Защита Windows NT/2000 от парольных взломщиков

Вывод однозначен: одна из главных задач системного администратора Windows NT/2000 состоит в защите информации, которая хранится в базе данных SAM, от несанкционированного доступа. С этой целью ему необходимо:

• ограничить физический доступ к компьютерам сети и, прежде всего, - к контроллерам доменов;
• установить пароли BIOS на включение компьютеров и на изменение их настроек BIOS;
• рекомендуется отключить загрузку компьютеров с гибких и компакт-дисков;
• для обеспечения контроля доступа к файлам и папкам Windows NT/2000 системный раздел жесткого диска должен иметь формат NTFS;
• каталог \winnt_root\repair средствами ОС необходимо закрыть для доступа всех пользователей, включая администраторов, и разрешать к ней доступ только во время работы утилиты RDISK, которая создает в этом каталоге архивные копии системного реестра Windows NT/2000;
• следить за тем, где и как хранятся дискеты аварийного восстановления (Emergency Repair Disks) и архивные копии на магнитных лентах, если на последних присутствует дубликат системного реестра Windows NT/2000.

Дополнительно можно порекомендовать следующее:

Если компьютер с Windows NT/2000 входит в домен, то по умолчанию имена и хешированные пароли последних десяти пользователей, регистрировавшихся на этом компьютере, сохраняются (кэшируются) в его локальном системном реестре (в разделе SECURITY\Policy\Secrets раздела HKEY_LOCAL_MACHINE). Чтобы отменить кэширование паролей на компьютерах домена, нужно с помощью утилиты REGEDT32 в раздел Microsoft\WindowsNT\CurrentVersion\Winlogon раздела HKEY_LOCAL_MACHINE добавить параметр CashedLogonsCount, установив его значение равным нулю, а тип - REG_SZ.

Для защиты базы данных SAM можно применить утилиту SYSKEY, входящую в состав пакета обновления Windows NT Service Pack 3. Эта утилита позволяет включить режим дополнительного шифрования информации о паролях, которая хранится в базе данных SAM. Уникальный 128-битовый ключ для дополнительного шифрования паролей (так называемый ключ шифрования паролей - Password Encryption Key, сокращенно - PEK) автоматически сохраняется в системном реестре для дальнейшего использования.

Рисунок 2 Диалоговое окно утилиты SYSKEY для задания способа хранения системного ключа.

Перед помещением в системный реестр ключ PEK шифруется при помощи другого 128-битового ключа, который называется системным ключом (System Key) и может храниться либо в системном реестре, либо в файле с именем STARTUP.KEY в корневом каталоге на отдельной гибкой дискете. Можно не сохранять системный ключ на магнитном носителе (рисунок 2), и тогда каждый раз при запуске ОС он будет вычисляться с помощью алгоритма MD5 ( Алгоритм хеширования MD5 очень похож на MD4 и по способу дополнения исходной битовой последовательности, и по методу ее обработки, и по размеру получаемой «выжимки» (те же 128 бит). Однако каждый 512-битовый блок подвергается не трем, как в MD4, а четырем циклам преобразований, и поэтому алгоритм MD5 работает несколько медленнее, чем MD4) на основе пароля, набираемого на клавиатуре в диалоговом окне утилиты SYSKEY. Последние два способа хранения системного ключа обеспечивают максимальную защиту паролей в базе данных SAM. Однако они приводят к невозможности автоматической перезагрузки ОС, поскольку для завершения процесса перезагрузки потребуется либо вставить дискету с системным ключом и подтвердить ее наличие в дисководе путем нажатия кнопки OK в появившемся диалоговом окне, либо вручную ввести с клавиатуры системный ключ.
Для повышения стойкости паролей пользователей операционной системы Windows NT/2000 к взлому рекомендуется с помощью утилиты Диспетчер пользователей (User Manager) установить длину пользовательских паролей не менее 8 символов и активизировать режим устаревания паролей, чтобы пользователи периодически их обновляли (рисунок 3). Чем выше вероятность атак на парольную защиту Windows NT/2000, тем короче должен быть срок такого устаревания. А чтобы пользователи не вводили свои старые пароли повторно, необходимо включить режим хранения некоторого числа ранее использовавшихся паролей.

Рисунок 3 Задание правил работы с паролями с помощью Диспетчера пользователей.

Утилита PASSPROP из состава Windows NT Resource Kit, запущенная с ключом /COMPLEX, заставляет пользователей вводить более устойчивые к взлому пароли, которые или сочетают буквы в разном регистре, или буквы с цифрами, или буквы со специальными символами. Более строгие правила фильтрации нестойких паролей можно задать после установки любого из пакетов обновления Windows NT, начиная с Service Pack 2. Тогда специальная библиотека PASSFILT.DLL, находящаяся в каталоге \winnt_root\System32 будет следить за тем, чтобы каждый пользовательский пароль состоял не менее чем из 5 символов, не содержал в себе имени пользователя, включал символы, по крайней мере, трех наборов из четырех возможных, составленных из прописных букв, строчных букв, цифр и специальных символов (знаков препинания и т. д.). Чтобы задать такой режим проверки паролей пользователей, необходимо в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa системного реестра с помощью программы REGEDT32 добавить параметр Notification Packages типа REG_MULTI_SZ и вписать в него строку PASSFILT. Если этот параметр уже имеется, то новую строку следует дописать после уже существующей.
В ходе исследования устойчивости паролей к взлому использовалось программное обеспечение для взлома Windows NT/2000 L0phtCrack+. Исследование производилось на компьютере Pentium III/550. Объем применяемого словаря составил 9 мегабайт.

Выяснено следующее:

• Если пароль состоит из стандартных слов английского (русского) языка, то время взлома составляет до 2 минут (в зависимости от величины словаря).
• При применении паролей длиной не менее 8 символов и составленных цифр и букв английского алфавита время взлома составляет до 40 суток.
• При применении паролей длиной не менее 8 символов и составленных из букв, цифр и спецсимволов время соответственно увеличивается до 100 суток.
• Если в пароле встречается символ «возврат каретки» Alt+0+1+3, программа L0phtCrack+ не может конкретно обрабатывать данный пароль.