Nesen saskāros ar šādu problēmu: FireFox, Chrome, Opera negribas iet garām NTLM autorizācija. Vienīgais, kurš izturēja, bija šis I.E.. Es aizmirsu pateikt, ka šī problēma rodas Windows 7. Šo problēmu novēršanas metodes tiks aprakstītas tālāk.

Opera: nav oficiāli atbalstīts NTLM-autorizācija, lai gan iestatījumos varat atrast vienumu, kas ļauj iespējot vai atspējot šo opciju. Tāpēc starpniekservera iestatījumos jums ir jāpievieno pamata atļauja. Lai atspējotu NTLM autorizācija(un faktiski ļaujiet šai pārlūkprogrammai darboties, izmantojot starpniekserveri) rīkojieties šādi:

1) pārlūkprogrammā ierakstiet about:config
2) dodieties uz sadaļu Tīkls un noņemiet atzīmi no parametra Iespējot NTLM
3) restartējiet pārlūkprogrammu.

Tiesa, ir viena nianse (neērtības, tā sakot): pirmo reizi startējot, jums būs jāievada sava pieteikšanās parole (pilnībā, tas ir, ar domēnu) un jāatzīmē izvēles rūtiņa. "Saglabāt". Tagad katru reizi, kad nākamreiz atverat pārlūkprogrammu, parādīsies pilnvarojuma zīme, un jums vienkārši jānospiež "LABI". Tas ir neērti, bet ko jūs varat darīt?

Piezīme: dažreiz dažās OS, gluži pretēji, tas bija jāiespējo NTLM autorizācija. Varbūt tas bija atkarīgs arī no pārlūkprogrammas un OS versijām.

FireFox, Chrome: Viņi ir atbalstoši, lai gan jums ir nepieciešams veikt nelielu šamanismu. Aprakstīšu vairākus variantus, ko atradu internetā, iespējams, nāksies izmēģināt visu, līdz atradīsi sev piemērotāko.

1) jums būs jāpievieno parametrs reģistrā HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ar nosaukumu LmCompatibilityLevel veids DWORD un piešķiriet tai vērtību 1 . Pēc tam jums būs jāpārstartē dators (šī ir opcija, kas man bija piemērota)

2) Uz Firefox varētu paiet ntlm autorizāciju, šķiet, ka pietiek adreses joslā atvērt about:config un mainīt parametrus uz šādiem:

network.negotiate-auth.delegation-uris = http://,https://
network.negotiate-auth.trusted-uris = http://,https://

Pēc tam restartējiet pārlūkprogrammu.

3) Atveriet politikas redaktoru ( gpedit.msc) Datora konfigurācija -> Windows konfigurācija -> Drošības iestatījumi -> Vietējās politikas-> Drošības iestatījumi -> Tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis un iestatiet parametru Sūtīt LM un NTLM — sarunās izmantojiet NTLMv2 sesijas drošību.

Pēc tam mēs aizveram politiku un restartējam.

Ja jums ir angļu versija, tad šī: mašīnas politika-> datora konfigurācija-> logu iestatījums-> vietējās politikas-> drošības opcija-> tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis un atlasiet LM un NTLM — izmantojiet NTLMv2 sesiju, ja tas ir sarunāts.

4) Vēl viena iespēja ir konfigurēt, izmantojot squid_ldap:

auth_param pamata programma /usr/lib/squid3/squid_ldap_auth -b "cn=users,dc=office,dc=ru" -f "sAMAccountName=%s" -h 192.168.0.74 -D "cn=administrators,cn=lietotāji, dc=office,dc=ru" -w "secpass"
auth_param basic children 5
auth_param basic realm Mans inet starpniekserveris
auth_param basic credentialsttl 60 minūtes

external_acl_type nt_groups %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "cn=users,dc=office,dc=ru" -f "(&(cn=%v)(memberOf=cn=%a,cn= lietotāji,dc=office,dc=ru))" -D "cn=administrators,cn=lietotāji,dc=office,dc=ru" -w "secpass" -h 192.168.0.74

acl all src 0.0.0.0/0.0.0.0
acl group_inet ārējā nt_groups inet

http_access atļaut group_inet
http_reply_access atļaut visu
icp_access atļaut visu
http_access liegt visu

Izmēģiniet tomēr :)

Autentifikācija ir neaizstājama procedūra katram lietotājam, datoram un uzņēmuma kontam. Windows ieraksti, bet tā mehānisms nav pētīts sistēmas administratori pamatīgi. Ikviens zina, ka, lai reģistrētos datorā, ir jānorāda pareiza parole, bet cik daudzi zina, kas notiks tālāk? Windows autentifikācija un ar to saistītie protokoli tiek iespējoti ikreiz, kad lietotājs, dators vai pakalpojums reģistrējas lokāli vai ar domēna kontrolleri (DC). Šajā rakstā vispirms tiks apspriesti Windows autentifikācijas pamatprincipi un pēc tam saistītie protokoli. Noslēgumā ir sniegti īsi ieteikumi, lai uzlabotu autentifikācijas procedūras uzticamību Windows tīklā.

Autentifikācija: vispārīgie principi

Autentifikācija ir viena no jebkuras datora piekļuves kontroles sistēmas sastāvdaļām. Kā parādīts 1. attēlā, piekļuves kontroles sistēmas nodrošina identifikāciju, autentifikāciju, autorizāciju un ziņošanu.

Identifikācija. Autentifikācijas procesā tiek izmantota informācijas kopa, kas unikāli identificē drošības objektu (piemēram, lietotāju, grupu, datoru, pakalpojuma kontu) koplietotā direktoriju pakalpojumā. Uzziņu pakalpojums, piemēram, Active Directory(AD), ļauj unikāli identificēt objektus, līdzīgi kā DNS nodrošina, ka diviem cilvēkiem nevar būt vienāda adrese E-pasts. Windows iekšējie elementi izmanto SID, globāli unikālus identifikatorus (GUID) un citus unikālus tagus. Vairumā gadījumu identifikācijai pietiek ar ievadīšanu unikāls nosaukums konts, piemram, Rgrimes. Lielā mežā ir jāizmanto AD pilnie vārdi piemēram, lietotājiem (lietotāja pamatvārds, UPN). [aizsargāts ar e-pastu]. Lietojot viedkartes, drošības subjekts var uzrādīt savu digitālo sertifikātu vai atslēgu.

Autentifikācija vai autentifikācija. Pēc tam, kad drošības subjekts ir ievadījis vai citādi sniedz identifikācijas informāciju (piemēram, lietotājvārdu, drošības marķieri), subjektam ir jāievada vai citādi jāiesniedz privāta autentifikācijas informācija (piemēram, parole un PIN). Operētājsistēmā Windows drošības subjekts ievada šo informāciju reģistrācijas ekrānā, izmantojot Microsoft programmas Grafiskās identifikācijas un autentifikācijas DLL (msgina.dll) un Winlogon.exe. Sistēmas autentifikācijas protokols un dzinējs iekodē iesniegto informāciju galddatorā un pārsūta autentifikācijas pieprasījumu. Windows autentifikācijas pakalpojums var būt SAM vai AD datu bāze. SAM datu bāze atbalsta vietējās reģistrācijas procedūras un reģistrāciju Windows NT 4.0 domēna kontrolleros. AD autentificē pieprasījumus Windows 2000 vai jaunākas versijas Windows 2000 domēnos. Autentifikācijas protokols (piemēram, LAN pārvaldnieks, NT LAN pārvaldnieks, NTLM, NTLMv2, Kerberos) tiek izmantots, lai pārsūtītu autentifikācijas pieprasījumus un turpmākās transakcijas starp pieteikšanās ekrānu un autentifikācijas pakalpojumu. Tālāk katrs autentifikācijas protokols tiks apspriests atsevišķi.

Autorizācija. Ja autentifikācijas pakalpojums autentificē identifikatora un "slepeno" autentifikācijas datu kombināciju, drošības subjekta identitāte tiek uzskatīta par veiksmīgi pārbaudītu. Pēc tam sistēma apkopo informāciju par drošības subjekta (t.i., lietotāja) dalību grupā. Nav nekas neparasts, ka parasto dalības piešķiršanas procedūru rezultātā lietotājs pieder vairākām skaidri definētām grupām — vietējai, lokālai, globālai un universālai. Sistēma pārbauda vietējās grupas pret vietējo SAM datu bāzi un pārbauda vietējās un globālās grupas DC lietotāja mājas domēnā, kā arī universālās grupas DC, kurā ir globālais katalogs. Sistēma tieši vai netieši apkopo visu informāciju par dalību grupā, lai iegūtu informāciju par drošības atļaujām.

Tūlīt pēc autentifikācijas sistēma savāc konta SID un informāciju par dalību grupā objektā, ko sauc par piekļuves pilnvaru. Lai jaunās drošības atļaujas stātos spēkā, lietotājam, iespējams, būs jāatsakās un jāpiesakās vēlreiz. Ja lietotājam ir jāpiekļūst objektam (piemēram, failam, mapei, printerim, reģistra atslēgai), kas aizsargāts ar NTFS atļaujām, process (piemēram, Windows Explorer), kas darbojas lietotāja vārdā, nodrošina savu piekļuves pilnvaru. Katram NTFS objektam ir piekļuves kontroles ierakstu (ACE) saraksts, kas būtībā ir pazīstamas NTFS atļaujas (piemēram, Atļaut lasīt, Atļaut rakstīt). Lietotājiem un grupām piešķirtā ACE kopa veido piekļuves kontroles sarakstu (ACL) šī objekta. Konkrēti, objekta ACL attēlo drošības atļaujas, kuras var skatīt programmā Windows Explorer.

Piekļuves pilnvara, kurā ir konts un grupas, ar kurām lietotājs ir saistīts, nosaka lietotāja faktiskās atļaujas. Autorizācijas process ietver piekļuves atļaušanu vai liegšanu konkrētam objektam, pamatojoties uz piekļuves pilnvaras salīdzinājumu ar objekta ACL. Autorizāciju nodrošina Windows drošības uzziņu monitors (1. ekrāns). Piemērā, kas parādīts 1. attēlā, lietotājam ir lasīšanas, rakstīšanas un modificēšanas atļaujas. Tomēr grupai Visi, kurai pieder lietotājs, nav modificēšanas atļaujas. Citu grupu dalībniekiem ir lasīšanas un modificēšanas atļaujas, bet grupas Ikviens atļauja Liegt ignorē atļauju Modificēt. Objektam ir arī ACL, kas noliedz Pilna izšķirtspēja Vadība uz HR grupu, bet lietotājs nepieder šai grupai. Tādējādi lietotāja faktiskās atļaujas objektam ir 2. ekrāns- Lasi un raksti.

Grāmatvedība. Ja iekšā Windows režīms audits ir iespējots, sistēma saglabā autentifikācijas notikumu drošības žurnālā, un tā ir piekļuves kontroles sistēmas beigu sastāvdaļa – ziņošana. Sarežģītākie sākotnējās reģistrācijas un turpmākie autorizācijas notikumi notiek dažu sekunžu laikā un ir paslēpti no lietotāja. Visas sarežģītās darbības tiek uzticētas autentifikācijas protokolam.

Protokola mērķi

Autentifikācijas protokolam ir jāveic vismaz divas darbības. Pirmkārt, tai ir droši jāpārraida darījumi no pieprasītāja uz autentifikācijas datu bāzi un uz jebkuru citu datoru, kas mitina attiecīgo resursu. Otrkārt, tai ir jāsaglabā parole vai marķieris droši un droši. Pēdējais īpaši interesē paroļu uzlauzējus. Autentifikācijas protokolam ir jāaizsargā lietotāja sniegtā informācija, kad tā tiek pārsūtīta uz autentifikācijas datu bāzi (t.i., SAM vai AD). Lai to izdarītu, protokols paraksta, paslēpj vai šifrē darījumu. Tam ir arī laika zīmogs, lai neļautu uzbrucējam turpmāk izmantot akreditācijas datus. Lai nepieļautu lietotāja paroles tūlītēju izgūšanu no datu bāzes, protokolam jānodrošina paroļu slepena glabāšana autentifikācijas datubāzē.

Vairāk nekā desmit gadus autentifikācijas protokoli galvenokārt ir nodrošinājuši drošību, saglabājot paroles slēptā formā (parasti jauktā veidā) autentifikācijas datubāzē un pilnībā aizliedzot paroļu pārsūtīšanu starp lūguma iesniedzēju un autentifikācijas datu bāzi vienkāršā tekstā (pat slēptā formā). Pieprasījuma-atbildes process izskatās šādi:

1. Dators saņem identifikācijas un autentifikācijas datus no lietotāja un pieprasa autentifikāciju no atbilstošā servera.
2. Autentifikācijas serveris ģenerē nejaušu patvaļīgu vērtību (ko sauc par izaicinājumu) un nosūta to pieprasītājam.
3. Pieprasītājs saņem pieprasījumu un veic matemātiskas darbības ar to un paroles slēpto formu, un pēc tam nosūta rezultātu (ko sauc par atbildi) uz autentifikācijas serveri.
4. Autentifikācijas serveris arī veic matemātiskas manipulācijas ar pieprasījumu, izmantojot metodi, kas ir identiska tai, kas tiek izmantota darbstacijā, un salīdzina rezultātu ar saņemto atbildi. Ja rezultāti sakrīt, pieprasītājs tiek uzskatīts par veiksmīgi autentificētu.

Autentifikācijas protokoli izmanto izaicinājuma-atbildes procesu, lai parole nekad netiktu pārsūtīta tīklā.

Vietējā un domēna reģistrācija

Kad lietotājs reģistrējas, viens no pirmajiem Windows uzdevumi- noteikt, vai procedūra attiecas tikai uz vietējo mašīnu vai domēna kontu. Lietotājiem, kuri piesakās kā lokālais konts, ir piekļuve tikai resursiem savā datorā un tikai tad, ja lietotāja konta informācija ir ietverta vietējā SAM datu bāzē. Ja lietotājiem ir nepieciešams piekļūt resursiem attālais dators bez domēna autentifikācijas, tad viņu konti ir jādublē katrā lokālajā SAM datubāzē pieejams dators. Konti katrā iesaistītajā datorā ir jāsinhronizē (visās iekārtās ir vienādi pieteikšanās vārdi, paroles un akreditācijas datu derīguma termiņš). Pretējā gadījumā situācija kļūst daudz sarežģītāka. Ir grūti uzturēt vidēja lieluma vienādranga (P2P) tīklus, kas izmanto tikai vietējās reģistrācijas procedūras.

DC neattiecas prasība sinhronizēt vairākus lietotāju kontus dažādi datori. Izmantojot domēna autentifikāciju, datori, kas reģistrēti domēnā, atrod DC, lai parādītu domēna lietotāja konta akreditācijas datus autentifikācijas pieprasījumiem. Tādējādi, ja attālais lietotājs mēģina piekļūt lokālajam resursam datorā, šī iekārta lūdz DC pārbaudīt pieprasītāja lietotāja identitāti. Domēna lietotāju konti atrodas tikai DC un tiek izveidoti tikai vienu reizi. Jebkurš dalībnieks, kuram ir jāautentificē konts domēnā, var sazināties ar DC jebkurā laikā. Nav problēmu ar pieteikumvārdu, paroļu un to derīguma termiņu sinhronizēšanu, jo akreditācijas dati un konta pārvaldība tiek veikta tikai vienā vietā - DC. Neatkarīgi no pieteikšanās veida (lokālais vai domēns), sistēmai Windows ir jāautentificē lietotāja pieprasījums.

Windows autentifikācijas protokoli

Kā minēts iepriekš, Windows izmanto četrus galvenos autentifikācijas protokolus: LAN Manager, NTLM, NTLMv2 un Kerberos. LAN pārvaldnieks aizsākās DOS laikos, un to turpināja izmantot ar agrīnām Windows versijām. NTLM tika izlaists kopā ar NT. Jaunums NT Server 4.0 4. servisa pakotnē (SP4) bija NTLMv2, un Windows 2000 ieviesa Kerberos. Pēc noklusējuma visi datori ar Windows 2000 un jaunāku versiju operētājsistēmas Savietojams ar visiem četriem autentifikācijas protokoliem. Nosūtot šīm sistēmām atbilstošas ​​komandas, citas darbstacijas un serveri var izvēlēties protokolu, lai apstrādātu autentifikācijas pieprasījumu. Windows 9x un jaunākas sistēmas ar pilniem programmatūras ielāpiem ir saderīgas ar LM, NTLM un NTLMv2. Microsoft platformā Kerberos var izmantot tikai Windows klienti 2000 (vai jaunāka versija), piekļūstot Windows 2000 (un jaunākiem) domēniem. Dators ar Windows 2000 vai jaunāku versiju jauna versija Operētājsistēmā ir jābūt Kerberos un vismaz vienam citam autentifikācijas protokolam.

Drošības pētījumi ir parādījuši, ka vecāki protokoli (LM un NTLM) ir neaizsargāti pret noklausīšanās un paroles uzminēšanas uzbrukumiem.

LAN pārvaldnieks

IBM izstrādāja LAN Manager protokolu, izmantojot to iepriekšējās versijas Windows un Windows tīkli. Tāpat kā visi Microsoft autentifikācijas protokoli, LAN pārvaldnieks ģenerē paroles jaucējkodu (LM hash), ko autentifikācijas procesa laikā saglabā un izmanto sūtītājs un saņēmējs. LAN pārvaldnieks ģenerē LM jaucējus, mainot visus paroles burtus uz lielajiem burtiem, sadalot paroli divās 7 rakstzīmju daļās un pēc tam šifrējot. Pēc tam LM hash tiek izmantots vairākās secīgās operācijās, kas ir līdzīgas iepriekš aprakstītajam pieprasījuma-atbildes procesam.

Lai gan LAN pārvaldnieks agrāk bija diezgan pieņemams, tagad tas tiek uzskatīts par ļoti neuzticamu. Izmantojot īpašus rīkus, paroles, kas šifrētas, izmantojot LAN pārvaldnieka jaukšanas metodi, var pārvērst vienkāršā tekstā tikai dažu sekunžu laikā. LM jaucējkodiem ir būtiski trūkumi, kā arī vairākas ievainojamības:

• paroles var sastāvēt no ierobežotas 128 ASCII rakstzīmju secības;
• paroles garums nepārsniedz 14 rakstzīmes;
• ja parole satur mazāk par 14 rakstzīmēm, tad trūkstošās rakstzīmes tiek aizstātas ar viegli uzminējamu jauktu formu, kas ļauj precīzi noteikt paroles garumu;
• LAN pārvaldnieks pirms saglabāšanas kešatmiņā pārvērš visas paroles alfabēta rakstzīmes par lielajiem burtiem.

Kāpēc LAN pārvaldnieks joprojām netiek lietots? Atgriezeniskās saderības nolūkos tas pēc noklusējuma ir aktīvs visos Windows datoros, tostarp Windows Server 2003. gads: Jaunākajās Windows autentifikācijas datu bāzēs vājš LM hash tiek glabāts līdzās spēcīgākajiem, ja nepieciešams, lai veiktu LAN pārvaldnieka transakciju. Ja jūsu uzņēmums neizmanto citas lietojumprogrammas, kurām nepieciešama LAN pārvaldnieka autentifikācija, varat (un vajadzētu) atspējot LAN pārvaldnieku.

NTLM

Līdz ar NT parādīšanos Microsoft izstrādāja un izvietoja drošāku autentifikācijas protokolu NTLM. NTLM izmanto vairāk efektīvs algoritms autentifikāciju, kas rada drošāku paroles jaucējkrānu (NTLM hash). NTLM parole var būt līdz 128 rakstzīmēm. Atšķirībā no LAN pārvaldnieka jaukšanas, kurā tiek izmantotas tikai ASCII rakstzīmes, NTLM ir saderīgs ar pilnu Unikoda rakstzīmju kopu, kas palielina paroļu sarežģītību. NTLM hash tiek nogriezts pie 128. rakstzīmes, pārveidots par 16 bitu unikoda vērtību, apstrādāts ar MD4 izplatīšanas funkciju un saglabāts 32 rakstzīmju heksadecimālā virknē. Izmantojot NTLM jaucējkodu izaicinājuma-atbildes operācijās, NTLM autentifikācijas secība ir daudz sarežģītāka nekā LAN pārvaldnieka procedūra.

NTLMv2

Rezultātā izrādījās, ka arī NTLM ir ievainojams, un Microsoft speciālisti sagatavoja NTLMv2, kas joprojām tiek uzskatīts par diezgan uzticamu, lai gan tagad vēlamais protokols ir Kerberos. NTLMv2 joprojām tiek plaši izmantots vietējai reģistrēšanai un dažiem citiem lietojumiem. NTLMv2 ir līdzīgs NTLM, taču NTLMv2 paroles hash izmanto HMAC-MD5 ziņojumu autentifikāciju un uzliek laika zīmogu izaicinājuma-atbildes secībai, lai novērstu uzbrukumus, kuros uzbrucējs ieraksta akreditācijas datus un vēlāk tos izmanto.

Kopumā NTLMv2 ir izturīgāks pret brutāla spēka uzbrukumiem nekā NTLM, jo protokols izmanto 128 bitu šifrēšanas atslēgu. Ir zināmas tikai divas paroļu uzlaušanas programmas (viena no tām ir Symantec LC5), kas varēja atvērt NTLMv2 paroļu jaucējus.

Kerberos

Microsoft pieņēma Kerberos kā noklusējuma domēna autentifikācijas protokolu Windows 2000 un jaunākiem AD domēniem. Kerberos ir atvērts standarts, kas piemērots sadarbībai ar ārzemju domēniem (UNIX un Linux tiek saukti par sfērām). Katrs AD domēnu DC pilda izplatīšanas servera lomu (Kerberos Distribution Server, KDC) un var piedalīties autentifikācijas procedūrā. Drošību uzlabo šādi Kerberos raksturlielumi:

• savstarpēja autentifikācija starp klientu un serveri;
• uzticama paroles aizsardzība, jo Windows nosūta paroli tikai sākotnējā pieprasījuma laikā, nevis katrā autentifikācijas pasākumā, un visas saziņas sesijas tiek šifrētas;
• ar laika zīmogu apzīmēta izaicinājuma-atbildes secība neļauj uzbrucējam izmantot pārtverto paroli pēc noteikta laika;
• servera process var piekļūt attālam resursam lietotāja vārdā;
• savietojamība.

Īss Kerberos darbības apraksts:

1. Pēc veiksmīgas pamata autentifikācijas lietotāja dators pieprasa drošības biļeti no Kerberos (DC) servera turpmākiem autentifikācijas pieprasījumiem.
2. Kerberos serveris izsniedz pieprasītājam biļeti piedalīties turpmākajos autentifikācijas un autorizācijas pasākumos, atkārtoti neuzrādot sākotnējos autentifikācijas akreditācijas datus.
3. Kad pieprasītājam ir jāpiekļūst resursam dalībnieka serverī, tas saņem citu piekļuves biļeti no Kerberos servera un iesniedz to resursa serverim pārbaudei.
4. Sākotnējie autentifikācijas akreditācijas dati netiek sūtīti pa tīkla saitēm nevienā turpmākajā autentifikācijas sesijā (līdz 2. darbībā izdotās biļetes derīguma termiņa beigām).

Ņemiet vērā, ka, lai gan Kerberos darbojas līdzīgi kā privāta infrastruktūra publiskā atslēga(publiskās atslēgas infrastruktūra, PKI), visa informācija tiek aizsargāta, izmantojot simetriskas atslēgas (pretēji asimetriskām atslēgām, ko izmanto lielākajā daļā autentifikācijas pakalpojumu).

Viedkartes

Paroļu un citu viena akreditācijas datu autentifikācijas metožu stiprums strauji pasliktinās. E-komercija caurstrāvo ikdienas dzīvi, un pieaug gan identitātes zādzības metožu skaits (surogātpasts, URL izkrāpšana), gan paroles ļaunprātīgas izmantošanas iespējamība. Daudzi eksperti uzskata, ka divvirzienu autentifikācija – viedkaršu, USB ierīču vai citu kriptogrāfijas ierīču veidā – nākotnē kļūs par ikdienu interneta transakcijām. Microsoft izstrādātāji savos risinājumos integrē funkcijas darbam ar digitālajiem sertifikātiem un viedkartēm. Lai izmantotu viedkartes, ir jāinstalē sertifikātu pakalpojumi un jāizplata viedkaršu sertifikāti. Protams, nepieciešamas arī fiziskas viedkartes, lasītāji un programmatūra piegādātājs. Pēc tam lietotāji var ievietot viedkartes vietējos lasītājos, ja nepieciešams, lai piekļūtu Windows dators. Pareizi lietojot, viedkartes var ievērojami uzlabot autentifikācijas uzticamību.

Autentifikācijas protokola aizsardzība

Daži raksti nepareizi apgalvo, ka Microsoft autentifikācijas mehānisma uzlaušana joprojām ir vienkārša. Faktiski no 20 esošajiem paroļu uzlaušanas rīkiem tikai divi darbojas ar NTLMv2 un tikai viens darbojas ar Kerberos. Bet pēc vairāku uzņemšanas vienkāršas darbības, šos draudus var arī novērst. Lai novērstu mēģinājumus uzminēt un atiestatīt paroli, veiciet šādas darbības (lielāko daļu iestatījumu var konfigurēt lokāli vai izmantojot grupas politiku).

• Atspējojiet LM jaukšanas glabāšanu, kā aprakstīts Microsoft rakstā "Kā neļaut Windows saglabāt jūsu paroles LAN pārvaldnieka jaucējkodu Active Directory un vietējās SAM datu bāzēs" ( http://support.microsoft.com/ default.aspx?scid=kb;en-us;299656). Tas tiek darīts, lai neļautu uzbrucējiem atklāt sākotnējo paroli.
• Atspējojiet visus autentifikācijas protokolus, izņemot NTLMv2 un Kerberos (pēc pilnīgas pārbaudes). Procedūra ir aprakstīta Microsoft TechNet rakstā "Tīkla drošība: LAN pārvaldnieka autentifikācijas līmenis" ().
• Atspējot sāknēšanu no noņemams datu nesējs lai novērstu paroļu uzlaušanas rīku darbību visā operētājsistēmā. Aizliegt bootstrap no visiem diskdziņiem, izņemot noklusējuma, neļauj bezsaistes paroles uzlaušanas programmām piekļūt autentifikācijas datu bāzei, kurā tiek glabāti paroļu jaucēji.
• Lietotājiem jānominē sarežģītas paroles vismaz 8 rakstzīmes garš.
• Lietotājiem ir jāmaina paroles vismaz reizi ceturksnī.
• Aktivizējiet konta bloķēšanu vismaz vienu minūti ar automātisku atiestatīšanu. Tas novērš paroļu uzminēšanu tiešsaistē.

Lietotāju pienākumi

Izmantojot NTLMv2, Kerberos un viedkartes, sistēmai Windows ir spēcīgi autentifikācijas mehānismi, kas ir izturīgi pret noklausīšanos un brutālu spēku uzbrukumiem. Taču paraugprakse un spēcīgi autentifikācijas protokoli nepalīdzēs, ja lietotāji piešķir vājas paroles. Jums ir jāapmāca lietotāji pareizi izvēlēties paroles un nodrošināt, ka paroles ir sarežģītas un spēcīgas.

Rodžers Grims - Windows redaktors IT Pro un drošības konsultants. Viņam ir CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security and Security+ sertifikāti.

Operētājsistēma Windows 7 ievieš jaunas paaudzes drošības tehnoloģijas darbvirsmai, un viena no tām ir autentifikācija un autorizācija. Dažas no tehnoloģijām ir vērstas uz vispārējās Windows infrastruktūras nostiprināšanu, bet pārējās ir paredzētas, lai palīdzētu pārvaldīt sistēmu un lietotāja datus.

Pirms efektīvu drošības pasākumu instalēšanas operētājsistēmā Windows 7, piemēram, failu un mapju koplietošanas, ir svarīgi izprast drošības iestatīšanas laikā izmantoto lietotāju kontu veidus un to, kā tīkla protokols autentificē un autorizē lietotāju pieteikšanos.

Autentifikācija ir process, ko izmanto, lai apstiprinātu lietotāja identitāti, sazinoties ar viņu. datorsistēmu vai papildu sistēmas resursi. Privāti un publiski datortīkli(ieskaitot internetu) autentifikācija visbiežāk ietver lietotāja akreditācijas datu pārbaudi; tas ir, lietotājvārds un parole. Tomēr kritisku darījumu veidiem, piemēram, maksājumu apstrādei, ar lietotājvārda un paroles autentifikāciju nepietiek, jo paroles var tikt nozagtas vai uzlauztas. Šī iemesla dēļ lielākā daļa tiešsaistes uzņēmumu, kā arī daudzi citi darījumi tagad izmanto digitālos sertifikātus, kurus izsniedz un verificē sertifikācijas iestāde.

Autentifikācija loģiski notiek pirms autorizācijas. Autorizācija ļauj sistēmai noteikt, vai autorizēts lietotājs var piekļūt aizsargātajiem sistēmas resursiem un atjaunināt tos. Autorizācija ļauj iestatīt direktīvu piekļuvi mapēm un failiem, piekļuves stundas, atļautās krātuves apjomu utt.

• Izmaiņas sistēmas resursos sākotnēji atļauj sistēmas administrators.
• Kad lietotājs mēģina piekļūt sistēmas resursam vai atjaunināt to, sistēma vai lietojumprogramma novērtē darbības atļauju.

Pēdējā opcija ļauj lietotājam piekļūt bez autentifikācijas vai autorizācijas. To izmanto, ja vēlaties nodrošināt piekļuvi anonīmiem, neautentificētiem lietotājiem. Šāda piekļuve parasti ir ļoti ierobežota.

Autorizācijas un autentifikācijas process.

Lai piekļūtu failiem tīklā, lietotājiem ir jābūt autentificētiem, lai pārbaudītu savu identitāti. Tas tiek darīts tīkla pieteikšanās procesa laikā. operācijas zāle Windows sistēma 7 tīkla pieteikšanai ir šādas autentifikācijas metodes:

• Kerberos versija 5: primārā autentifikācijas metode klientiem un serveriem, kuros darbojas operētājsistēmas Microsoft Windows. To izmanto, lai autentificētu lietotāju kontus un datoru kontus.
• Windows NT LAN pārvaldnieks (NTLM): izmanto atpakaļsaderībai ar operētājsistēmām, kas vecākas par Windows 2000, un dažām lietojumprogrammām. Tā ir mazāk elastīga, efektīva un droša nekā Kerberos 5. versija.
• Sertifikāta kartēšana: parasti izmanto pieteikšanās autentifikācijai kopā ar viedkarti. Viedkartē saglabātais sertifikāts ir saistīts ar lietotāja kontu. Viedkaršu lasītājs tiek izmantots viedkaršu nolasīšanai un lietotāja autentificēšanai.

Jauni autentifikācijas līdzekļi operētājsistēmā Windows 7.

Ir pievienoti vairāki uzlabojumi, kas saistīti ar lietotāju pieteikšanās un autentifikācijas procesiem Windows Vista®. Šie uzlabojumi ir palielinājuši autentifikācijas pamatfunkciju kopu, lai palīdzētu nodrošināt labāku drošību un vadāmību. Operētājsistēmā Windows 7 Microsoft turpina Windows Vista iesāktos uzlabojumus, nodrošinot šādus jaunus autentifikācijas līdzekļus:

• Viedkartes
• Biometrija
• Personības integrācija internetā.

Viedkartes.

Viedkaršu izmantošana ir visizplatītākā autentifikācijas metode. Lai mudinātu organizācijas un lietotājus pieņemt viedkartes, sistēma Windows 7 piedāvā jaunus līdzekļus, kas atvieglo viedkaršu lietošanu un izvietošanu. Šīs jaunās iespējas ļauj izmantot viedkartes dažādu uzdevumu veikšanai, tostarp:

• Plug and Play viedkartes
• Personas identifikācijas verifikācija (PIV), Nacionālā standartu un tehnoloģiju institūta (NIST) standarts
• Kerberos viedkartes pieteikšanās atbalsts.
• BitLocker diska šifrēšana
• Dokumenti un e-pasts
• Izmantojiet ar biznesa lietojumprogrammām.

Biometrija.

Biometrija ir arvien populārāka tehnoloģija, kas nodrošina ērtu piekļuvi sistēmām, pakalpojumiem un resursiem. Biometrija izmanto viņa nemainīgo fizisko īpašību mērījumus, lai unikāli identificētu personu. Viens no visbiežāk izmantotajiem biometriskajiem raksturlielumiem ir pirkstu nospiedumi.

Līdz šim sistēmai Windows nebija standarta biometrisko ierīču atbalsta. Lai atrisinātu šo problēmu, sistēma Windows 7 ievieš Windows biometrisko ietvaru (WBF). WBF nodrošina jaunu komponentu komplektu, kas atbalsta pirkstu nospiedumu noņemšanu, izmantojot biometriskās ierīces. Šīs sastāvdaļas palielina lietotāja drošību.

Windows biometriskais ietvars ļauj lietotājiem un administratoriem viegli iestatīt un pārvaldīt biometriskās ierīces lokālais dators vai domēnā.

Personības integrācija internetā.

Konta pārvaldība ir drošības stratēģija. Izmantojiet grupas politiku, lai atļautu vai liegtu autentifikāciju konkrētiem datoriem vai visiem datoriem, kurus pārvaldāt tiešsaistē.

Tiešsaistes identitātes integrāciju var kontrolēt ar grupas politiku. Politika, kas konfigurēta šādi: “Tīkla drošība: atļaut šim datoram izmantot tiešsaistes ID, kad tiek prasīta PKU2U autentifikācija”, kontrolē tiešsaistes ID spēju autentificēt šo datoru, izmantojot PKU2U protokolu. Šis politikas iestatījums neietekmē domēna kontu vai vietējo lietotāju kontu iespēju pieteikties šajā datorā.

Pētnieki konferencēs gadiem ilgi runā par to, cik vienreizējās pierakstīšanās tehnoloģijas ir nedrošas. Šādu vienotas autentifikācijas sistēmu visam uzreiz ir izmantojusi Microsoft jau ilgu laiku un speciālisti informācijas drošība 1997. gadā viņi teica, ka tā nav laba ideja. Kārtējo reizi vienreizējās pierakstīšanās ievainojamību kopumā un jo īpaši darba ar SMB resursiem gadījumā demonstrēja Krievijas pētnieks ValdikSS. Viņš aprakstīja metodi, kas ļauj kompromitēt upura Microsoft kontu, deanonimizēt Microsoft lietotājus un uzzināt VPN informāciju.

Faktiski, lai veiksmīgi īstenotu uzbrukumu, uzbrucējam vienkārši ir jāslēpj saite uz savu SMB resursu (tīkla resursi: faili un mapes, printeri utt.), piemēram, kā attēls un jāpiespiež upuris to atvērt. Uzbrukums darbojas visās mūsdienu operētājsistēmās, tostarp Windows 10 ar jaunākie atjauninājumi. Turklāt par šīm problēmām ar NTLM autentifikāciju tika runāts ne tikai 1997. gadā, tās tiek pieminētas regulāri. Tātad šis jautājums tika izvirzīts (PDF) pagājušajā gadā BlackHat konferencē. Diemžēl biežās pieminēšanas neko nemaina.

Vietnē Habrahabr lietotājs ValdikSS runāja par to, kā mūsdienās var izmantot šo “90. gadu kļūdu”. Pētnieks raksta:

"Tiklīdz jūs mēģināt atvērt saiti uz SMB resursu standarta pārlūkprogramma (Internet Explorer, Edge) vai jebkuru lietojumprogrammu, kas darbojas, izmantojot standarta Windows API izsaukumus vai izmanto Internet Explorer kā HTML renderēšanas dzinēju (Outlook, Windows Explorer), SMB resurss nekavējoties saņem jūsu konta informāciju, pat pirms tiek parādīts dialoglodziņš vārda un paroles ievadīšanai. Viss, kas uzbrucējam jādara, ir, piemēram, vietnes lapai jāpievieno saite uz attēlu no SMB servera vai jānosūta vēstule, kuru var vienkārši atvērt, un bums! - jūsu konta informācija ir uzbrucēja rokās.

Tā kā konta nosaukuma un paroles jaucējkods ir noplūdis mājas dators netiek uzskatīta par katastrofu, tad, kad runa ir par korporatīvo domēnu, sākas pavisam cita saruna.

“Pēc domēna vārda parasti ir viegli saprast, kurai organizācijai tas pieder. Konts, un pēc tam, ja parole ir veiksmīgi uzminēta, varat mēģināt autentificēties uzņēmuma resursos, kas pieejami no interneta (pasts, VPN).

Bet parole ne vienmēr ir jāizvēlas. Ja iepriekš zināt kādu resursu, kurā varat pieteikties, izmantojot NTLM autentifikāciju, varat reāllaikā nosūtīt starpniekservera pieprasījumus no klienta uz savu SMB serveri. attālais serveris un no servera līdz klientam, un veiksmīgi autentificējieties tajā, ”skaidro ValdikSS.

Situāciju pasliktina arī tas, ka mūsdienu Microsoft operētājsistēmās tās aktīvi veicina viena Microsoft konta izmantošanu, burtiski liekot lietotājam to izveidot. Microsoft konta lietotājiem šādi uzbrukumi var būt divtik bīstami ne tikai organizācijām, bet arī privātpersonām. Fakts ir tāds, ka uzbrukuma gadījumā dati tiks pārsūtīti uz uzbrucēja SMB serveri, kas būtībā apdraudēs upura Microsoft kontu, un daudzi pakalpojumi ir saistīti ar to (Skype, Xbox, OneDrive, Office 360, MSN, Bing , debeszils utt. Tālāk).

Pētnieks arī raksta, ka dažos gadījumos uzbrukumu var izmantot, lai iegūtu datus par upura VPN savienojuma pieteikumvārdu un paroles jaucējkodu.

Tajā pašā laikā ValdikSS aprakstīja vairākus veidus, kā izmantot problēmas ar NTLM autentifikāciju. Papildus ļoti acīmredzamajām lietām pētnieks ierosināja izmantot trūkumu, lai deanonimizētu lietotājus:

“Izmantošana anonimizācijas nolūkā ir interesantāka. Konts tiks nosūtīts no vietnes lapām, ja cietušais izmanto pārlūkprogrammu Internet Explorer, vai, noklikšķinot uz vēstules, Outlook gadījumā. Gandrīz visas tīmekļa saskarnes pasta pakalpojumi tie filtrē attēlus ar shēmu file://, izvadot burtu (shēma file:// ir analoga \\ shēmai), bet ne Yandex, kas to neuzskata par savu ievainojamību (kas kopumā ir pareiza) . Deanonimizācija, izmantojot pastu, ir bīstamāka, jo... nodrošina savienojumu ne tikai starp IP adresi un Windows kontu, bet arī ar pastu.

Chrome file:// shēma arī darbojas, bet tikai no adreses josla. Jūs nevarēsit lejupielādēt neko, izmantojot SMB attēlu vai noklikšķinot uz saites. Tā kā pārlūks Chrome ir daudz populārāks nekā Internet Explorer, būs jāizmanto sociālā inženierija.

Jūs varat nozagt kontus savā labā. Daži VPN pakalpojumu sniedzēji gan konta pieteikšanās, gan VPN autentifikācijai izmanto vienus un tos pašus pieteikumvārdus un paroles. To, vai konts pieder konkrētam pakalpojumam, var noteikt pēc lietotāja ienākošā savienojuma IP adreses. Un, ja jums ir Microsoft konts un atradāt paroli no hash, tad apsveicam — jums ir piekļuve failiem OneDrive mākonis, Outlook pasts, Skype konts, ja tas ir saistīts ar Microsoft kontu, un daudzas citas lietas.

Noslēgumā ValdikSS raksta, ka jūs varat pasargāt sevi no šādiem uzbrukumiem, piemēram, ierobežojot piekļuvi TCP portam 445 visiem adrešu diapazoniem, izņemot:

• 192.168.0.0/16
• 169.254.0.0/16
• 172.16.0.0/12
• 10.0.0.0/8
• fd00::/8
• fe80::/10

Arī raksta komentāros lietotāji ieteica šādu metodi:

Windows reģistra redaktora versija 5.00

"RestrictReceivingNTLMTraffic"=dword:00000002
"RestrictSendingNTLMTraffic"=dword:00000002

Turklāt pētnieks ir izveidojis īpašu lapu, kas ļauj pārbaudīt jūsu sistēmas neaizsargātību pret šāda veida uzbrukumiem.