Самыми надежными в плане безопасности из NT-систем на сегодняшний день являются Win2000 и WinXP. Но и в них присутствует множество уязвимостей, существующих еще со времен NT4. Большинство из них живут до сих потому, что, как известно, в Microsoft все делается через одно место (через Билла Гейтса), и по умолчанию система поставляется весьма и весьма плохо сконфигурированной в плане безопасности. Эта ситуация является прямым итогом политики, которую можно охарактеризовать, как «чтобы все работало даже у самого криворукого админа». Поэтому наша задача — устранить эти даже не баги, а скорее недочеты в конфигурации по умолчанию, сделав систему более защищенной.
Рассматривать мы будем Win2k/XP, т.к. они мало чем отличаются друг от друга в плане безопасности, и в дальнейшем под термином WinNT я буду подразумевать именно эти две системы. Также отмечу тот факт, что случаи, когда NT-машина является контроллером домена или иные экзотические ситуации рассматриваться не будут. Считаем, что в нашем подчинении находится обычная рабочая станция, например, в локалке. И наша задача — защитить ее от посягательств других клиентов из локальной сети.
Пароли в NT
Начнем, как водится, со святого — с пользовательских аккаунтов. Любые неприятности начинаются именно здесь. Известно, что в WinNT пароли хранятся в специальном файле SAM (%папка_с_виндой%system32configSAM). Но это не значит, что любой юзер, имеющий учетную запись на нашей машине, сможет его себе скопировать. Во время работы системы доступ к файлу полностью запрещен, даже администратору. Поэтому единственный выход получить доступ к файлу SAM — загрузить на компьютере альтернативную операционку. Локально это не представляет никакого труда. Существует множество «систем на одной дискете», способных читать из раздела NTFS (Trinux, PicoBSD, и т.д.). Но мы говорим о локальной сети, и в этих рамках опасной представляется ситуация, имеющая в народе широкое распространение — наличие на машине связки «Win9x (для игр) + WinNT (для работы)». Очевидно, что получить доступ к SAM-файлу из Win9x можно, только если он лежит на FAT32-разделе. Отсюда вывод — ставить WinNT на FAT-раздел глупо. А в случае наличия на компьютере Win9x вообще недопустимо, ибо вся безопасность NT летит в тартарары. Банально, но факт — очень многие оставляют свежепоставленную NT на FAT’е именно для того, чтобы можно было из 98-й винды обращаться к документам, лежащим на разделе с WinNT. Справедливости ради отмечу, что многие полезные функции NT (квотирование, шифрование файловой системы, и т.д.) работают только на NTFS, и с этой точки зрения установка NT на FAT-раздел выглядит тем более идиотским решением. А мое личное мнение — нужно вообще отказаться от какого-либо использования Win9x.
Многие спросят — а как же тогда работают многочисленные программы для подбора паролей в NT. Дело в том, что дамп паролей хранится не только в файле. Во время работы системы он отображается в реестре, и все программы типа LophtCrack выдирают его именно оттуда. К счастью, к ветке реестра с паролями доступ имеют только юзеры с правами администратора. Казалось бы, беспокоиться не о чем: не ставь на комп вторую операционку, не работай из-под учетной записи админа, и никто до паролей не доберется. Но это не так. Та же L0phtCrack умеет перехватывать передаваемые по сети хэши паролей (работа в режиме снифера), поэтому в сети с логической топологией «общая шина» удаленный доступ к своей машине (например, к принтеру) представляет определенную опасность. Примечание: строго говоря, в NT сами хэши паролей по сети НЕ передаются, но передаются хэши, полученные на основе хэшей паролей. Короче, перехватить данные, на основе которых можно получить пароль пользователя, представляется возможным.
Как же быть? Допустим, что хэши паролей каким-то образом перехвачены (из файла SAM, из реестра, или отснифаны по сети). В таких случаях обычно рекомендуют выбирать надежные пароли длиной не менее семи символов, дабы получивший хэш-код взломщик не смог их расшифровать подбором «в лоб» (bruteforce) за приемлемое время. Но этого мало.
Дело в том, что в WinNT пароли по умолчанию хранятся зашифрованными сразу по двум алгоритмам. Сделано это в целях все той же пресловутой совместимости. Первый алгоритм — так называемый LM-hash, существующий для совместимости с аутентификацией в сетях LanMan, второй — собственный NT’шный, алгоритм NT-hash. LM-алгоритм работает не просто криво, а очень криво. А именно, он разделяет полученный пароль на две части по семь символов каждая (т.е., например, если пароль состоит из десяти символов, то он преобразует его в два слова, из семи и из трех символов соответственно), переводит все символы в верхний регистр, шифрует каждую часть отдельно, и два полученных хэша объединяет вместе, получая тот самый LM-hash. Надо ли говорить, что подбор зашифрованных таким алгоритмом паролей значительно проще (очевидно, что легче расшифровать два пароля из семи и трех символов, чем один из десяти)? И все программы подбора паролей умеют пользоваться этой возможностью, взламывая две половины пароля одновременно. На скриншоте представлен процесс взлома паролей утилитой L0phtCrack, и видно, что последний, восьмой символ пароля пользователя winroot (переименованная учетная запись администратора) определился сразу, т.к. подобрать пароль из одной буквы не составляет труда.
Учитывая, что многие пароли представляют собой простые слова или сочетания слов, из-за применения в винде LM-hash’а может сложиться ситуация, когда пароль из семи символов надежнее пароля из десяти. Ведь на основании быстро угаданных последних трех символов можно сделать вывод обо всем пароле в целом. А избавиться от недостатка очень легко. Через панель администрирования, оснастку Local Security Policy, в разделе Local Security Settings -> Security Options найти политику «Network Security: LAN Manager authentification level» и изменить дефолтовое значение (Send LM & NTLM responses) на что-то вроде Send NTLM response only (или использовать NTLMv2, если не нужна совместимость или в сети отсутствуют машины на NT4/Win9x).