Кража SAM-файла

Итак, если благодаря ленивому админу первый бастион защиты - пароль BIOS - рухнул и вы имеете полный доступ к компьютеру из-под альтернативных операционных систем, то можно, наконец, приступать к взлому локальных учетных записей Windows 2000, из которых наиболее ценными являются, конечно же, администраторские. Со времен Windows NT 4 каждому дошкольнику известно, что в этой ОС для получения имен пользователей и соответствующих им паролей достаточно скопировать файл реестра SAM-базу данных Security Account Manager, диспетчера защиты учетных записей, в которой и хранятся пароли, извлекаемые впоследствии с помощью специальных программ. Файл SAM Windows NT (и одна из его резервных копий SAM.SAV) находится в папке %SystemRoot%system32config, а еще одну его копию можно обнаружить в папке %SystemRoot%repair (и там же попадается упакованный файл SAM._, который может быть распакован командой EXPAND SAM._ SAM). Из-ПОД самой Windows доступ к этому файлу (а в грамотно настроенной системе и к его резервной копии) получить невозможно, потому-то и требуется загрузка альтернативных ОС, которой мы так активно добивались чуть выше. Обычная DOS-дискета и программа NTFS for DOS Pro отлично справляются с такой задачей. Однако уязвимость SAM-файла Microsoft однажды попыталась устранить (в Windows NT 4 SP3) и в изучаемой нами сегодня Windows 2000, если говорить проще, файл SAM по умолчанию дополнительно шифруется с помощью специальной утилиты SYSKEY.EXE (вернее, SYSKEY дополнительно шифрует хэши паролей, support.microsoft.com/default.aspx?scid=KB;en-us;q143475). Поэтому, в отличие от Windows NT4, в Windows 2K кража одного только файла SAM уже не даст злоумышленнику возможности вычислить локальные пароли. Но! Существует малюсенькая программа SAMInside Go, которая способна извлечь пароли из файла SAM при условии, что в ее распоряжении имеется и второй по значимости файл реестра подвергшегося атаке компьютера - файл SYSTEM. Файл SAM обычно невелик и легко влезает на дискету, а вот SYSTEM может достигать нескольких мегабайт, и "утащить" его чуть сложнее, но при желании, наличии архиватора, привода флоппи-дисков и полудюжины дискет все получится.
Этот способ взлома паролей очень хорош по нескольким причинам: он предельно прост; время, которое необходимо злоумышленнику для работы непосредственно на атакуемом ПК, невелико; процедуру взлома SAM-файла можно проводить в любое время в любом месте на максимально мощной машине; благодаря работе из-под DOS практически никаких следов взлома на атакованном ПК не остается (разве что даты последнего доступа к файлам в их атрибутах). Недостаток у этой программы один - ее демо-версия имеет существенные функциональные ограничения, которые позволяют восстанавливать только самые простые пароли. Да еще не хватает, пожалуй, опций настройки процесса перебора паролей, максимум, что предусмотрено, - атака по словарю да выбор символов, используемых при подборе пароля. Но даже при таком раскладе программа "щелкает" пароли длиной до 14 символов как семечки.
Хотя полное шифрование диска, безусловно, сделает невозможным копирование файлов реестра, никакой специальной защиты непосредственно от кражи файлов SAM и SYSTEM (так называемой атаки на SAM-файл), пожалуй, нет. Все, что касалось защиты паролей CMOS Setup, в равной мере касается и SAM-файлов. Главная задача в обоих случаях - не допустить загрузки компьютера со сменных носителей. Также администратор обязан предотвратить несанкционированный доступ ко всем резервным копиям файлов реестра из-под Windows, что легко делается установкой соответствующих разрешений для папки %SystemRoot%repair и других папок, в которых могут о&азаться эти файлы при проведении регулярного резервного копирования. О защите же самих паролей от возможности их подбора программами, аналогичными SAMInside, мы с вами поговорим чуть ниже.