Администрирование учетных записей

В функции Менеджера учетных записей входит поддержка механизма идентификации и проверки подлинности пользователей при входе в систему. Все необходимые настройки хранятся в базе данных Менеджера учетных записей. К ним относится:

  • учетные записи пользователей;
  • учетные записи групп;
  • учетные записи компьютеров домена;
  • учетные записи доменов.

База данных Менеджера учетных записей представляет собой куст системного реестра, находящегося в ветви HKEY_LOCAL_MACHINE, и называется SAM. Как и все остальные кусты, он хранится в отдельном файле в каталоге %Systemroot%\System32\Config, который также носит название SAM. В этом каталоге обычно находятся минимум два файла SAM: один без расширения – сама база учетных записей; второй имеет расширение .log – журнал транзакций базы.

Наиболее интересным является раздел учетных записей пользователей: в них хранится информация об именах и паролях. Следует заметить, что пароли не хранятся в текстовом виде. Они защищены процедурой хеширования. Это не значит, что, не зная пароля в текстовом виде, злоумышленник не проникнет в систему. При сетевом подключении не обязательно знать текст пароля, достаточно хешированного пароля. Поэтому достаточно получить копию базы данных SAM и извлечь из нее хешированный пароль.

При установке системы Windows NT доступ к файлу %Systemroot%\System32\Config\sam для обычных программ заблокирован. Однако, используя утилиту Ntbackup, любой пользователь с правом Back up files and directories может скопировать его. Кроме того, злоумышленник может попытаться переписать его копию (Sam.sav) из каталога %Systemroot%\System32\Config или архивную копию (Sam._) из каталога %Systemroot%\Repair.

Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

  1. исключить загрузку серверов в DOS-режиме (все разделы установить под NTFS, отключить загрузку с флоппи- и компакт-дисков, желательно установить на BIOS пароль;
  2. ограничить количество пользователей с правами Backup Operators и Server Operators;
  3. после установки или обновления удалить файл Sam.sav;
  4. отменить кэширование информации о безопасности на компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре). Используя утилиту Regedt32, добавить в реестр в раздел HKEY_LOCAL_MACHINE\Microsoft\Windows NT\CurrentVersion\WinLogon:
    • Параметр CachedLogonsCount;
    • Тип REG_SZ;
    • Значение 0.

Один из популярных методов проникновения в систему — подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя (Account Lockout) после определенного числа неудачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступном через меню Polcies/Accounts;\

Приятным исключением является учетная запись администратора. И если он имеет право на вход через сеть, это открывает лазейку для спокойного угадывания пароля. Для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов; Необходимо ввести фильтрацию вводимых пользователем паролей, установить Service Pack 2 или 3 (используется динамическая библиотека Passfilt.dll). Данная библиотека при создании нового пароля проверяет, что:

  1. длина пароля не менее шести символов;
  2. содержит три набора из четырех существующих:
    • прописные группы латинского алфавита A, B,C,…,Z;
    • строчные группы латинского алфавита a,b,c,…,z;
    • арабские цифры 0,1,2,…,9;
    • не арифметические (специальные) символы, такие, как знаки препинания.
  3. пароль не состоит из имени пользователя или любой его части.

Для включения данной фильтрации необходимо в реестре в разделе HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa добавить: