Aктивный каталог

Если основой построения сети компьютеров Windows NT 4 были домены, т.е. группы компьютеров под управлением контроллера, то сети Windows 2000/XP структурируются и управляются с помощью служб активного каталога ADS (Active Directory Services). Службы ADS устанавливаются и управляются средствами серверов Windows 2000, и выполняемые при этом процедуры описаны в руководствах по использованию систем Windows 2000 Server. Мы не будем повторять их содержимое, а просто постараемся указать, что интересного может найти хакер во всех этих активных каталогах.

Все компоненты компьютерной сети - компьютеры, пользователи, ресурсы, службы, учетные записи - для службы ADS являются объектами, свойства которых определяются с помощью атрибутов, т.е. параметров различного назначения. Например, объект учетная запись имеет атрибут имя пользователя, а объекты компьютер имеют атрибут IP -адрес компьютера в локальной сети.

Для удобства управления этими объектами в ADS используются объекты, называемые контейнерами, задача которых - хранить в себе остальные объекты, в том числе контейнерные. К контейнерным объектам относятся организационные единицы OU (Organization Units), которые могут включать в себя пользователей, группы, компьютеры, принтеры, приложения, политики системы защиты, общие файлы и папки, плюс другие OU. Назначение OU - упростить администрирование компьютерной сети путем разделения ее на части с разными характеристиками, т.е. можно поместить в отдельные OU различные компьютеры и пользователей, после чего настроить работу этих OU с учетом содержимого.

Для организации сети компьютеров Windows 2000/XP они могут объединяться в логические единицы, называемые доменами. Каждый домен управляется контроллерами домена, хранящими общую для домена информацию и выполняющими централизованную авторизацию подсоединяющихся пользователей. В домене Windows 2000 контроллеров может быть несколько, и все они - равноправны, что отличает домен Windows 2000 от домена Windows NT. Таким образом, компьютеры одного домена совместно используют единую базу учетных записей, и вошедший в домен пользователь имеет доступ ко всем общим ресурсам домена.

Для структурирования компьютерной сети домены Windows 2000/XP могут быть объединены в деревья, а деревья могут быть объединены в лес. Таким образом, вся сеть организации может состоять из доменов отделов, и при этом каждый домен будет иметь собственное имя и контроллер. Между всеми доменами деревьев и лесов организуются двусторонние доверительные отношения, т.е. входящие в один домен компьютеры могут получать доступ к компьютеру из другого домена в лесу или дереве.

Преимущество использования такой модели состоит в возможности структурирования имен сетевых компьютеров, которые должны соответствовать их положению в лесу доменов. Допустим, у нас имеется домен с именем domen. Тогда компьютеры домена именуются так: coml.domen, comp2.domen... А теперь допустим, что в сети имеется множество доменов, и каждый домен имеет свое имя, допустим, domenl, domen2,... Чтобы организовать дерево доменов, создается несколько ветвей, и к имени каждого домена в ветви слева приписывается имя смежного с ним домена в направлении от корня дерева.

Например, если domenl и domen2 входят в одну ветвь, причем domen2 «вырастает» из domenl, то компьютеры из domen2 будут именоваться comp1.domen2.domen1, comp2.domen2.domenl,... compN.domen2.domen1. A чтобы организовать из двух доменов domenl и domen2 лес, имеющий имя forest, то его имя добавляется справа от имени домена. Таким образом, компьютеры в domenl будут именоваться compl.domenl.forest, comp2.domenl.forest....., а в domen2 компьютеры будут именоваться как compl.domen2.forest, comp2.domen2.forest,.... Между всеми доменами леса устанавливаются двусторонние доверительные отношения.

В общем, вся эта возня с доменами - занятие для системных администраторов, для хакера тут интересно вот что: права доступа к ресурсам доменов леса или дерева для различных учетных записей зависят от их членства в трех основных группах.

• Универсальная группа (Universal group), членами которой могут быть пользователи всего леса, и следовательно, членство в универсальной группе предоставляет доступ к компьютерам всего леса.

• Глобальная группа (Global Group), членами которой могут быть только пользователи одного домена, соответственно, членство в глобальной групг предоставляет доступ к ресурсам всего домена.

• Локальные группы домена (Local group domain), членами которой могут быть пользователи всего леса, но локальные группы могут быть использованы только для управления доступом к ресурсам одного домена.

Именно эти группы следует указывать в списках ACL для задания прав достуг к информационным ресурсам. Теперь хакеру все становится понятным - для взлома сети лучше всего получить права члена универсальной группы. А д.~ этого можно, например, взломать базу AD, либо перехватить в сети пароль пр регистрации пользователя на контроллере домена, либо проделать еще какук либо штучку, коими переполнены новости с фронта виртуальных сражений.

Вообще-то база AD устроена наподобие SAM, так что для нее справедливы вс. те слова, что сказаны ранее про шифрование и взлом паролей в SAM. Однак взлом AD затруднен тем обстоятельством, что размер AD, как правило, весьм. велик (до 10 Мб), и база AD хранится на серверах, которые, чаще всего, защи щены на порядок лучше клиентских компьютеров. Таким образом, наиболее ог тимальной стратегией хакера может быть проникновение в клиентский компьютер с последующими попытками взлома контроллеров домена. Для этого можнс скажем, с помощью снифера перехватить пароли и логины, необходимые д.т входа пользователя в домен Window 2000, во время их передачи по сети на KOI: троллер домена. Такие программы существуют, например, последняя версия LC-программы LOpghtCrack снабжена эффективным механизмом перехвата и сете вых пакетов с целью последующего взлома паролей.

Мы еще поговорим про эту в высшей степени полезную программу, но пока рас смотрим поподробнее, как происходит процедура сетевой идентификации пользователей - там имеются и еще кое-какие интересные возможности.