ответ на статью Джеймса Дж. Грейса (James J. Grace) и Томаса С.В. Бартлетта III (Thomas S. V. Bartlett III) компания Microsoft призн...
Вторжение на доверительную территорию
Вторжение на доверительную территорию Один из основных приемов взломщиков — поиск данных пользователей домена (а не локальной системы). Это позволяет хакерам получить доступ к контроллеру домена...
Средства получения данных LSA живут и здравствуют
Средства получения данных LSA -живут и здравствуютКак было показано в главе 5, получение данных LSA — основной механизм для вгпома доверительных отношений, поскольку позволяет получить данные о не...
Сокрытие следов
Сокрытие следов В Win 2000 применяются в основном те же средства и приемы сокрытия следов, что и в более ранних версиях операционной системы с небольшими отличиями. Приведем их краткое описание....
Отключение аудита
Отключение аудита Для включения аудита можно воспользоваться аплетом Local Security Policy (secpol.msc) или Group Policy (gpedit.msc), выбрав на левой панели управляющей консоли элемент Local Pol...
Очистка журнала регистрации событий
Очистка журнала регистрации событий В Win 2000 по-прежнему возможна очистка журнала регистрации событий, однако доступ к журналам осуществляется посредством нового интерфейса. Просмотреть различн...
Сокрытие файлов
Сокрытие файлов Одной из главных задач хакера после удачного вторжения в систему является надежное сокрытие своего инструментария. В главе 5 обсуждались два способа сокрытия файлов: с помощью ком...
Команда attrib
Команда attribДля сокрытия файлов по-прежнему можно применять команду attrib, но при этом файлы все же останутся видимыми при выборе опции Show All Files для данной папки....
Потоки
ПотокиС помощью утилиты ср из набора NTRK (поддерживающей стандарт POSIX) можно скрыть файлы за другими файлами в потоках (см. главу 5). Эту утилиту можно использовать и в Win 2000 даже при перехо...
Предварительный сбор данных
Предварительный сбор данных Как упоминаюсь в главе 1, большинство злоумышленников стараются получить максимум информации, не обращаясь напрямую к интересующему их серверу. Основным источником для...
Перенос зоны DNS
Перенос зоны DNSПоскольку пространство имен активного каталога операционной системы Windows 2000 основывается на использовании системы доменных имен, компания Microsoft существенно обновила реализ...
Потайные ходы
Потайные ходы Последним пунктом программы хакеров является обеспечение возможности повторного проникновения в систему, усыпив бдительность системных администраторов....
Манипуляции в процессе запуска системы
Манипуляции в процессе запуска системы Как упоминалось в главе 5, излюбленный прием хакеров — оставить в системе свои исполняемые файлы, которые будут автоматически запускаться при загрузке систе...
Прикрепление к исполняемым файлам
Прикрепление к исполняемым файламИногда наиболее очевидные потайные ходы сложнее всего разглядеть. Например, можно просто разместить троянскую оболочку Windows под именем explorer.exe в корне ката...
Выявление всех относительных путей в реестре
Выявление всех относительных путей в реестреЭта проблема была устранена в модуле обновления MS00-052, не включенном в состав сервисного пакета SP1, поэтому этот модуль необходимо применять независ...
Удаленное управление
Удаленное управление Все описанные в главе 5 механизмы удаленного управления по-прежнему работают в новой версии операционной системы. Утилита remote из набора NTRK теперь входит в состав средств...
Терминальный сервер
Терминальный серверЗначительным новшеством Win 2000 является включение терминальных служб в состав базовых серверных продуктов. Дополнительно устанавливаемый терминальный сервер превращает Win 200...
Выявление отключенных соединений с терминальным сервером
Выявление отключенных соединений  с терминальным серверомЧто может сделать взломщик, имея привилегии администратора на терминальном сервере? Если на момент подключения хакера с данными учетно...
Завершение терминальных сеансов
Завершение терминальных сеансовЕсли просто закрыть окно клиента терминального сеанса или щелкнуть на кнопке Disconnect, сеанс останется активным. Для завершения терминального сеанса необходимо выб...
Регистраторы нажатия клавиш
Регистраторы нажатия клавиш В Win 2000 по-прежнему хорошо работают программы, регистрирующие нажатия клавиш, NetBus и Invisible Key Logger Stealth (IKS), описанные в главе 5....
Контрмеры общего назначения новые
Контрмеры общего назначения: новые средства обеспечения безопасности Windows В Win 2000 включены новые средства обеспечения безопасности. Теперь этот аспект гораздо лучше систематизирован, чем в...
Политика групп
Политика групп Одним из наиболее мощных новых средств в Win 2000 является политика групп, которая уже несколько раз упоминалась в этой главе. Объекты политики групп могут храниться как в активном...
Объект политики групп Default Domain Policy
Рисунок 6.2. Объект политики групп Default Domain Policy...
Средства настройки безопасности
Средства настройки безопасностиДля настройки политики групп можно воспользоваться набором утилит для настройки безопасности, в состав которого входят две программы: Security Configuration and Anal...
Команда runas
Команда runasК радости поклонников операционной системы UNIX в состав Win 2000 включена собственная команда переключения привилегий пользователей runas (аналог su). В соответствии с требованиями...
Резюме
Резюме В этой главе мы лишь слегка коснулись многочисленных изменений, относящихся к Win 2000, однако проверка программ взлома для NT 4 показала существенное повышение безопасности в новой версии...
Сканирование
Сканирование Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы. В табл. 6.1...
Таблица 6 1 Список портов прослушиваемых
Таблица 6.1. Список портов, прослушиваемых по умолчанию контроллером домена Windows 2000 Порт Служба TCP 25 SMTP TCP 21 FTP TCP/UDP 53 DNS TCP 80 WWW TCP/UDP 88 Kerberos...
Контрмеры отключение служб и блокировка портов
Контрмеры: отключение служб и блокировка портовНаилучший способ предотвращения всевозможных атак — это блокировка доступа к этим службам как на уровне сети, так и на уровне отдельных компьютеров....
Фильтры IPSec
Фильтры IPSecДля установки фильтров на порты отдельных компьютеров лучше использовать фильтры протокола IPSec. Эти фильтры явились побочным результатом новой реализации протокола IPSec для Windows...
Таблица 6 2 Параметры утилиты
Таблица 6.2. Параметры утилиты ipsecpol, используемые для фильтрации трафика через компьютеры под управлением Windows 2000 Параметр Описание -w REG Переводит утилиту ipsecpol в статически...
Инвентаризация
Инвентаризация В главе 3 было показано, как из операционной системы Windows NT 4.0 можно получить сведения об учетных записях, совместно используемых ресурсах и другую информацию. Было показано,...
Отключение служб NetBIOS/SMB в Windows 2000
Отключение служб NetBIOS/SMB в Windows 2000К счастью, можно отключить и порт 445, однако эта операция выполняется отдельно для каждого конкретного адаптера (подобно операции отключения порта 139 в...
Отключение служб NetBIOS и SMB/CIFS
Рисунок 6.1. Отключение служб NetBIOS и SMB/CIFS, обеспечивающих совместное использование файлов и принтеров, в диалоговом окне Advanced Settings аплета Network and Dial-up Connections Порт TCP...
Проникновение
Проникновение Как будет видно из дальнейшего изложения, новая версия операционной системы Windows 2000 подвержена всем тем же типам удаленных атак, что и NT 4....
Получение пароля NetBIOS или SMB
Получение пароля NetBIOS или SMB Средства, подобные описанной в главе 5 утилите SMBGrind, пригодны также для получения паролей в системе Windows 2000. Если службы NetBIOS и SMB/CIFS включены, и к...
Получение хэшкодов паролей
Получение хэш-кодов паролей Утилита перехвата пакетов SMB L0phtcrack, описанная в главе 5, по прежнему может эффективно перехватывать и взламывать хэш-коды диспетчера локальной сети LM и NTLM, пе...
Атаки против IIS 5
Атаки против IIS 5По возрастающей популярности с атаками на протоколы NetBIOS или 8MB могут сравниться лишь многочисленные методологии атак на US (Internet Information Server), поскольку это един...
Проблема US "Translate f"
Проблема US "Translate: f"Проблема, связанная со вскрытием кода (showcode) не нова: она была свойственна и более ранним версиям Internet Information Server. Она получила название Transl...
Корни проблемы Translate f протокол WebDAV и канонизация
Корни проблемы Translate: f - протокол WebDAV и канонизацияПри первом выявлении этой проблемы вокруг ее причин разгорелись бурные споры. Официальная позиция компании Microsoft сводилась к тому, чт...
Контрмеры решение для проблемы Translate f
Контрмеры: решение для проблемы Translate: fЧтобы уменьшить риск, связанный с проблемой Translate: f и другими попытками вскрытия кода, достаточно просто иметь в виду, что любые исполняемые на се...
Удаленное переполнение буфера
Удаленное переполнение буфера В главе 5, рассматривался вопрос переполнения буфера для системы Windows NT. В настоящее время выявлено несколько случаев переполнения буфера приложений, работающих...








Начало