Последние Статьи


Самые популярные пароли

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Хакеры и кракеры, или Что такое хорошо и что такое плохо?

Хронология ARPANET - INTERNET

Система защиты в Windows — факт или вымысел

Основные принципы обеспечения безопасности

Диспетчер SAM и служба Active Directory

Административные границы: лес или домен?

Можно ли доверять домену, подключенному к Internet?

Идентификаторы защиты (SID)

Почему нельзя входить в систему с правами администратора из любой точки?

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Ложный ARP-сервер в сети Internet

Ложный DNS-сервер в сети Internet

Подмена одного из субъектов TCP-соединения в сети Internet

Нарушение работоспособности хоста в сети

Мифические удаленные атаки в сети Internet

Выделенный канал связи между объектами распределенной ВС

Диспетчер SAM и служба Active Directory

  После изучения базовых принципов безопасности, давайте более подробно рассмотрим методы управления учетными записями и паролями в системах семейства Windows NT. На всех компьютерах под управлением Windows NT и не сетевых компьютерах под управлением Windows 2000 информация об именах учетных записей и паролях содержится в базе данных диспетчера системы защиты (служба SAM — Security Access Manager). Пароли хранятся в зашифрованном виде, их невозможно расшифровать, пользуясь известными методами (хотя зашифрованное значение можно подобрать, как будет показано в главе 8, "Расширение сферы влияния"). Процедура шифрования называется односторонней функцией (ОСФ) иди алгоритмом хеширования, значение хеш-функции расшифровать нельзя. В этой книге мы очень часто и очень подробно будем говорить о хеш-функциях. SAM является одним из пяти основных разделов реестра и реализуется файлом %syscemroot%sy5tem32conf igsam.

 На контроллерах доменов под управлением Windows 2000 (и более новых версиях операционной системы) имя учетной записи и хешированный пароль хранятся службой Active Directory (по умолчанию это файл %sysCemroot% tdsVntds.dit).

  Хешированные пароли хранятся в одинаковом формате, но доступ к ним осуществляется различным образом.

    SYSKEY

  При использовании NT хешированные пароли хранятся непосредственно в файле SAM. Начиная С версии NT4, пакет обновления 3. Фирма Microsoft обеспечила возможность использования еще одного уровня шифрования для хешированных паролей SAM, который называется SYSKEY. SYSKEY (сокращенное название от SYStem KEY— системный ключ),вычисляет случайный 128-разрядный ключ и этим ключом еще раз шифрует хешированные пароли (только хеш-функции, а не сам файл SAM).

  Чтобы включить шифрование SYSKEY в NT4, необходимо выполнить команду SYSKEY .

  Нажав кнопку Update а этом окне, вы получите возможность настроить другие опции SYSKEY, а именно — определить, где и как будет храниться SYSKEY. SYSKEY может храниться в одном из трех режимов.

  Хранится в реестре и предоставляется автоматически во время загрузки (настройка по умолчанию),

  Хранится в реестре, но заблокировано паролем, который необходимо ввести во время загрузки.

  Хранится на гибком диске и должно быть предоставлено во время загрузки.

  Выбор этих режимов показан на следующем рисунке.

  Как и в Windows 2000, по умолчанию в Windows Server 2003 реализован режим 1, поэтому пароли, которые хранятся в базе данных SAM или в Active Directory, хешируются и шифруются значением SYSKEY. Нет необходимости задавать эти настройки вручную в версиях операционных систем, начиная с NT4 SP3 и старше. В главах 8, "Расширение сферы влияния", и 14, "Физические атаки", будут описаны методы применения ключа SYSKEY и действия злоумышленников для обхода этого механизма защиты.
ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Диспетчер SAM и служба Active Directory

Вы забыли пароль. Что делать? Часть 3

Идентификаторы защиты (SID)

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации
Copyright © 2010 BRV ISTCOM S.R.L.- раскрутка сайта