Создание новых пользователей и групп

1.1. Войдите в систему под именем Администратор - введите (или оставьте) имя пользователя Администратор и пустой пароль.

1.2. Нажмите кнопку «Пуск», и в появившемся меню выберите «Программы->Администрирование (Общее)->Диспетчер пользователей». В результате появится окно диспетчера пользователей.

1.3. В окне диспетчера пользователей войдите в меню «Пользователь» и выберите пункт «Добавить пользователя». В результате появится окно добавления нового пользователя.

1.4. Заполните поля данных о пользователе следующим образом:

Пользователь: user1;
Полное имя, Описание: по желанию;
Пароль, Подтверждение пароля: одно и то же значение пароля в обоих полях.
Остальные параметры оставьте неизменными и нажмите кнопку «OK».

1.5. Выполните пункты 1.3-1.4 для создания пользователя с именем user2.

1.6. В окне диспетчера пользователей войдите в меню «Пользователь» и выберите пункт «Создать локальную группу». В результате появится окно создания новой локальной группы.

1.7. Заполните поля данных о группе следующим образом:

Группа: group;
Описание: по желанию;
Удалите всех пользователей вновь созданной группы путем нажатия кнопки «Удалить» и добавьте в группу пользователя user2, нажав кнопку «Добавить», и в завершение нажмите кнопку «OK».

1.8. Закройте окно диспетчера пользователей.

1.9. Войдите в систему под именем user2 и убедитесь, что обычный пользователь не имеет права запускать диспетчер пользователей.

Задание прав доступа к файлу

2.1. Войдите в систему под именем user1.

2.2. Нажмите кнопку «Пуск», и в появившемся меню выберите «Программы->Проводник». В результате появится окно проводника Windows.

2.3. Перейдите на диск «C:»инанем создайте каталог «Lab».

2.4. В этом каталоге создайте файл «file1.txt» и наберите в нем какой-либо текст.

2.5. Из контекстного меню выберите свойства файла, перейдите на вкладку «Безопасность» и нажмите кнопку «Разрешения».

2.6. Удалите всех пользователей из списка разрешений на данный файл и добавьте пользователя user1 с разрешением «Полный доступ» и группу group с разрешением «Чтение» (для отображения пользователей в списке необходимо нажать кнопку «Пользователи»). Нажмите кнопку «OK».

2.7. Войдите в систему под именем user2 и попробуйте просмотреть и изменить содержимое файла «file1.txt». Убедитесь в том, что пользователь user2 имеет право чтения файла «file1.txt».

Смена владельца файла

3.1. Войдите в систему под именем Администратор и попробуйте просмотреть содержимое файла «file1.txt». Убедитесь, что в данный момент даже администратор не имеет доступа к этому файлу.

3.2. Попробуйте изменить права доступа к файлу, выбрав из контекстного меню свойства файла и нажав на вкладке «Безопасность» кнопку «Разрешения».

3.3. Станьте владельцем файла «file1.txt», нажав кнопку «Владелец» и далее «Стать владельцем».

3.4. Задайте права доступа так, чтобы пользователь имел полный доступ к файлу «file1.txt» и попробуйте теперь изменить содержимое файла. Убедитесь, что теперь это стало возможно.

Установка режима аудита доступа к файлам и каталогам

4.1. Войдите в систему под именем Администратор.

4.2. Перейдите на диск «C:»в каталог «Lab», из контекстного меню файла «file1.txt» выберите свойства файла, перейдите на вкладку «Безопасность» и нажмите кнопку «Аудит».

4.3. Нажмите кнопку «Добавить» и добавьте пользователя user1 (для отображения пользователей в списке «Имена» необходимо нажать кнопку «Пользователи»).

4.4. В окне «Аудит: Файл» включите аудит всех событий, отметив все флажки, отвечающие за аудит успехов и отказов. Нажмите кнопку «OK».

4.5. Запустите диспетчер пользователей.

4.6. В окне диспетчера пользователей войдите в меню «Политика» и выберите пункт «Аудит». В результате появится окно управления аудитом.

4.7. В окне управления аудитом выберите «Аудит событий» и отметьте все переключатели, разрешающие аудит успехов и отказов.

4.8. Войдите в систему под именем user1.

4.9. Попробуйте прочитать содержимое файла «file1.txt», изменить его, переименовать файл.

4.10. Войдите в систему под именемАдминистратор.

4.11. Нажмите кнопку «Пуск», и в появившемся меню выберите «Программы->Администрирование (Общее)->Просмотр событий». В результате появится окно просмотра событий.

4.12. Из меню «Журнал» выберите пункт «Безопасность», в результате в нижней части окна просмотра событий отобразится журнал событий безопасности. Просмотрите отраженные в журнале записи о событиях и сведения о последних событиях (команда журнала «Вид – Сведения…»).

4.13. Войдите в систему под именем user1 и убедитесь, что доступа к журналу событий безопасности пользователи не имеют.

Часть 2. Создание и использование паролей

Теоретическая часть

При использовании пользователями паролей возникает проблема хранения этих паролей. Если бы пароли хранились в текстовом виде, это было бы очень удобно для администратора, но подобный способ размещения чрезвычайно ненадёжен.

Операционная система WindowsNT хранит пароли в зашифрованном виде, называемом хешами паролей (hash (англ.) - смесь, мешанина). Хеш представляет собой некоторую последовательность символов. Пароли преобразуются в хеш с помощью специальных хеш-функций. Пароли не могут быть получены непосредственно из хешей. Восстановление паролей заключается в вычислении хешей по возможным паролям и сравнении их с имеющимисяхешами паролей. Аудит паролей включает в себя проверку возможных путей получения информации об учётных записях пользователей, результатом восстановления паролей является их представление в явном виде с учётом регистра.

Особенности хеша:

• какова ни была длина пароля, размер хеша всегда одинаков (128 бит для WindowsNT);
• преобразование исходной функции в хеш  занимает определённый промежуток времени;
• если из пароля мы получаем хеш, то обратный процесс невозможен.

Допустим, что администратор добавляет нового пользователя с новым паролем. Система преобразует пароль с помощью хеш-функции в хеш  и запоминает его в системе. Если кто-нибудь случайно узнает хеш, то, узнать пароль по нему будет невозможно.

При входе в систему мы набираем пароль, система преобразует его в хеш, затем сравнивает с теми, которые есть у неё в реестре (внутренней базы данных системы). Если введённый пароль содержится в реестре, то пользователь получает разрешение на доступ.

Получение хешей паролей

Существует несколько путей получения хешей паролей, зависящих от их местонахождения и имеющегося доступа. Хеши паролей могут быть получены следующими способами: из файла SAM[3] или его резервной копии, непосредственно из реестра операционной системы локального или удаленного компьютера, посредством перехвата аутентификационных пакетов в сети.

Получение хешей паролей из файла SAM

Учетные записи пользователей, содержащие, в том числе имя пользователя и его пароль, хранятся в реестре Windows NT, а именно в той его части, которая находится в файле SAM. Этот файл можно найти на диске и извлечь из него хеши паролей.

Получение хешей паролей из реестра операционной системы

Для полученияхешей паролей из реестра операционной системы осуществляется непосредственный доступ к реестру. Для выполнения импорта информации необходимо иметь административные права на компьютере, дамп паролей учетных записей которого требуется создать. Если компьютер не является локальным, то должен быть разрешен удаленный доступ к реестру и иметься соответствующие права. Получение хешей данным способом впервые стало возможным в программе pwdump (автор Jeremy Allison). При выполнении импорта информации этим способом с помощью программы pwdump имена пользователей, содержащие нелатинские буквы, будут искажены.

Получение хешей паролейпутем перехвата аутентификационных пакетов в сети

Существует возможность получения хешей паролей учетных записей пользователей с помощью перехвата аутентификационных пакетов в сети. Клиентская машина обменивается с сервером аутентификационными пакетами каждый раз, когда требуется подтверждение прав пользователя. Необходимо, чтобы компьютер находился в сетевом сегменте пользователя или ресурса, к которому он обращается.

Восстановление паролей

На практике возникает следующая проблема: если известныхеш  и хеш-функция, то теоретически узнать пароль нельзя, но на практике это можно сделать несколькими различными способами: атакой по словарю, последовательным перебором и сочетанием атаки по словарю и последовательного перебора.

При атаке по словарю последовательно вычисляются хеши для каждого из слов словаря или модификаций слов словаря и сравниваются с хешами паролей каждого из пользователей. При совпадении хешей пароль найден. Преимущество метода - его высокая скорость. Недостатк- таким образом могут быть найдены только очень простые пароли, которые имеются в словаре или являются модификациями слов словаря.

Последовательный перебор комбинаций использует набор символов и вычисляет хеш  для каждого возможного пароля, составленного из этих символов. При использовании этого метода пароль всегда будет определен, если составляющие его символы присутствуют в выбранном наборе. Единственный недостаток этого метода - большое количество времени, которое может потребоваться на определение пароля. Чем большее количество символов содержится в выбранном наборе, тем больше времени может пройти, пока перебор комбинаций не закончится.

При восстановлении паролей сочетанием атаки по словарю и последовательного перебора к каждому слову или модификации слова словаря добавляются символы справа и/или слева. Для каждой получившейся комбинации вычисляется хеш, который сравнивается с хешами паролей каждого из пользователей.

LM – хеш  иNTLM – хеш[4]

LM-хеш, или LAN Manager хеш — один из форматов, используемых Microsoft LAN Manager и версиями Microsoft Windows до Windows Vista для хранения пользовательских паролей длиной менее 15 символов. Это единственный видхеширования, используемый в Microsoft LAN Manager, откуда и произошло название, и в версиях Windows до Windows Me. Он также поддерживается и более поздними версиями Windows для обратной совместимости, хотя в Windows Vista его приходится включать вручную.

С появлением ОС WindowsNTпоявился другой вариант – NTLM-хеш. NTLM — это результат дальнейшего развития LM-хеша.Для обеспечения совместимости в памяти WindowsNT хранятся оба этих хеша.

LM-хеш  иNTLM-хеш имеют одинаковую длину пароля – 14 символов. Но преобразование этих 14 символов в 128 бит происходит по-разному. В NTLM-хеше все 14 символов сразу преобразуются в 128 бит. LM-хеш делит 14 символов пополам – первые 7 символов преобразуются в 64 бита, последующие 7 – также в 64 бита.

LM-хеш  содержит информацию о пароле без учета регистра (в верхнем регистре), а NTLM-хеш  - с учетом регистра.

Таким образом, если требуется подобрать пароль для функции NTLM, нужно перебирать комбинации длиной от 1 до 14 символов, а для функции LM – от1 до 7.