Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Авторский раздел Андрея Матвеева
Правительство США приняло новые правила экспорта программных продуктов и разрешило поставки Windows 2000 со 128-битным ключом шифрования за пределы страны. Прежние правила не позволяли экспортировать за пределы США средства шифрования информации с длиной ключа более 56 бит. Теперь пользователям новой ОС, которые нуждаются в усиленном шифровании информации, не понадобится приобретать дополнительное ПО. По российским законам запрещена продажа любого импортного ПО, содержащего алгоритмы шифрования, даже если они имеют минимальную длину ключа. Представители Федерального агентства правительственной связи и информации, которое регулирует использование, ввоз и распространение на территории России средств, предназначенных для криптографической защиты информации, придерживаются следующего мнения. Если строго следовать законам, Windows 2000 не может продаваться в России до тех пор, пока любые функции шифрования не будут исключены из системы. Системы шифрования настолько серьезно интегрированы в ядро Windows 2000, что произвести такие серьезные изменения в системе невозможно, даже если бы этому способствовали коммерческие перспективы. Официальные представители Microsoft в России заявили, что компания ни в коем случае не будет нарушать действующее законодательство и в то же время заверили, что новая система будет продаваться в России. Пути выхода из сложившейся ситуации представители Microsoft не сообщили, но очевидно, что у наших чиновников просто не поднимется рука запретить продажи такого популярного продукта. Дальнейшее развитие событий подтвердило это, и ФАПСИ не собирается препятствовать началу продаж Windows 2000 в России.
Для того, чтобы злоумышленник не получил расширенную информацию о домене и список пользователей, необходимо запретить возможность неавторизованных соединений (null session). Такая возможность появилась начиная с пакета обновления Service Pack 3 и включается установкой ключа HKEY_
LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Restrict
Anonymous типа DWORD в 1, после чего необходимо перезагрузить компьютер. Не так давно появилась утилита dom2sid, которую написал Pascal Longpre.
Используя ее совместно с утилитой sid2user все-таки возможно узнать имена всех пользователей домена. Dom2sid возвращает идентификатор безопасности домена, на основе которого и формируются уникальные идентификаторы пользователей. Эта утилита использует функцию LsaQueryInformationPolicy, доступ к которой должен быть ограничен, но на практике она оказывается доступной неавторизованным пользователям. Для того чтобы воспользоваться этой утилитой, Вам не потребуется доступ к контроллеру домена или учетная запись. Зная идентификатор безопасности учетной записи, с помощью sid2user можно узнать имя пользователя. Известно, что идентификатор учетной записи Administrator равен 500, Guest - 501, а идентификаторы обычных пользователей и групп начинаются с 1000. Путем перебора нетрудно узнать существующие имена пользователей. На рисунке Вы можете увидеть пример использования этих утилит в паре. Windows 2000 не подвержена данной атаке, и в новой системе появилась возможность полностью отключить неавторизованные соединения. Это делается при помощи установки вышеупомянутого параметра RestrictAnonymous в 2 и перезагрузки компьютера. Данные изменения не подходят для контроллеров домена в мультидоменной информационной системе, но прекрасно работают на самостоятельных серверах и рабочих станциях. Утилиты доступны по адресам www.securityfocus.com/data/tools/dom2sid.zip и www.securityfocus.com/data/tools/auditing/host/sid.zip
Обнаружена проблема с ODBC в Internet Information Server 4.0, позволяющая получить доступ к любой MDB БД, находящейся на удаленном сервере. Для этого используется запрос вида ⌠select field1, field2 from MY_DB where field1=21 union selectaddress, path from \mydb\slaes.report.mdb.scanner■. Первая часть запроса до union вполне корректна, а вот вторая позволяет обратиться к любому файлу. Таким образом можно получить данные из любой БД, находящейся на удаленном сервере. Кроме того, с помощью такого же запроса можно проверить существование некоторых файлов. Это позволяет узнать установлены на сервере определенные программы или скрипты и осуществить соответствующую атаку, если они подвержены уязвимостям. Проблема была обнаружена пользователями из Испании, а ее решением может быть правильная установка разрешений на файлы, содержащие Ваши БД. Следует убедиться в том, что пользователь IUSR_Server не имеет доступа к критическим файлам.
Обнаружена серьезная уязвимость всех Web-серверов на базе Internet Information Server. Как оказалось, используя комбинацию ⌠/../..■, легко можно выйти за пределы виртуальной корневой директории. Эта ошибка в ISAPI фильтре WebHits позволяет злоумышленнику получить любой файл с диска сервера. Даже если на Вашем сервере нет HTW-файлов, данная уязвимость все равно проявляется из-за некоторых особенностей этой ошибки, которая была обнаружена Дэвидом Личфилдом из компании Cerberus Information Security. Кроме того, при запросе несуществующего .IDQ или .IDA файла выводится сообщение об ошибке, которое содержит еще и физический путь к директории, в которой находится запрашиваемый файл. Обе ошибки позволяют эффективно атаковать Web-сервер. Временным решением может быть отключение HTW-файлов от WebHits. Данной атаке подвержена также Windows 2000, что никак не входило в планы Microsoft. Выпущенные исправления она представляет как заплатки для Microsoft Index Server, который запускается, даже если он не используется. Менеджер по средствам защиты Microsoft Скотт Калп в очередной раз рекомендовал пользователям останавливать неиспользуемые сервисы. В новой системе значительно упрощен выбор конфигурации и устанавливаются более строгие параметры по умолчанию. К сожалению уязвимость была обнаружена слишком поздно и на дистрибутивных дисках находится копия системы, подверженная данной уязвимости. Исправление для Windows NT доступно на http://download.microsoft.com/download/winntsp/Patch/MHH/NT4/EN-US/Q251170i.EXE , а для Windows 2000 на http://download.microsoft.com/download/win2000pro/Patch/MHH/NT5/EN-US/Q251170_W2K_SP1_X86_en.EXE
Многие используют хранитель экрана с паролем, дабы предотвратить доступ к компьютеру нежелательных пользователей в свое отсутствие. Здесь существует одна интересная особенность. Если сразу же после того, как хранитель экрана запустился что-нибудь нажать на клавиатуре или пошевелить мышкой, экран восстановится не спрашивая пароль. Многих нетерпеливых пользователей удивило такое поведение системы и они стали искать ответа на свой вопрос. Как оказалось, все просто. Предусмотрена задержка до того, как хранитель экрана защитит доступ к компьютеру паролем. Она настраивается ключом HKEY_LOCAL_MACHINE\
Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\
ScreenSaverGracePeriod типа REG_SZ и по умолчанию равна 5 секундам. Вы можете установить ее в 0, тогда хранитель экрана будет закрывать доступ паролем немедленно.
Открылся сайт Windows 2000 Solutions Center, посвященный новой ОС. Он разработан ZDNet совместно с Microsoft и носит рекламный характер. Новый сайт привлечет внимание корпоративных покупателей, разработчиков программных продуктов для Windows 2000 и просто энтузиастов. Его спонсорами стали многие известные компании, такие как Compaq, Seagate и American Power Conversion. Кроме обзоров, новостей и полезных ссылок там можно найти некоторые интересные файлы. Например, пакет заставок от Windows 2000 порадует прогрессивных пользователей. Желающие приобрести ПО или аппаратуру, найдут там полезную информацию о необходимых им продуктах.
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей