Надежно перекройте доступ к распределительным шкафам и устройствам.

Поскольку посторонний может просто подключиться к одному из неиспользуемых Ethernet-портов концентратора, необходимо защищать эти порты либо аппаратным путем, либо путем установки сигнальных систем, контролирующих изменение состояния порта SNMP.

Защита неиспользуемых портов необязательно должна быть реализована на самом концентраторе. При изменении конфигурации сети без присмотра обычно остаются сетевые коннекторы. Необходимо внимательно следить, чтобы к таким коммутационным устройствам в незапертых помещениях не подключился никто из посторонних.

Следует всегда отключать неиспользуемые порты коммутатора для физических устройств. При переносе компьютера следует убедиться, что соответствующая сетевая магистраль отключена от концентратора.

Безопасность сетей на основе Windows NT

Общие сведения о сетях на основе Windows NT

Для функционирования системы защиты информации от несанкционированного доступа требуется механизм идентификации каждого пользователя. Поэтому в операционной системе Windows NT и построенных на ее основе доменах обязателен процесс входа в систему (logon).

Пользователь, как правило, вводит информацию о себе только раз -- при входе в систему, получая после этого доступ к ресурсам, расположенным как в том домене, где он зарегистрирован, так и в других доменах Windows NT. При этом может показаться, что после входа пользователя в систему проверка подлинности больше не производится. Это впечатление обманчиво, и за кажущейся простотой обращения к ресурсам сети Windows NT скрывается сложный механизм постоянной проверки регистрационной информации о пользователе, срабатывающий каждый раз, когда он пытается получить доступ к ресурсам любого Windows NT-компьютера (и даже компьютера с операционной системой Windows 95, если доступ к его ресурсам контролируется доменом).

Естественно, такая система проверки требует постоянной передачи по сети информации об именах и паролях пользователей. Поэтому для грамотного обеспечения защиты сетей на базе Windows NT необходимо четко представлять процессы, лежащие в основе механизма проверки подлинности пользователей, и то, какая, когда и в каком виде регистрационная информация передается по сети.

Интерактивный и удаленный вход

Пользователь начинает работу в сети с интерактивного входа: он должен ввести свое имя и пароль, зарегистрированные в базе данных домена. Пользователь, вошедший в домен с Windows NT-компьютера, по завершении проверки подлинности получает из соответствующей базы данных уникальный идентификатор безопасности (SID), однозначно определяющий этого пользователя при работе с ресурсами того компьютера с Windows NT, с которого он вошел в систему. При входе в домен с компьютера с другими операционными системами, такими как Windows 95, пользователю, подлинность которого проверена контроллером домена, разрешается войти в сеть с определенным уровнем полномочий.

Удаленный вход имеет место, когда пользователь уже вошел в систему интерактивно и пытается установить связь по сети с другим Windows NT-компьютером. Это случается, например, при подключения к общему ресурсу через диалоговое окно Map Network Drive или по команде net use, при открытии совместно используемой папки на удаленном компьютере с помощью программы Windows NT Explorer или через диалоговое окно Run. При этом сервер, к которому подключается пользователь, вновь проверяет подлинность, а затем создает для него маркер доступа к ресурсам данного сервера.

Служба Net Logon

На любом компьютере с Windows NT, входящем в домен, работает служба NetLogon, одна из задач которой -- обеспечение проверки подлинности пользователей при входе в домен. На компьютере с Windows NT Workstation или отдельном сервере с Windows NT Server служба Net-Logon принимает запросы на вход с локального компьютера и передает их контроллеру домена. На контроллере домена служба NetLogon обрабатывает эти запросы и передает ответ компьютеру, с которого пользователь входит в домен.

Служба NetLogon отвечает за:

установление безопасного канала между Windows NT-компьютером, входящим в домен, и контроллером домена, а также между контроллерами доменов, связанных доверительными отношениями;

сквозную проверку подлинности, т.е. передачу регистрационной информации пользователя на тот контроллер домена, где хранится учетная запись пользователя.

Обнаружение

Проверка подлинности пользователей в домене -- задача контроллеров домена (основного или дополнительных). Поэтому компьютер, с которого пользователь входит в домен, должен сначала найти в сети контроллер домена. Этот процесс называется обнаружением (discovery).

При запуске компьютер с Windows NT пытается обнаружить в сети контроллер своего домена. Если запускается резервный контроллер домена, он пытается обнаружить основной контроллер домена. Наконец, основной контроллер домена должен найти контроллеры всех доверяемых (trusted) доменов.

Клиенты других операционных систем Microsoft проводят обнаружение, только если нужна проверка подлинности пользователей домена.

Установление безопасного канала

Когда Windows NT-компьютер обнаружит контроллер домена, начинается установление безопасного канала (secure channel). Здесь безопасный канал -- это соединение между Windows NT-компьютером и контроллером домена, устанавливаемое, только когда эти два компьютера «знают» друг друга и проверили подлинность каждого. По этому каналу затем передается регистрационная информация о пользователях домена.

Служба NetLogon пытается установить безопасный канал после запуска компьютера и завершения процесса обнаружения, если это не удается, попытки повторяются каждые 15 минут или если возникнет необходимость в проверке подлинности.

Учетные записи компьютеров и доменов

При установлении безопасного канала службы NetLogon компьютеров с Windows NT посылают друг другу «вызовы» и «ответы», чтобы произвести взаимную проверку подлинности. При этом используются учетные записи домена и зарегистрированных в домене Windows NT-компьютеров. Существует три типа таких записей:

учетная запись доверия рабочей станции (WORKSTATION_TRUST_ ACCOUNT) -- для проверки подлинности входящего в домен компьютера с Windows NT Workstation или отдельного сервера с Windows NT Server;

учетная запись доверия серверу (SERVER_TRUST_ACCOUNT) -- для проверки подлинности резервных контроллеров домена;

учетная запись доверия между доменами (INTERDOMAIN_TRUST_ACCOUNT) -- для проверки подлинности доверительных отношений между доменами Windows NT.

Эти учетные записи хранятся в базе данных SAM в разделе реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users и в базе данных соответствующего Windows NT-компьютера (рабочей станции, резервного контроллера домена или контроллера доверяющего домена) -- в разделе реестра HKEY_LOCAL_MACHINE\Security\Policy\Secrets.

Учетные записи компьютеров, как и пользователей, включают имя и пароль. Для компьютеров имя учетной записи -- это всегда имя компьютера со знаком доллара ($) на конце. Первоначальные пароли учетных записей рабочей станции с операционной системой Windows NT или отдельного сервера в домене устанавливаются такими же, как и имена этих компьютеров (в нижнем регистре и, если нужно, усеченные до 14 символов). Первоначальный пароль для учетной записи доверия между доменами задается в диалоговом окне Add Trusting Domain программы User Manager for Domains при установлении доверительных отношений со стороны доверяемого домена. Эти пароли работают до момента активизации членства соответствующего компьютера с Windows NT в домене или активизации доверительных отношений между доменами, после чего меняются автоматически каждую неделю. Процедуру смены пароля можно отключить как со стороны контроллера домена, так и со стороны рабочей станции.

Обмен сообщениями при образовании безопасного канала

Обмен сообщениями при образовании безопасного канала происходит следующим образом.

Windows NT-компьютер (клиент) устанавливает сеансы TCP/IP и NetBIOS с соответствующим контроллером домена (сервером), способным проверять пользователей при входе в домен.

Открывается анонимный доступ к ресурсу IРС$. Для этого сначала согласуется диалект протокола SMB командой SMB_COM_NEGO-TIATE. Далее открывается анонимный сеанс SMB, т.е. в запросе SMB_COM_SESSION_SETUP_ANDX указывается пустое имя пользователя и пароль, и, наконец, командой SMB_COM_TREE_CON-NECT подключается дерево с именем IРС$.

Клиент, используя команду SMB_COM_CREATE_ANDX протокола SMB, создает на контроллере домена именованный канал (named pipe) с именем NETLOGON. Передаваемая по нему информация будет обрабатываться службой NetLogon контроллера домена.

Используя именованный канал NETLOGON, клиент инициирует установление связи по механизму удаленного вызова процедур (RPC Bind), передавая серверу номера и версии интерфейсов, один из которых -- Abstract Interface UUID = 12345678-1234-ABCD-EFOO-01234567CFFB -- требуется самому клиенту, а другой -- Transfer Interface UUID = 8A885D04-1CEB-11C9-9FE8-08002B104860 -- нужен серверу для передачи. Интерфейс представляет собой обозначение некоторой библиотеки процедур, исполнение которых может быть вызвано с удаленного компьютера. Сервер подтверждает существование запрошенного интерфейса. Подтверждение содержит, в частности, имя службы, с которой устанавливается взаимодействие -- в данном случае это \PIPE\lsass, т.е. подсистема локального администратора безопасности сервера.

Далее идет собственно образование безопасного канала, включающее удаленный вызов двух процедур. Первой клиент вызывает процедуру NetrServerReqChallenge. В качестве параметров в запросе передается имя сервера, с которым устанавливается безопасный канал, имя клиента (в данном случае имя компьютера) и «вызов клиента» -- последовательность из 8 случайных байтов. Возвращаемый сервером клиенту результат работы процедуры -- «вызов сервера», тоже последовательность из 8 случайных байтов, отличная от «вызова клиента». Используя оба «вызова» и хешированный пароль данного компьютера, и клиент, и сервер вычисляют так называемый ключ сеанса (session key), применяемый впоследствии для проверки подлинности передаваемой по безопасному каналу информации.

После этого клиент рассчитывает свой мандат (credentials), дважды шифруя свой «вызов» ключом сеанса по алгоритму DES. Мандат -- 8 байтов, призванных доказать серверу, что клиент знает свой «вызов» и ключ сеанса, -- посылается как один из параметров при удаленном вызове процедуры NetrServerAuthenticate2. Другие параметры этой процедуры -- имена сервера, самого Windows NT-компьютера и его учетной записи в домене.

Если принятая сервером информация совпадает с рассчитанной им самим (напомним, что сервер уже знает и ключ сеанса, и «вызов клиента»), он отвечает клиенту подтверждением успешного выполнения RPC. Одновременно клиенту для проверки подлинности передается мандат сервера, рассчитанный теперь уже на основе «вызова» сервера. Клиент проверяет эту информацию, сравнивая полученные 8 байтов с рассчитанными им самим, и в случае совпадения процедура организации безопасного канала успешно завершается. Важное примечание: мандаты клиента и сервера сохраняются и в дальнейшем служат для проверки подлинности учетных записей как пользователей при их входе в домен, так и Windows NT-компьютеров -- например, при смене пароля рабочей станции в домене.

Взаимная проверка подлинности Windows NT-компьютера и контроллера домена -- обязательное условие последующего входа пользователей с этого компьютера в домен.

Сквозная проверка подлинности

Сквозная проверка подлинности (pass-through authentication) происходит, когда компьютер не может идентифицировать пользователя, привлекая свою локальную базу данных учетных записей, а именно:

При интерактивном входе в систему на рабочей станции с Windows NT Workstation или на отдельном сервере Windows NT Server, если в поле Domain диалогового окна Logon Information указано имя домена или доверяемого домена. При этом компьютер по безопасному каналу передает запрос на проверку подлинности контроллеру своего домена. Контроллер проверяет введенное имя домена и, если оно совпадает с именем его собственного, сам проверяет подлинность с помощью своей базы учетных записей и возвращает идентификационную информацию компьютеру входа. Если указанное в поле Domain имя не совпадает с именем домена, к которому он принадлежит, контроллер проверяет, не совпадает ли данное имя с именем доверяемого домена. При совпадении устанавливается безопасный канал с контроллером доверяемого домена, и ему передается запрос на проверку подлинности данного пользователя. Контроллер доверяемого домена обрабатывает этот запрос, сверяя полученную информацию с той, что храниться в его базе данных, и посылает идентификационные данные исходному контроллеру домена, который в свою очередь передает их компьютеру входа. Если учетная запись пользователя не найдена, попытка входа завершается неудачей.

Вход в домен с Windows NT - компьютеров

Интерактивный вход на компьютере с операционной системой Windows NT начинается после того, как пользователь, нажав комбинацию клавиш Ctrl+Alt+Delete, вызывает диалоговое окно Logon Information и вводит свою регистрационную информацию. При этом в поле Domain выбирается либо имя домена, либо имя доверяемого домена, либо имя компьютера, где зарегистрирован этот пользователь (если компьютер не является членом домена, поле Domain просто не появляется в диалоговом окне Logon Information).

После щелчка кнопки ОК компьютер проверяет имя домена. Если имя, введенное в поле Domain, совпадает с именем компьютера, подлинность пользователя проверяется на основании информации из локальной базы данных. Это просто вход в компьютер с операционной системой Windows NT, а не в домен. Если же имя в поле Domain отличается от имени компьютера, т.е. это имя либо своего, либо доверяемого домена, компьютер входа посылает введенные данные контроллеру своего домена. Контроллер анализирует имя домена, а затем либо сам проверяет подлинность введенной пользователем информации, либо передает ее для проверки контроллеру доверяемого домена.

При удаленном входе в компьютер с Windows NT регистрационная информация о пользователе передается от клиента к серверу по протоколу SMB. Однако если сервер не является контроллером домена, то идет такая же процедура сквозной проверки подлинности, что и при интерактивном входе. Полученные Windows NT-компьютером по протоколу SMB сведения (в частности, зашифрованный с помощью хешированного пароля пользователя «вызов» сервера) передаются между компьютерами Windows NT с помощью запроса RPC NetrLogonSamLogon. При этом дополнительное шифрование ключом, согласованным при установлении безопасного канала, не производится.

Кэширование информации о пользователе на компьютере с Windows NT

При первом входе пользователя в домен с какого-либо компьютера контроллер домена передает проверенную информацию о нем на компьютер входа. Эта информация кэшируется компьютером в локальном реестре в разделе HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets и в дальнейшем может служить для проверки подлинности пользователей, когда ни один контроллер домена не доступен.

Таким образом, даже если все контроллеры домена выключены, несколько (по умолчанию 10) пользователей, которые последними интерактивно регистрировались в домене с данного компьютера, смогут войти в домен с помощью кэшированных данных. Регистрационная информация о пользователях, входивших в компьютер, а не в домен, также хранится в локальной базе данных этого Windows NT-компьютера.

Вход в домен с клиентских компьютеров, отличных от Windows NT

Клиентские компьютеры, работающие под управлением Windows 95, Windows for Workgroups, MS-DOS, Macintosh или LAN Manager 2.x, могут взаимодействовать с доменами. Их принципиальное отличие от Windows NT-компьютеров в том, что они не регистрируются в базе данных каталога домена. С точки зрения защиты, эти клиенты заметно уступают клиентам с операционной системой Windows NT и, естественно, представляют собой намного большую угрозу системе безопасности сети.

И все же пользователи этих компьютеров могут иметь учетные записи в базе данных домена. Их вход в домен с клиентских компьютеров управляется контроллером домена.

Компьютеры клиентов не получают регистрационной информации о пользователе, которая могла быть кэширована на рабочей станции и впоследствии задействована для доступа к ресурсам. Поэтому, если при входе с компьютера указанных выше клиентов контроллер домена недоступен, пользователь не сможет работать с сетевыми ресурсами.

Указанные клиенты не имеют возможности выбрать имя доверяемого домена при входе в систему, поскольку такие компьютеры жестко привязаны к определенному домену. Однако эти пользователи могут соединяться с Windows NT-компьютерами как своего, так и других доменов. При этом учетные данные пользователя обрабатываются в таком порядке (до момента успешной регистрации): сначала самим компьютером, затем контроллером домена, к которому компьютер принадлежит, и -- при соединении с компьютером доверяющего домена -- контроллером доверяемого домена.

Кэширование паролей на клиентских компьютерах, отличных от Windows NT

Вход в домен Windows NT с компьютеров, управляемых Windows 95, Windows for Workgroups, MS-DOS (c Microsoft Network Client v3.0) и др., требует ввода двух паролей: одного -- соответствующей операционной системы и другого -- для входа в домен Windows NT. При первом входе запрашиваются оба пароля, а в дальнейшем, если были указаны одинаковые пароли, только первый. По умолчанию информация о всех паролях сохраняется в файле с расширением .PWL, создаваемом для пользователя на локальном компьютере.

Конечно, для пользователей такая система существенно упрощает процедуру входа в домен и другие сети. Однако она заметно ослабляет защищенность сети, поскольку регистрационная информация пользователя домена в момент работы хранится как в памяти клиентского компьютера с такой операционной системой, так и в соответствующем PWL-файле на локальном жестком диске, откуда ее может извлечь злоумышленник.

Для улучшения безопасности сети можно отменить кэширование паролей клиентов такого типа.

Возможные атаки

Перехват пароля при входе программой-имитатором

Одним из способов получения регистрационной информации о пользователе с целью проникновения в сеть является загрузка с дискеты операционной системы MS-DOS и запуск программы, имитирующей поведение операционной системы Windows NT. Задача такой программы -- вывести на экран диалоговое окно Logon Information, получить информацию о имени и пароле пользователя, передать ее по сети на компьютер злоумышленника в локальной сети или в Интернете, затем выдать некоторую правдоподобную по диагностике «ошибку», и остановить компьютер. Естественно, после перезагрузки вход в систему протекает нормально, и неопытный пользователь может не заметить подвоха.