ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12400
Скачиваний: 24
426
Ни прочитать SAM-файл, ни отредактировать его нет никакой возможности -
при попытке чтения этого файла Windows сообщает о нарушении
совместного доступа, т.к. для системы этот файл всегда открыт и запись в
него производит только сама Windows.
Однако, получить как данные из этого файла, так и доступ к нему, все-таки
можно.
Информацию из него можно извлечь даже в работающей системе, но только
из-под учетной записи Администратора. Здесь есть два метода получения
данных - метод программы PWDUMP (который используется в программах
PWDUMP, LC4, LC+4 и др.) и метод с использованием планировщика задач
(используется в программе SAMInside).
Метод PWDUMP вкратце работает так - программа подключается к
системному процессу LSASS и с его правами (и его же методами) извлекает
хэши из ветки SAM реестра, т.е. фактически из SAM-файла.
Метод же планировщика работает так - по умолчанию в Windows 2000
системная утилита Scheduler имеет права пользователя SYSTEM, т.е. полный
доступ к системе. Поэтому, если назначить Планировщику задание сохранить
определенную ветку реестра в файл, к примеру, то он в назначенное время
сохранит ее на диск. После чего из этого файла извлекаются хэши всех
пользователей этого компьютера.
Если пароля Администратора нет и, соответственно, его прав тоже, тогда
злоумышленнику остается делать следующее - если на компьютере
установлено несколько операционных систем, то, загружаясь в любую из них
(даже в Linux) можно получить доступ к системному диску Windows 2000 и
скопировать SAM-файл в другой каталог, чтобы потом "в спокойной
обстановке" загрузить его в нужную программу для восстановления из него
паролей.
Более того, существуют программы, способные изменять информацию прямо
в SAM-файле, меняя и добавляя пользователей, а также их пароли (например,
программа Offline NT Password & Registry Editor). Правда, для этого также
необходимо загружаться в другую ОС и иметь полный доступ к системному
диску Windows 2000.
Даже если системный диск Windows имеет файловую систему NTFS, то все
равно можно получить к нему доступ, используя загрузочную дискету,
созданную в программе NTFSDos Pro. Затем, после загрузки с нее,
примонтировать нужный NTFS-раздел и скопировать с него нужные файлы.
В современных NT-системах применяется дополнительное шифрование
хэшей алгоритмом syskey. До недавнего времени хэши из SAM-файла,
скопированного из этих ОС, расшифровке не поддавались, т.к. этот алгоритм
достаточно сложен, нигде не публиковался и практически не анализировался.
427
Но теперь можно извлекать хэши, даже из зашифрованных этим алгоритмом
SAM-файлов, используя программу SAMInside. Правда, для декодирования
хэшей этой программе необходим еще и файл SYSTEM, расположенный там
же, где и SAM, т.к. в нем хранятся некоторые ключи реестра, необходимые
для дешифрования хэшей алгоритмом syskey. Этот файл также открыт только
для системы, но, если можно получить доступ к SAM-файлу, то и файл
SYSTEM копируется теми же способами.
5.4. Особенности файловой системы WINDOWS 2000.
Система Windows 2000 Professional призвана стать основной операционной
системой для настольных и портативных компьютеров в организации любого
масштаба, заменив при этом Windows 95/98 в качестве стандартной
платформы для деловых приложений. В процессе проектирования Windows
2000 Professional преследовались следующие цели:
Упростить работу с системой.
Сохранить традиционные достоинства систем Windows NT.
Перенести в систему лучшие качества Windows 98.
Создать легко конфигурируемую настольную систему, позволившую
снизить общую стоимость владения (Total Cost of Ownership, TCO).
В системе Windows 2000 Professional реализованы многие решения,
призванные уменьшить затраты на эксплуатацию системы в корпоративных
сетях. Расширены возможности обновления существующих систем при
установке Windows 2000 Professional, упрощен и автоматизирован сам
процесс инсталляции системы. Система имеет/развитые средства удаленного
администрирования, установки и удаления программ и встроенной
диагностики процесса загрузки.
В сочетании с Windows 2000 Server система Windows 2000 Professional
реализует возможности технологии IntelliMirror, объединяющей в себе новые
средства администрирования:
Централизованное
администрирование
корпоративной
сети
с
использованием шаблонов политик безопасности и Active Directory.
Управление инсталляцией, обновлением, восстановлением и удалением
программных продуктов.
Поддержка рабочей конфигурации (документов, приложений и настроек
системы) для мобильных пользователей.
Удаленная инсталляция операционной системы с сервера, что упрощает
замену или подключение компьютеров.
Операционная система Windows 2000 сохранила модульную архитектуру
своих предшественниц Windows NT 3.51/4.0. Хотя система Windows 2000 и
428
унаследовала некоторые архитектурные решения, реализованные в NT 4.0, в
целом новая версия существенно переработана по сравнению с предыдущей
(с учетом всех сервисных пакетов), устранены многие недостатки, ошибки и
т. п.
Новшества Windows 2000 в первую очередь распространяются не на ядро
операционной системы или пользовательский интерфейс (если учитывать,
что концепции Active Desktop известны еще по продукту Internet Explorer
4.0), а на многочисленные, очень важные подсистемы и службы, выводящие
среду Windows NT на новый уровень. В новой системе использована большая
часть ядра Windows NT 4.0, однако это не делает систему Windows 2000
менее "революционной". Новые функции и, базируясь на стабильном,
проверенном ядре, обеспечат устойчивость системы в целом, что особенно
важно для серверных платформ.
Наиболее важные средства, которые имеются в Windows 2000 Professional:
Новый пользовательский интерфейс Windows, ориентированный на сеть
Веб, — Active Desktop.
Браузер Internet Explorer — последняя версия популярного веб-браузера от
Microsoft, обеспечивающая наиболее полную интеграцию с операционной
системой.
Новая версия существующих программных средств для обработки факсов
— Personal Fax for Windows.
DirectX 7.0 — новейшая версия графических интерфейсов API от Microsoft,
разработанная специально для возрастающих потребностей рынка
компьютерных игр.
Поддержка Asynchronous Transfer Mode (ATM) средствами операционной
системы, обеспечивающая приложениям все возможности ATM.
Встроенная поддержка технологии Plug and Play, дающая толчок
распространению NT на рынке переносных компьютеров.
Поддержка Universal Serial Bus (USB), обеспечивающая подключение к
компьютеру множества (до 127 на один порт) разнообразных устройств с
последовательной передачей данных со скоростью до 12 Мбит/с. Шина USB
может стать чрезвычайно популярной среди конечных пользователей,
поскольку для ее применения не требуются глубокие технические знания.
Поддержка нового стандарта для скоростных соединений IEEE 1394
(FireWare), позволяющего использовать полосу пропускания до 100, 200 и
даже 400 Мбит/с.
Advanced
Configuration
and
Power
Interface
(ACPI
Power)
—
усовершенствованный стандарт управления конфигурацией и питанием,
обеспечивающий лучшее управление периферийными устройствами по
сравнению с Windows NT 4.0 и полноценную реализацию Plug and Play.
429
Расширенное восстановление системы — технология, позволяющая
пользователям сохранять целиком состояние системы и обеспечивающая ее
восстановление после сбоя.
Сервер сценариев, Windows Scripting Host (WSH) — средство для
выполнения сценариев, запускаемое из графической среды или из командной
строки. Поддерживаются языки VBScript и JavaScript. Эта независимая от
языка архитектура позволяет писать сценарии и на других языках, а также
разрабатывать собственные интерпретаторы командных сценариев.
Планировщик задач (Task Scheduler) — новое средство для планирования
(диспетчеризации) задач, идущее на смену команде AT.
Возможность вторичного входа в систему, служба RunAs — позволяет
пользователю, уже зарегистрированному в системе, войти в систему под
другим именем.
Консоль управления Microsoft Management Console (MMC) — новая
оболочка для административных утилит, обеспечивающая универсальный
пользовательский интерфейс для всех системных инструментов среды NT,
собственных системных утилит операционной системы и средств
администрирования, входящих в другие программные продукты.
Групповые политики (Group Policies) — наборы конфигурационных
параметров, которые могут назначаться как изолированному компьютеру, так
и компьютеру, входящему в домен Windows 2000. Управление с
использованием политик позволяет ограничивать возможности клиентских
систем, автоматизировать обновление операционной системы, инсталляцию
приложений и работу с пользовательскими профилями.
Windows Installer — новая технология, управляющая процессом
инсталляции программного обеспечения в среде Windows (входит в состав
технологии IntelliMirror®). Наибольшей эффективности от ее использования
можно добиться в домене Windows 2000. Технология Windows Installer
является ключевым элементом для полной реализации продвигаемой
компанией Microsoft методологии ZAW (Zero Administration for Windows,
Нулевое администрирование Windows); с ее помощью можно значительно
уменьшить вероятность конфликтов DLL и улучшить конфигурируемость
настольных приложений.
Поддержка FAT32, улучшенной версии файловой системы FAT (File
Allocation Table), используемой в Windows 95 OSR2, а также в Windows 98.
Улучшенная версия файловой системы NT File System (NTFS), работающей
быстрее и имеющей множество новых возможностей, таких как в системе
Windows 2000 Professional имеется клиентское программное обеспечение,
позволяющее использовать следующие возможности, реализованные в сетях
и доменах Windows 2000:
430
Средства управления корпоративными ресурсами с помощью веб-
технологий (Web-Based Enterprise Management, WBEM) — стандарт,
призванный упростить управление драйверами и приложениями, расширить
возможности администрирования и, как следствие, снизить ТСО.
Распределенная модель компонентных объектов (Distributed COM,
DCOM) — платформа для построения распределенных приложений.
Active Directory Services Interface (ADSI) — стандартный интерфейс для
разнообразных служб каталогов; обеспечивает также унифицированный
доступ к другим каталогам, для которых имеется соответствующий
поставщик услуг (ADSI-provider).
Служба компонентов, Component Service — позволяет более эффективно
управлять различными программными компонентами по сравнению с
традиционными технологиями, использующими механизм транзакций.
Служба очередей, Message Queuing — система передачи сообщений и
запросов, реализующая надежную доставку сообщений и данных в
распределенной среде.
Службы терминалов, Terminal Services — входившие ранее в
самостоятельный продукт, Windows NT 4.0 Terminal Edition, службы
терминалов теперь являются стандартным компонентом серверных
версий Windows 2000 и позволяют клиентам Windows for Workgroups,
Windows 9x, Windows NT 3.51 и 4.0 и Windows 2000 Professional, а также
Windows-терминалам удаленно (в локальной сети или по коммутируемым
линиям) выполнять 16- и 32-разрядные приложения на серверах Windows
2000, либо администрировать их.
Веб-сервер (в составе служб Internet Information Services, IIS) — последняя
версия Интернет-сервера от Microsoft, позволяющего легко реализовать на
отдельном компьютере службы FTP и HTTP.
Аутентификация Kerberos — протокол безопасности, используемый в
распределенных средах для аутентификации пользователей. Стандартный
протокол аутентификации компьютеров с Windows 2000 в доменах
Windows 2000.
Поддержка инфраструктуры открытых ключей (Public Key Infrastructure,
PKI) — позволяет использовать криптографические методы для шифрования
локальных данных и данных, передаваемых через электронную почту, а
также для идентификации пользователей в глобальных сетях (цифровые
подписи).
5.5. Особенности файловых систем FAT32 и NTFS