◙ Các biện pháp đối phó máy trung tâm SMB (MITM) Các biện pháp có vẻ rõ ràng với SMBRelay là cấu hình Windows 2000 để sử dụng SMB Signing, hiện được xem như số hóa khách /truyền thông phục vụ. Máy SMBSigning được giới thiệu với dịch vụ Windows NT4 lô 3 và được thảo luận trong mục KB Q161372. Như cái tên gọi đã gợi ý, xác lập Windows 2000 nhằm số hóa khách hoặc truyền thông phục vụ sẽ làm ký hiệu mật mã hóa mỗi khối của truyền thông SMB. Chữ ký này có thể được một máy khách hoặc máy chủ kiểm tra để đảm bảo tính toàn vẹn và xác thực của mỗi khối, làm cho máy chủ SMB không thích hợp về mặt lý thuyết (không chắc có thực, phụ thuộc vào thuật toán dấu hiệu đã được sử dụng). Theo mặc định Windows 2000 được cấu hình như: Số hóa truyền thông khách (khi có thể) Được kích hoạt Kênh an toàn: mật mã số dữ liệu kênh an ninh (khi có thể) Được kích hoạt Kênh an toàn: S ố hóa dữ liệu kênh bảo mật (khi có thể) Được kích hoạt Những xác lập đó có trong các chính sách bảo mật /cục bộ/ những lựa chọn an toàn. Vì vậy, nếu máy chủ hỗ trợ việc ký SMB, Windows 2000 sẽ sử dụng nó. Để ký SMB, ta có thể tuỳ ý kích hoạt các tham số phụ trong phần Security Options. Ký truyền thông máy khách dạng số (luôn luôn) Được kích hoạt Ký truyền thông máy chủ dạng số (luôn luôn) (nó sẽ ngăn chặn hiện t ượng chuyển lại từ SMBRelay). Được kích hoạt Kênh an toàn: ký hoặc mã hoá số dữ liệu kênh an toàn (luôn luôn) Được kích hoạt Kênh an toàn: yêu cầu phím chuyển mạnh (Windows 2000 hoặc mới hơn) Được kích hoạt Chú ý những xác lập này có thể gây ra những trục trặc về liên kết với các hệ thống NT4, thậm chí SMB signing đã có thể làm việc trong các hệ thống đó. Tuy nhiên, như chúng ta đã thấy, SMBRelay hiệu chỉnh nhằm vô hiệu hóa SMB Signing và sẽ có th ể phá vỡ những xác lập này. Do các đợt tấn công SMBRelay MITM là những kết nối hợp lệ chủ yếu, không có các mục phát lộ chuyên dụng để thông báo tấn công đang xảy ra. Đối với máy khách bi tấn công, những vấn đề về khả năng liên kết có thể ra tăng khi kết nối với máy chủ SMBRelay gian lận, bao gồm lỗi hệ thống số 59, “một sự cố mạng ngoài dự tính.” Nhờ SMBRelay, việ c kết nối sẽ thực sự thành công , nhưng nó tự tách rời với sự kết nối của khách và tin tặc. Tấn công IIS 5 Nếu bất kỳ một vụ tấn công nào ngang hoặc vượt quá khả năng của NetBIOS và SMB/CIFS trong bộ đệm hiện thời, phương pháp thâm nhập máy chủ thông tin Internet (IIS)sẽ tăng lên vô số, một sự trợ giúp đáng tin cậy đã được tìm ra trong các hệ thống NT/2000 kết nối Internet. Các sản phẩm máy chủ Windows 2000 đã được cài đặt IIS 5.0 và dịch vụ Web kích hoạt mặc định. Mặc dù chúng ta sẽ tìm hiểu chi tiết các thủ thuật tấn công Web trong chương 15, chúng tôi cho rằng bạn cần phải biết đường tiếp cận quan trọng để bạn không quên cửa vào hệ điều hành rất có thể đang ở trạng thái mở. Chú ý : kiểm tra toàn bộ cuốn Đột nhập Windows 2000 để biết các hình thức tấn công và những biện pháp đối phó chủ động. Tràn bộ đệm từ xa Trong chương 5 chúng tôi thảo luận hiện tượng tràn bộ đệm trung gian Win 32 và trích dẫn một số nguồn để các bạn đọc thêm về vấn đề này. Hiện tượng tràn bộ đệm nguy hiểm nhất trong Windows 2000 là IIS có liên quan: tràn bộ đệm Internet Printing Protocol ISAPIDLL (MS01-123), thành quả Index server ISAPIDLL (MS01-123), và tấn công thành phần phụ Front Page Server Extensions (MS01-035), những hiện tượng này được trình bày trong chương 15. KHƯỚC TỪ DỊCH VỤ Do hầu hết các vụ tấn công (DoS) NT được sửa tạm bở i NT4 Service Pack 6a, Windows 2000 tương đối mạnh ở điểm này. Không có gì là không thể bị tấn công với DoS, mặc dù vậy, chúng tôi sẽ thảo luận trong phần tiếp theo. Phần trình bày về tấn công Windows 2000 DoS của chúng tôi được chia làm hai phần: tấn công TCP/IP và tấn công NetBIOS. ☻Tấn công Windows 2000 TCP/IP DoS Đây là một thực tế trên mặt trận Internet - sử dụng quá tải. Win2000test.com nhận thấy rằng Internet đã bị sử dụng quá khả năng tối ưu củ a nó, mặc dù những qui định về thử nghiệm đã tránh hoàn toàn các vụ tấn công DoS. Máy chủ trong vấn đề này gặp phải các đợt tấn công mạnh mẽ bộ phận IP vượt quá khả năng của máy chủ để tập hợp lại các gói tin, cũng như các đợt tấn công ol’ SYN đã xâm nhập vào hàng của ngăn xếp TCP/IP của các liên kết nửa mở. (xem chương 12 để biết thêm chi tiết) ◙ Các biệ n pháp đối phó TCP/IP DoS Cấu hình các công cụ cổng vào mạng hoặc phần mềm bảo vệ nhằm đổi hướng hầu hết sự cố nếu tất cả các sự cố đều không phải do kỹ thuật đó gây ra. (xem chương 12 để biết thêm chi tiết.) Tuy nhiên, như chúng ta vẫn nói, cấu hình các máy chủ cá nhân để chống lại các đợt tấn công trực tiếp là một ý tưởng tốt trong trường hợp mộ t tầng bảo vệ bị hỏng. Phần lớn do kinh nghiệm có được từ Win2000test.com, Microsoft có thể thêm một số khóa Registry vào Windows 2000 phím này có thể được sử dụng để làm vững chắc thêm ngăn xếp TCP/IP chống lại tấn công DoS. Bảng 6-3 trình bày ngắn gọn cách thức đơn vị Win2000test.com cấu hình DoS-related Registry xắp sếp trong máy chủ. (bảng này được phỏng theo trang trắng của Microsoft từ kinh nghiệm từ Win2000test.com, bạn có thể truy cập trang: http:// www.microsoft.com/security, cũng như xem các thông báo cá nhân với đơn vị Win2000test.com) Khóa trong HKLM\ Sys\ CCS\ Service Chỉ số yêu cầu Miêu tả Tcpip\parameter\SynAtta ck Protect 2 Thông số này làm cho TCP hiệu chỉnh sự tiếp phát của SYN-ACKS để từ đó việc kết nối phản ứng lại thời gian chết nhanh hơn nếu một tấn công SYN trong tiến trình xảy ra. Sự xác định này dựa trên TcpMaxPortsExhausted hiện thời, TcpMaxHalfOpen, và TcpMaxHalfOpenR etried. Môt trong hai chỉ số cung cấp sự bảo vệ tốt nhất chống lại các tấn công SYN, nhưng có thể gây ra trục trặc về liên k ết cho người sử dụng đối với những đường dẫn có góc trễ cao. Ngoài ra, ổ cắm lựa chọn dưới đây sẽ không làm việc nếu thông số đó được cài đặt cho 2 chỉ số. Windows có thể thay đổi tỷ lệ (RFC 1323) và các thông số TCP cấu hình mỗi bộ điều hợp (RTT ban đầu, kích cỡ Windows). Tcpip\parameter\Enable DeadGWDetect 0 Khi thông số này là 1, TCP được phép thực hiện việc rò tìm cổng vào vô hiệu, làm cho nó chuyển sang cổng vào sao lưu nếu một số kết nối gặp phải khó khăn. Các cổng vào sao lưu có thể được định dạng trong phần Advanced của hộp đối thoại cấu hình TCP\IP trong Network Control Panel. Cài đặt vào chỉ số 0 vì thế tin tặc khôn g thể chuyển đổi sang các cổng vào được đồ họa kém. Tcpip\parameter\Enable PMTUDiscovery 0 Khi thông số cài đặt là 1 (đúng),TCP hiệu chỉnh để rò tìm ra đơn vị truyền dẫn tối đa (MTU, hoặc kích cỡ gói tin lớn nhất) qua đường dẫn tới một máy chủ từ xa. Bằng việc phát hiện ra Path MTU và giới hạn các bộ phận TCP ở kích cỡ đó, TCP có thể loại trừ việc phân đoạn ở các cầu dẫn dọc theo đường dẫn kết n ối mạng với các MTU khác nhau. Việc phân đoạn có ảnh hưởng rất lơn đến thông lượng TCP và sự nghẽn mạch. Cài đặt thông số 0 khiến cho một MTU 576bytes được sử dụng cho tất cả các liên kết ngoại trừ máy chủ ở mạng cục bộ và ngăn chặn giới tin tặc ép MTU với một chỉ số nhỏ hơn trong nỗ lực bắt ngăn xế p làm việc quá sức. Tcpip\parameter\ KeepAliveTime 300,0 0 (5 phút) Thông số này kiểm soát việc TCP hiệu chỉnh để xác minh rằng một liên kết hỏng vẫn chưa được phát hiện do việc gửi một gói tin đang tồn tại. Nếu hệ thống từ xa vẫn phát huy hiệu lực, nó thừa nhận việc truyền dẫn vẫn đang hoạt động. Các gói tin đang tồn tại sẽ không được mật định gửi đi. Đặc đ iểm này có thể được thực hiện nhờ một ứng dụng vê liên kết. Đó là sự xắp sếp chung, ứng dụng cho tất cả các mạch ghép nối, và có thể quá ngắn cho các bộ điều hợp sử dụng để quản lí hoặc công nhận tình trạng dư thừa. Tcpip\parameter\Interface s <interfaces> NoNameReleaseOnDema nd 0(hỏn g) Thông số này xác định liệu máy tính có phát ra tên NetBIOS của nó hay không khi nó nhận được một lệnh Name- Release từ mạng. Một chỉ số 0 bảo vệ khỏi các tấn công Name-Release nguy hiểm.(xem Microsoft Security Bullentin MS00-047). Chưa rõ là một tấn công có thể có ảnh hưởng gì, nếu có thì ảnh hưởn g đối với mạch ghép nối nơi NetBIOS/SMB/CIFS đã bị vô hiệu hóa, như đã thảo luận trong phần đầu của chương. Tcpip\parameter\Interface s<interfaces> PerformRouterDiscovery 0 Thông số này kiểm soát khả năng Windows NT/2000 có hiệu chỉnh để phát hiện router bằng RFC 1256 trên cơ sở qua mạch ghép nối hay không. Một chỉ số 0 ngăn chặn các vụ tấn công nguy hiểm router không thật. Sử dụng chỉ số này trong Tcpip\parameters\Adapters để tính toán xem chỉ số nào của mạch ghép nối là phù hợp với bộ điều hợp mạng. Bảng 6-3. Giới thiệu thiết lập NT/2000TCP/IP Stack nhằm hạn chế các vụ tấn công Khước từ dịch vụ (Denial of service) CẢNH BÁO:Một vài chỉ số trong bảng 6-3, như SynAttackProtect=2, có thể quá linh hoạt trong một vài môi trường. Những xác lập đó được trình bày nhằm bảo vệ một máy chủ Internet có khả năng tải cao. Xem mục KB Q142641 để biết thêm chi tiết về việc xắp sếp SynAttackProtect và các thông số này. ☻Tấn công NetBIOS DoS Tháng 6 năm 2000, Sir Dystic of Cult of the Dead Cow (http:// www.cultdeadcow.com) đã thông báo rằng: gửi một tin nhắn “NetBIOS Name Release” tới NetBIOS Name Service (NBNS, UDP 137) trên một máy NT/2000 buộc nó phải lấy tên đối lập vì vậy hệ thống sẽ không còn khả năng sử dụng nó nữa. Điều này gây cản trở lớn cho máy trong việc tham gia mạng NetBIOS. Cùng lúc đó, Network Associates COVERT Labs (http:// www.nai.com) đã phát hiện ra rằng một tin tặc có thể gửi cho Net BIOS Name Service một tin nhắn NetBIOS Name Conflict ngay cả khi máy tiếp nhận không nằm trong quá trình đăng ký NetBIOS Name. Điều dẫn đến việc lấy tên đối lập, và không thể sử dụng được nữa, cản trở lớn việc tham gia vào mạng NetBIOS của hệ thống. Sir Dystic đã mã hóa một ưu thế được gọi là nbname khả năng này có thể gửi một gói tinNBNS Name Release tới tất cả các mục nhập trong bảng NetBIOS name. Đây là một ví dụ về cách sử dụng nbname cho máy chủ đơn DoS. Trong Windows 2000, trước hết bạn phải vô hiệu hóa NetBIOS đối với TCP/IP để ngăn chặn sự xung đột với dịch vụ NBNS, dịch vụ thông thường có thể độc nhất sử dụng UDP 137. Sau đó, cho chạy nbname như đã trình bày sau đây. (Đặt 192.168.234. 222 với địa chỉ IP của máy ch ủ bạn muốn vào DoS) C:\>nbname/astat 192.168.234. 222 /conflict NBName v2.51 – Decodes and displays NetBIOS Name traffic (UDP 137), with options Copyright 2000: Sir Dystic, Cult of the Dead Cow -:/:- New Hack City Send complaits, ideas and donations to sd@cultdeadcow.com/sd@newhackcity.net WinSock v2,0 (v2.2) WinSock 2.0 WinSock status: Running Bound to port 137 on address 192.168.234.244 Broadcast address: 192.168.234.255 Netmask: 255. 255.255.0 **** NBSTAT QUERY packet sent to 192.168.234. 222 waiting for packets… ** Received 301 bytes from 192.168.234. 222.137 via local net at web jun 20 15:46:12 200 OPCode: QUERY Flags: Response Authoratative Answer Answer[0] • <00> Node Status Resoure Rocord: MANDALAY <00> ACTIVE UNIQUE NOTPERM INCONFLICT NOTDEREGED B-NODE MANDALAY <00> ACTIVE GROUP NOTPERM NOCONFLICT NOTDEREGED B-NODE **** Name release sent to 192.168.234. 222. (etc.) Khóa chuyển đổi /ASTAT truy lục trạng thái bộ điều hợp từ xa từ nạn nhân, và /CONFLICT gửi các gói tin tách tên cho từng tên trong bảng tên từ xa của máy, các máy phản ứng lại yêu cầu về trạng thái bộ điều hợp. Một tin tặc có thể tấn công DoS trên toàn bộ một mạng lưới có sử dụng khóa chuyển đổi QUERY (tên IP) /CONFLICT/NENY (tên_or_tệp). Máy chủ khi bị tấn công có thể có những triệu chứng sau: • Xuất hiện sự cố khả năng liên kết mạng theo giai đoạn • Những công cụ như Network Neighborhood hoạt động • Các tương ứng lệnh net send không phát huy tác dụng • Máy chủ bi tấn công không xác nhân giá trị các đăng nhập miền • Không thể tiếp cận các tài nguyên dùng chung và một số dịch vụ NetBIOS cơ bản như giải pháp tên NetBIOS. • Lệnh nbtstat-n có thể hiển thị trạng thái “Conflict”(Xung đột) bên cạnh dịch vụ tên NetBIOS, cụ thể như sau: Local Area Connection Node IpAddress: (192.168.234. 222) Scope Id: [] NetBIOS Local Name Table Name Type Status -------------------------------------------------------------------------------- MANDALAY <00> UNIQUE Conflict MANDALAYS <00> GROUP Registered MANDALAYS <1C> GROUP Registered MANDALAY <20> UNIQUE Conflict MANDALAYS <1E> GROUP Registered MANDALAYS <1D> UNIQUE Conflict _ MSBROWS_ <01> GROUP Registered MANDALAYS <1B> UNIQUE Conflict Inet~Servics <1C> GROUP Registered IS~MANDALAY <00> UNIQUE Conflict ◙ Các biện pháp đối phó NBNS DoS Hãy đổ lỗi cho IBM (NetBIOS đã được phát minh). NetBIOS là một định ước chưa được xác minh đã đươc ứng dụng. Bộ phận định vị của Microsoft đã tạo ra phím Registry, phím này dừng việc thừa nhận tin nhắn Name Release của NetBIOS Name Service. Bộ phận định vị của Name Conflict chỉ được dùng để thừa nhận tin nhắn NBNS Name Conflict khi đang trong giai đo ạn đăng ký. Trong thời gian này máy vẫn có thể bị tấn công. Các bộ phận định vị và các thông tin khác có thể được cập nhật trên trang web: http:// www.microsoft.com/technet/security/bulletin/MS00-047. asp. Giải pháp đối phó tạm thời này không nằm trong SP1, vì vậy nó có thể được áp dụng cho cả hệ thống trước và sau SP1. Lẽ đương nhiên, giải pháp lâu dài là phải chuyển đi từ NetBIOS trong các môi trường mà tình trạng phá rối có thể xảy ra. Tất nhiên, phải luôn đảm bảo rằng UDP 137 không thể bị tiếp cận từ bên ngoài khu vực bảo vệ. LEO THANG ĐẶC QUYỀN Một khi giới tin tăc đã tiếp cận một máy chủ trong hệ thống Windows 2000, ngay lập tức chúng sẽ tìm cách để có được đặc quyền hợp pháp: Administrator account. May mắn là Windows 2000 có khả năng chống cự lại tốt hơn các phiên bản trước đó khi bị tấn công. (rất ít khi nó rơi vào tình trạng rễ bị tấn công như trước nh ư: sử dụng biện pháp đối phó tạm thời cho admin và sechole). Rủi ro là ở chỗ, một khi giới tin tặc giành được đặc quyền đăng nhập tương tác, khả năng ngăn chặn leo thang đặc quyền là rất hạn chế. (đăng nhập tương tác sẽ được mở rộng nhiều hơn khi Windows 2000 Terminal Server trở lên phổ biến trong việc quản lí từ xa và chi phối khả năng xử lí.) Sau đây chúng ta sẽ xem xét hai ví dụ ☻ Dự báo đường dẫn tên mã hóa là SYSTEM Tính phổ biến: 4 Tính giản đơn: 7 Tính hiệu quả: 10 Mức độ rủi ro: 7 Được khám phá bởi Mike Schiffman và gửi cho Bugtraq (ID 1535), khả năng dự đoán về việc chế tạo ký hiệu ống dẫn có tên khi Windows 2000 bắt đầu hệ thống dịch vụ (như Server, Worksation, Alerter và ClipBook đều được nhập vào dưới trương mục SYSTEM) được khám phá từ điểm yếu trong leo thang đặc quyền cục bộ khi. Trước khi mỗi dịch vụ đươc bắt đầu, một ký hiệu ống dẫn có tên cạ nh máy chủ được tạo ra với một chuỗi tên có thể dự đoán được. Chuỗi này có thể thu được từ khoá Registry HKLM\System\CurrentControlSet\Control\ServiceCurrent. Vì vậy, bất kỳ ai sử dụng Windows 2000 đã được nhập tương tác (bao gồm cả những người sử dụng Terminal Server từ xa ) có thể dự đoán tên của một chuỗi ký hiệu ống dẫn có tên. Minh họa và áp dụng nội dung an ninh của SYSTEM sẽ được trình bày vào lần sau. Nế u một mã tùy chọn nào đó được cài đặt vào ký hiệu ống dẫn, nó sẽ vận hành với các đặc quyền SYSTEM, làm cho nó chỉ có khả năng thực hiện đối với hệ thống cục bộ (vídụ: bổ sung thêm người sử dụng hiện thời vào nhóm Administrator). Khai thác điểm yếu trong dự đoán ký hiệu ống dẫn có tên là trò chơi của trẻ em khi sử dụng công cụ PipeUpAdmin từ Maceo. PipeUpAdmin bổ sung tr ương mục người sử dụng hiện thời vào nhóm Administrator cục bộ, như được trình bày ví dụ dưới đây. Ví dụ này thừa nhận Wongd người sử dụng là đã được xác minh với việc tiếp cận tương tác với bàn giao tiếp người-máy bằng lênh. Wongd là một thành viên của nhóm điều khiển Server Operators. Trước hết, Wongd kiểm tra hội viên của nhóm Administrators cục bộ nắm mọi quyền lực. C:\>net localgroup administrators Alias name administrators Comment administrators have complete and unrestricted access to the Computer/domain Members ---------------------------------------------------------------------------------------------- ---- Administrator The command completed successfully. Sau đó, Wongd tự nhập vào Administrators, nhưng lại nhận được thông báo từ chối tiếp cận do thiếu đặc quyền. C:\>net localgroup administrators wongd/add System error 5 has occurred Access is dinied Tuy nhiên, anh hùng wongd chưa bị tấn công. Anh ta tích cực tải PipeUpAdmin về từ trang web (http:// www.dogmile.com/files), và ứng dụng C:\>pipeupadmin PipeUpAdmin Maceo<maceo @dogmile.com> © Copyright 2000-2001 dogmile.com The ClipBook service is not started More help is available by typing NET HELPMSG 3521. Impersonating: SYSTEM The account: FS-EVIL\wongd has been added to the Administrators groups Sau đó, Wongd chạy lệnh Net Localgroup và tự xác định đúng vị trí mà anh ta muốn. C:\>net localgroup administrators Alias name Administrators Comment Administrators have completed and unrestricted access to the Computer/domain Members ------------------------------------------------------------------------------------------- Administrator Wongd The command completed successfully. Hiện tại, tất cả những gì wongd phải thực hiện để tận dụng đặc quyền của Administrator tương đương là thoát và đăng nhập lại. Nhiều trường hợp khai thác sự leo thang đặcquyền phải có yêu cầu đó, vì Windows 2000 phải xây dựng l ại mã thông báo tiếp cận của người sử dụng hiện thời nhằm bổ sung thêm SID cho thành viên nhóm mới. Mã thông báo có thể được sử dụng lệnh gọi API mới, hoặc đơn giản bằng cách tắt máy rồi sau đó xác nhận lại. (xem phần thảo luận về mã thông báo tại chương 2). Chú ý công cụ PipeUpAdmin phải được chạy trong phạm vi người sử dụng INTERACTIVE. (co nghĩa là bạn phải nhập vào hệ tại bàn phím vật lý, hoặc thông qua một trình tiện ích điều khiển từ xa với trạng thái INTERACTIVE, ví dụ như thông qua Terminal Services). Điều này ngăn chặn PipeUpAdmin được chạy qua các trình tiện ích điều khiển từ xa các trình tiện ích này đã xuất hiện mà không có INTERACTIVE SID trong mã thông báo. ◙ Sửa chữa khả năng dự đoán ký hiệu ống dẫn có tên Microsoft đã đưa ra một giải pháp ứng phó tạm thời nhằm thay đổi việc Windows 2000 Service Control Manager (SCM) tạo ra và phân bố ký hiệu ống dẫn như thế nào. Bạn có thể tìm hiểu thêm chi tiết tại địa chỉ: http:// www.microsoft.com/technet/security/bulletin/MS00-053. asp. Giải pháp ứng phó tạm thời này không nằm trong Service Pack 1 và vì thế có thể được áp dụng cho cả máy chủ trước và sau SP1. Tất nhiên, những đặc quyền đăng nhập tương tác đã bị giới hạn t ới mức tối đa cho bất kỳ một hệ thống nào có chưa dữ liệu dễ bị tấn công do việc tận dụng như vậy trở nên dễ dàng hơn nhiều một khi giới tin tặc đạt được vị trí nguy hiểm đó. Để kiểm tra việc đăng nhập tương tác ngay dưới Windows 2000, chạy applet Security Policy (cục bộ hoặc nhóm), tìm nút chỉ định chính sách cục bộ\ quyền s ử dụng, và kiểm tra quyền Log On Locally được định hình như thế nào. Windows 2000 có cái mới lànhiều đặc quyền hiện đã có bản sao cho phép các nhóm cụ thể hoặc người sử dụng không có quyền đó. Trong ví dụ này, bạn có thể sử dụng quyền Deny Logon Locally, như sau: Chú ý: Theo mặc định, nhóm Users và trương mục Guest có quyền Log On Locally trong Windows 2000 Professional và các máy chủ Windows 2000 không kết nối. DC hạn chế hơn do chính sách Default Domain Controllers (Mạch điều khiển miền mặc định) gắn liền với sản phẩm. (mặc dù tất cả nhóm Operator máy đều có quyền đó.) Chúng tôi đề nghị tháo gỡ Users và Guest trong bất cứ trường hợp nào và cân nhắc kỹ lưỡng những nhóm nào khác có thể mất đi đặc quyền đó. [...]... ◙ Biện pháp đối phó hiện tượng leo thang NetDDE Cũng như khả năng dự đoán ký hiệu ống dẫn có tên, với một thiếu sót trong thực thi mức hệ thống như vậy, biện pháp đối phó duy nhất là được Microsoft sửa tạm ( địa chỉ: http: //www.microsoft.com/technet/treeview/default asp? url=/technet/security/bulletin/MS01-007 asp, có lưu trữ thông tin về giải pháp ứng phó tạm thời.) Chúng tôi sẽ trình bày một số biện. .. những mật khẩu chương mục đối tượng sử dụng trong trình điều khiển miền có cài đặt Windows 2000 vì nó chỉ nhằm vào file SAM đã hỏng Về DC, những thông tin phân tách mật khẩu được lưu trong Thư Mục Động, chứ không lưu trong SAM ◙ Những Biện Pháp Đối Phó chntpw Khi kẻ tấn công đã thực hiện được truy xuất vật lý không hạn chế tới một hệ thống, chúng ta vẫn có một số biện pháp đối phó tấn công kiểu này Công... thể là đòn bẩy cho các vụ tấn công khác Khai thác thông tin mật khẩu Windows 2000 Giới tin tặc sẽ rất vui mừng khi biết được là LanManager (LM)hash được lưu trữ bằng cách mặc định trong Windows 2000 để cung cấp sự tương thích ngược với các máy khách không Windows NT/2000 phương pháp mặc định này là nguyên nhân chủ yếu của các điểm tấn công được thảo luận trong chương 5 cùng với phương pháp giải quyết... đọc được màn hình và dữ liệu vào bàn phím ◙ Biện pháp đối phó với sự cố Workstation Do đây là một sự cố ai cũng phải thừa nhận trong việc thực hiện thiết kế của Microsoft, chúng tôi phải dựa vào phương thức sửa tạm thời để khắc phục Một phương pháp sửa tạm thời được lưu trữ trong mô hình an ninh màn hình vì vậy nó chia tách thích hợp các quá trình trong các màn hình khác nhau tại địa chỉ: http:// www.microsoft.com/technet/security/bulletin/ms00-020... Sabin có tên pwdump3e (http://www.ebiztech.com/html/pwdump.html) Pwdump3e cài đặt samdump DLL như một dịch vụ để trích xuất thông tin từ xa qua SMB (TCP 139 hay 445) Pwdump3e sẽ không hoạt động trên hệ thống cục bộ ◙ Biện Pháp Đối Phó pwdumpX Sẽ không có cản trở đối với pwdump2 hoặc pwdump3e nếu cài đặt DLL không hoạt động trong Windows Tuy nhiên pwdumpX cần phải có đặc quyền của Administrator để thể... trình bày một số biện pháp đối phó với hiện tượng leo thang đặc quyền nói chung trong phần tiếp theo Cũng cần chú ý thêm là khởi động dịch vụ NetDDE có thể bị cản trở nếu kiểm toán có thể họat động được, một cách tốt là kiểm tra xem có ai đó cố gắng sử dụng netddemsg cản trở bạn hay không ĐÁNH CẮP THÔNG TIN Một khi đã có được Administrator-trạng thái tương đương, giới tin tặc sẽ tìm cách nhằm chiếm đoạt... tiến hành cài đặt lại từ đầu CHÚ Ý:Kỹ thuật này sẽ không thay đổi những mật khẩu chương mục đối tượng sử dụng trong trình điều khiển miền có cài đặt Windows 2000 vì nó chỉ nhằm vào file SAM đã hỏng Về DC, những thông tin phân tách mật khẩu được lưu trong Thư Mục Động, chứ không lưu trong SAM ◙ Biện Pháp Đối Phó pwdumpX Cài đặt DLL không hoạt động trong Windows sẽ không cản trở pwdump2 hoặc pwdump3e... Tính phổ biến: Tính giản đơn: Tính hiệu quả: Mức độ rủi ro: 4 7 10 7 Hầu hết các quản trị Windows không chấp nhận các trạm công tác trong Windows, có lẽ đây là một trong những vấn đề khó hiểu nhất trong chương trình Windows Mô hình an ninh Windows 2000 xác định sự phân cấp các contenơ để xác lập các đường biên an ninh trong các quá trình Sự phân cấp đó, từ lớn nhất đến nhỏ nhất như sau: Phiên, Trạm... nó được thiết lập về 1 thay vì về 0, để lưu khoá hệ thống trong mạng cục bộ Điều này có thể vô hiệu hoá chế độ bảo vệ SYSKEY dạng password-hoặc ploppy, làm biện pháp đối phó này trở nên vô dụng Bộ mã gốc cho chntpw có trên trang Web của Petter … và cách thức sử dụng hiệu quả chntpw trong chế độ hiệu chỉnh Registry cũng được giới thiệu trên cùng địa chỉ này Nếu không có chế độ bảo mật của SYSKEY dạng... dịch vụ NetDDE từ dòng lệnh, hoăc bạn cũng có thể sử dụng dịch vụ MMC cài đặt nhanh bằng cách chọn lệnh Run và bắt đầu tệp services.msc Nếu sau đó bạn chạy công cụ netddemsg mà không có các số lệnh, nó sẽ nhắc bạn cú pháp chuẩn Bây giờ ta có thể chạy netddemsg và xác định phần dùng chung đáng tin cậy bằng lựa chọn đối số -s, cũng như lênh được thực hiện Sau đó, tệp tin cmd exe được định rõ và một trình . ◙ Các biện pháp đối phó máy trung tâm SMB (MITM) Các biện pháp có vẻ rõ ràng với SMBRelay là cấu hình Windows 2000 để sử dụng SMB Signing, hiện. Những Biện Pháp Đối Phó chntpw Khi kẻ tấn công đã thực hiện được truy xuất vật lý không hạn chế tới một hệ thống, chúng ta vẫn có một số biện pháp đối phó