|
Возможные атаки на базу данных SAM
Обычно основным объектом атаки являются административные полномочия.
Их можно получить, узнав в хешированном или символьном виде пароль
администратора системы, который хранится в базе данных SAM. Поэтому
именно на базу данных SAM бывает направлен главный удар взломщика
парольной защиты Windows NT/2000.
По умолчанию в Windows NT/2000 доступ к файлу \winnt_root\System32\Config\SAM
заблокирован для всех без исключения ее пользователей. Тем не менее,
с помощью программы NTBACKUP любой обладатель права на резервное
копирование файлов и каталогов Windows NT/2000 может перенести этот
файл с жесткого диска на магнитную ленту. Резервную копию реестра
можно также создать утилитой REGBAK из состава Windows NT Resource
Kit. Кроме того, несомненный интерес для любого взломщика представляют
резервная копия файла SAM (SAM.SAV) в каталоге \winnt_root\System32\Config
и сжатая архивная копия SAM (файл SAM._) в каталоге \winnt_root\Repair.
При наличии физической копии файла SAM извлечь хранимую в нем информацию
не представляет большого труда. Загрузив файл SAM в реестр любого
другого компьютера с Windows NT/2000 (например, с помощью команды
Load Hive программы REGEDT32), можно детально изучить учетные записи
пользователей, чтобы определить их значения RID и шифрованные варианты
хешированных паролей. Зная RID пользователя и имея зашифрованную
версию его хешированного пароля, компьютерный взломщик может попытаться
расшифровать этот пароль, чтобы использовать его для получения сетевого
доступа к другому компьютеру. Однако для интерактивного входа в
систему одного лишь знания хешированного пароля недостаточно. Необходимо
получить его символьное представление.
Для восстановления пользовательских паролей ОС Windows NT в символьном
виде существуют специальные парольные взломщики. Они выполняют как
прямой подбор паролей, так и поиск по словарю, а также используют
комбинированный метод взлома парольной защиты, когда в качестве
словаря задействуется файл с заранее вычисленными хешированными
паролями, соответствующими символьным последовательностям, которые
часто применяются в качестве паролей пользователей операционных
систем. Одной из самых известных программ взлома паролей Windows
NT/2000 является LOphtCrack. На рисунке 1 приведено основное рабочее
окно этой программы, предназначенной для работы на компьютерах с
ОС Windows 95/98, Windows NT/2000.
Рисунок 1 Основное рабочее окно парольного
взломщика l0phtCrack+.
Однако следует понимать, что программой взлома можно воспользоваться
так же и для проверки надежности ваших паролей.
Для этого необходимо:
- выбрать пункт меню Вычисление PwDump и Sniff в окне Параметры.
- Задается имя пользователя. (Имя пользователя Windows NT/2000
может содержать до 20 символов верхнего или нижнего регистра,
за исключением следующих: " / \ [ ] : ; | = , + * ? < > . и пробелов.)
- Задается пароль, который может содержать до 14 символов.
После задания имени и пароля следует нажать на кнопку вычислить.
Результат можно сохранить в виде PwDump- или Sniff-файла.
Также существует задание параметров атаки по словарю:
- Обычное использование словаря;
- Записанные дважды слова;
- Обратный порядок символов слов;
- Усеченные до заданного количества символов слова;
- Слова без гласных, за исключением заглавной;
- Транслитерация русских букв латинскими по заданной таблице транслитерации;
- Замена раскладки локализации латинской раскладкой клавиатуры;
- Замена латинской раскладки клавиатуры раскладкой локализации;
- А также множество других параметров взлома.
  
|
