Инвентаризация
Инвентаризация
В главе 3 было показано, как из операционной системы Windows NT 4.0 можно получить сведения об учетных записях, совместно используемых ресурсах и другую информацию. Было показано, что служба NetBIOS передает эти данные анонимным пользователям, проникающим в систему через злополучный нулевой сеанс. Там же было указано, что служба активных каталогов предоставляет эту информацию неаутентифицированным злоумышленникам. Здесь мы не будем снова описывать эти виды атак, однако отметим, что Windows 2000 обеспечивает некоторые новые возможности по решению проблем со службами NetBIOS и SMB.
Одним из наиболее существенных новшеств Windows 2000 является возможность обойтись без протокола NetBIOS. Как было показано в главе 3, службу NetBIOS, работающую поверх протокола TCP/IP, можно отключить с помощью команды Properties of Network&Dial-up Connection^Properties of Internet Protocol (TCP/IP)c*Advanced(KHonKa)[=> WINS(BKnaflKa)=>Disable NetBIOS Over TCP/IP.
Однако не все так просто. Следует отметить, что, несмотря на отключение транспортного протокола NetBIOS, Windows 2000 при этом продолжает использовать протокол SMB поверх TCP (порт 445) для совместного использования файлов (см. табл. 6.1).
Таким образом, компания Microsoft сыграла злую шутку с неопытными пользователями, которые, отключив службу NetBIOS поверх TCP/IP (с помощью вкладки WINS диалогового окна свойств соединения для локальной сети) будут считать, что все проблемы с нулевым сеансом решены. На самом деле это не так. Такое отключение закрывает лишь порт TCP 139, но не 445. На первый взгляд может показаться, что этого достаточно для решения проблем с нулевым сеансом, поскольку злоумышленники, не установившие сервисный пакет Service Pack 6a, не могут подключиться через порт 445 и открыть нулевой сеанс. Однако клиентам Windows 2000 и пользователям более ранней операционной системы с сервисным пакетом Service Pack 6a такая возможность доступна. Следовательно, они могут выполнять инвентаризацию, использовать команды user2sid/sid2user и выполнять другие опасные действия, подробно описанные в главе 3. Поэтому не следует заблуждаться по поводу наличия новых команд в интерфейсе и терять бдительность.