» Вскрытие паролей

В локальной сетке (домен под 2000) какием-то образом смогли подобрать пароль от главного алминистратора.
С одного клиентского компьютера я захожу под правами администратора, говорят что свистнули файл в котором храняться эти пароли и потом за 17мин его перебрали и расшифровали.
Как быть чтобы в следующий раз предотвратить кражу подобным или иным образом?

Если ты входил сеть используя доменный аккаунт, то запись о нем локально храниться не должна. Значит либо снифер тебе какой-то поставили либо доменный аккаунт совпадает с одним из твоих локальных.

сниффер можно и не ставить, можно пакеты по сетке ловить.
вообще если левые люди к проводам подключаются, то отломать пароль проще простого.

во-первых, неиспользуемые розетки нужно отключить от хабов, во-вторых, юзерам на локальных машинах не давать админские права, в-третьих, заставить всех уходящих с рабочих мест лочить машину, в-четвертых, ужесточить работу с cd-rom/floppy, в-пятых, админы домена должны логиниться только на сервере, чтобы пароль по сетке не гулял, в-шестых, на сервер установить firewall.

Цитата:

Если ты входил сеть используя доменный аккаунт, то запись о нем локально храниться не должна.

Ну это врядли, если заходил с Win9x, т.к. как мы все знаем там все пароли хранятся в pwl файлах, которые очень даже просто посмотреть. Иненно поэтому, поработав пару минут на 9х машинах свой pwl файл я тру (хоть и не доменный админ, но все-же прав поболе, чем у простого юзера).

Cuba

Тут просто надо просечь их психологию и хранить пароли на контроллере, использую обратимое шифрование. У меня парольчики (не мои) узнавали очень просто - WinRoute, аудентификация юзров через доменные учетные. Юзры правили реестр и значок Explorera "сохранять пароли" был накинут. Опасная вещь.

Bunker
firewall, на контроллер не уверен, что будет хорошо.

Kristaliar

Цитата:

Cuba
Тут просто надо просечь их психологию и хранить пароли на контроллере, использую обратимое шифрование. У меня парольчики (не мои) узнавали очень просто - WinRoute, аудентификация юзров через доменные учетные. Юзры правили реестр и значок Explorera "сохранять пароли" был накинут. Опасная вещь.

Заинтересовало обратное шифрование......

Тут дело в другом. У нас два админа: один отвечает за гейт под линухом, второй за домен внутри локалки.
Я сегодня прихожу на работу а он работает под аккаунтом админа домена, говорит что взламывался пароль 17минут на линухе. Он говорит попробовал свой от линуха взломать, там прога эта сказала что дескать 100 с чем-то лет нужно взламывать, а этот за 17 минут !!!
Доступ к контролеру он не имел, т.е. там он залочен стоит, а вот работать может на любом компьютере в локалке.

Cuba


Цитата:

Заинтересовало обратное шифрование......

Политику домена смотри.
Я не знаю как под линухой, под винду я программы смотрю. Скажу что по сетке взломать пароль не реально просто. У меня студенты ломали, когда НТ 4 работала в рабочей группе тулой LOPht Crack. При этом когда ломали, тула показала что будет ломать ровно год, они - разщепили файл и ломали его по частям, представляшь. Это они мне потом под пытками рассказали . Дело в том, что эта тула работает с определенными файлами, которые не сеять при работающей NT, поэтому достаточно произвести ряд ограничений и все ОК + ОБНОВЛЕНИЯ, обязательная часть защиты.
Просто надо следить за такими утилитами, например, тут же на варезе их смотреть.

Kristaliar

Цитата:

Политику домена смотри.
Я не знаю как под линухой, под винду я программы смотрю. Скажу что по сетке взломать пароль не реально просто. У меня студенты ломали, когда НТ 4 работала в рабочей группе тулой LOPht Crack. При этом когда ломали, тула показала что будет ломать ровно год, они - разщепили файл и ломали его по частям, представляшь. Это они мне потом под пытками рассказали . Дело в том, что эта тула работает с определенными файлами, которые не сеять при работающей NT, поэтому достаточно произвести ряд ограничений и все ОК + ОБНОВЛЕНИЯ, обязательная часть защиты.
Просто надо следить за такими утилитами, например, тут же на варезе их смотреть.

Ок я понял что жопа =( Просто неужели в 2000 не могут решить проблему перехвата паролей илли их вскрытия.... Тем более что с НТ эта проблема идёт. А где всякие там модные протоколы md5, 128 битное шифрование?
Ты мне ща скажи что сделать? Ну пароль я сам поменяю =) Политики ща гляну чё там есть.... может прогу какую нить поставить а?

Cuba


Цитата:

Ок я понял что жопа =( Просто неужели в 2000 не могут решить проблему перехвата паролей илли их вскрытия.... Тем более что с НТ эта проблема идёт. А где всякие там модные протоколы md5, 128 битное шифрование?

Да я думаю, что частично в 2000 решена.
Я бы поменял пароль, да пока сделал смену на каждый день. А так, посмотри навено политики, там разных штук хороших есть + надо еще какую нить тулу, которая например бы посылала сооебщение на твою рабочую тачку, о том, что в домен входит администратор. У мен ятакой нет, но думаю надо будет искать. Надо подумать, а какой он тулой то ломал ???

Kristaliar

Цитата:

Да я думаю, что частично в 2000 решена.
Я бы поменял пароль, да пока сделал смену на каждый день. А так, посмотри навено политики, там разных штук хороших есть + надо еще какую нить тулу, которая например бы посылала сооебщение на твою рабочую тачку, о том, что в домен входит администратор. У мен ятакой нет, но думаю надо будет искать. Надо подумать, а какой он тулой то ломал ???

Тулой не знаю, его пока нет, но придёт обязательно спрошу. Просто обидно, у него линух ломается 100 с лишним лет, а у мя домен 17минут, понимаешь о чём я.
Ну это ладно у меня компьютерный клуб, тут безопасности толком не нужна, а те конторы у кого под несколько тысяч пользователей, кому безопасность превыше всего? да и таким "ламерским" способом ломать, ну это уж ваще... не ужели microsoft не может что-то придумать человеческое, что сразу по дефолту с таким "ламерским" способом бы боролась.

Cuba
А пароль какой длины ?
Может он в словаре есть,поэтому и ломается за 17 минут

snop

Цитата:

Cuba
А пароль какой длины ?
Может он в словаре есть,поэтому и ломается за 17 минут

Слово: "monitorshik" =))

Добавлено
Он говорит что последние где-то три буквы сразу одгадались, а остальные чуточку подольше....
он вроде ваще файлы какие-то взял, наверное с компа, с которого я под админом заходил в сеть =(

Cuba

Цитата:

последние где-то три буквы сразу одгадались, а остальные чуточку подольше

Потому как 2000 в целях совместимости кроме своего хеша, достаточно криптостойкого, хранит еше хеш для доступа из старых систем (NT, 9x). Его особенности: пароль максимум 14 символов, пароль разделяется на 2 части по 7 символов (или 7 и то, что осталось) и переводится в верхний регистр. Т.е. твой пароль разделен на "monitor" и "shik", понятно, что 4 символьная вторая часть очень быстро подобралась, а слово "monitor" есть в словаре.
Методы решения:
1- Пароль админа больше 15 символов, минусы - нельзя залогиниться в домен под админом со старых систем.
2- Перевести домен в основной режим, минусы- в домене вообще не останется старых систем, хотя, возможно, это большой плюс

leorick

Цитата:

Потому как 2000 в целях совместимости кроме своего хеша, достаточно криптостойкого, хранит еше хеш для доступа из старых систем (NT, 9x). Его особенности: пароль максимум 14 символов, пароль разделяется на 2 части по 7 символов (или 7 и то, что осталось) и переводится в верхний регистр. Т.е. твой пароль разделен на "monitor" и "shik", понятно, что 4 символьная вторая часть очень быстро подобралась, а слово "monitor" есть в словаре.
Методы решения:
1- Пароль админа больше 15 символов, минусы - нельзя залогиниться в домен под админом со старых систем.
2- Перевести домен в основной режим, минусы- в домене вообще не останется старых систем, хотя, возможно, это большой плюс

Огооо.... вот это информация !!! Вообщем так, все вместе меняем пароли на 15 символьные И всего-то? больше ничего не надо? Хм...
Кстати, я посмотрел Domain Controler Security... Что-то я не нашёл там ничего такого что бы относилось к шифрованию пароля :/

Cuba
Можно просто использовать восьми символьный пароль сгенериный любым хорошим Password Genratorом

snop

Цитата:

Можно просто использовать восьми символьный пароль сгенериный любым хорошим Password Genratorом

Значит дело всё в количестве символов паролей? Дык всё равно можно перебором открыть его так? Значит это дело времени, а это не есть гуд. Ну представьте поставил прогу переборщик и у тебя, через пару дней (недель), есть пароль от всего домена !!!
Уважаемые Администраторы это не есть хорошо, какой-то должен быть способ защиты своих систем.

Cuba
Ради интереса посмотри программу LC4 или бесплатную LOPht Crack. Там видно 2 хеша - NT хеш и LM хеш. Только в 2000 файл sam дополнительно шифруется. Т.е. чтобы получить нешифрованные хеши надо С ПРАВАМИ АДМИНИСТРАТОРА запустить на контроллере домена утилитку (например pwdump). Только тогда можно получить хеши, которые можно скормить LC4. Т.е. достаточно непросто.
Надо найти способ утечки пароля или его хеша. Скорее всего пароль был в pwl-файлах на 9x или перехвачен из сети при авторизации NT или 9x (юзай коммутаторы)

leorick

Цитата:

Cuba
Ради интереса посмотри программу LC4 или бесплатную LOPht Crack. Там видно 2 хеша - NT хеш и LM хеш. Только в 2000 файл sam дополнительно шифруется. Т.е. чтобы получить нешифрованные хеши надо С ПРАВАМИ АДМИНИСТРАТОРА запустить на контроллере домена утилитку (например pwdump). Только тогда можно получить хеши, которые можно скормить LC4. Т.е. достаточно непросто.
Надо найти способ утечки пароля или его хеша. Скорее всего пароль был в pwl-файлах на 9x или перехвачен из сети при авторизации NT или 9x (юзай коммутаторы)

У меня в сети только ХР стоят. А проги где нить скачаю.. посмотрю..... а Power User может запустить pwdump?

Cuba

Дело не в количестве символов. Обычно достаточно 6-8 символов. Главное качество пароля. Осмысленые фразы, наборы слов, имя кота, это всё не подходит.

1. Необходимо создать пароль с цифрами, буквами, символами, и всё с разным регистром символов.

2. Создай пользователя с правами администратор, поставь пароль что-то типа F#4asE%^
. Используй его для входа с локальных машин. При чём он должен быть отключён по дефолту. Надо, включил, поработал, и выключил. Такой пароль будут ломать ооооочень долго. А если перехват/подсмотр etc, пусть попробуют войдут, если он отключен.

Ну и почаще меняй пароли.

leorick

Цитата:

Т.е. чтобы получить нешифрованные хеши надо С ПРАВАМИ АДМИНИСТРАТОРА запустить на контроллере домена утилитку (например pwdump).

Не, не потянет, юезопасность не позволит, только если System. pwdump - при работающей системе - вопрос открытый !?

Всем
Выходов то несколько:
Ограничение к устройствам.
Гибкая групповая политика на уровне домена и безопасность.
Ведение аудитов.

Цитата:

Ведение аудитов

Аудит - это обязательно. Хоть посмотреть потом, как ломали

c0r0ner

Цитата:

Используй его для входа с локальных машин

Т.е. ? Не понял.... с контролера только чтоли?

Цитата:

При чём он должен быть отключён по дефолту

А это как?

Kristaliar

Цитата:

Ограничение к устройствам.

К каким? К клавиатурам чтоли?

Цитата:

Гибкая групповая политика на уровне домена и безопасность.

Например? Т.е. гибкая....

leorick

Цитата:

Пароль админа больше 15 символов

как известно, масдай глотает 14 символов, потом рубит их на семерки, поэтому количество тут вообще не причем...
Cuba
бери генератор (хош, могу выложить, чем я генерю - в пм), генеришь очч качественный пароль, причем с русскими символами и, собссно, все...

EndoR

Цитата:

бери генератор (хош, могу выложить, чем я генерю - в пм), генеришь очч качественный пароль, причем с русскими символами и, собссно, все...

Давай... заранее спасибочки =)

Всё это конечно хорошо, но надо ограничить гуляние по сети администраторских паролей.
Элементарная безопасность:
Не сиди под админом. Достаточно один раз настроить сервер/рабочую станцию и всё. В ГП сделать запрет настроек, поставить квоты.

Эсли очень часто надо админить, поставить какое-то средство удалённого администрирования( типа трояна, RAdminA, PCANYwhere etc, самописное) с привязкой на конкретную машину. Да, определённым пользователя можно запретить логинится с некоторых компьютеров, что позволить запретить нежелательное использование логинов. Вариантов масса, главное предохранятся.
Безопасности мало не бывает.

Добавлено
Cuba


Цитата:

Цитата:

При чём он должен быть отключён по дефолту

А это как?

А вот так. В свойствах пользователя есть галочка Отключить учётную запись пользователя. И время ограничить можно.

c0r0ner

Цитата:

А вот так. В свойствах пользователя есть галочка Отключить учётную запись пользователя. И время ограничить можно

А как я потом ваще попаду на контролер домена-то? Там токо один админ!! Я его отключу и всё =(

Cuba

Что тебе мешает создат несколько пользователей с правами администратора? Ты непосредственно сидишь на сервере или админиш удалённо?
От этого зависит способ защиты.

c0r0ner

Цитата:

Что тебе мешает создат несколько пользователей с правами администратора? Ты непосредственно сидишь на сервере или админиш удалённо?
От этого зависит способ защиты.

И так и удаленно. Ну создам я другого админа, а толку от этого будет? Единственный способ помойму это генерация более сложного пароля.

Значить админить надо только локально. При необходимости войти удалённо, локально включаешь учётную запись удальённого админа, которая, без надобности не включается. Или удалённо админить с одной машини и сделать привязку именно к ней.

c0r0ner

Цитата:

Значить админить надо только локально. При необходимости войти удалённо, локально включаешь учётную запись удальённого админа, которая, без надобности не включается. Или удалённо админить с одной машини и сделать привязку именно к ней.

Ясно. Спасибочки =)