Biện Pháp Đối Phó Isadump

Một phần của tài liệu Đột nhập windows 2000 (Trang 46 - 49)

Hãng Microsoft không coi đây là một lỗ hổng an ninh vì muốn chạy Isadump2 cần phải có SeDebugPrivilege, mà SeDebugPrivilege chỉ được gửi đến Administrator thông qua một chế độ mặc định. Cách tốt nhất để chống lại Isadump2 là bảo vệ các chương mục của Administrator khỏi bị tổn thương ngay từ đầu. Tuy nhiên, nếu trường hợp xấu nhất xảy ra và Administrator bị mất, thì các chương mục dịch vụ từ các miền ngoại trú vẫn có thể bị lấy cắp nhờ sử dụng công cụ Isadump2, và khi đó bạn không thể làm gì được.

Một trong những thay đổi cơ bản đối với cẩu trúc miền NT4 trong Windows 2000 là bước chuyển từ hình thức sao master đơn và mô hình trust sang hình thức multimaster. Trong cẩu trúc Windows 2000, tất cả các miền đều sao chép Active Directory dùng chung và uỷ thác lẫn nhau bằng trust chuyển tiếp hai chiều nhờ chạy Kerberos. (Trust giữa các forest hay với miền NT4 vẫn là một chiều) . Đây chính là một giải pháp tốt cho thiết kế cấu trúc liên kết miền.

Khả năng đầu tiên của hầu hết các Administrator miền là tạo ra những forest tách rời cho ngoại vi bảo mật trong hệ thống. Điều này hoàn toàn sai – điểm mấu chốt của AD là hợp nhất các miền thành một lược đồ quản lý thống nhất. Hàng loạt sự kiểm soát truy suất có thể được duy trì qua các đối tượng trong forest – nhỏ đến độ sẽ làm các Administrator bối rối do một loạt các thiết lập phép mà hãng Microsoft đặt ra. Những mục Directory (Organizational Unít [OUs] ) và tính năng delegation (ủy quyên)mới sẽ có ảnh hưởng lớn về mặt này.

Tuy nhiên, với mô hình mới này, các thành viên thuộc Universal Groups (ví dụ: doanh nghiệp), và ở cấp độ thấp hơn, Domain Global Groups (ví dụ: Admin miền) sẽ có thể tiếp cận tất cả các miền trong forest. Vì vậy, một chương mục bị tổn thương trong nhóm ngoại vi này sẽ có thể ảnh hưởng sang các miền khác trong một forest. Do vậy, chúng tôi khuyến cáo các bạn nên đặt những đối tượng lớn hơn (đối tượng này phải không phải hoàn toàn đáng tin cậy [ví dụ , một cấu trúc tương đương] hay không bị tổn thương do những tác động ngoại cảnh [ví dụ: Một trung tâm lưu trữ dữ liệu mạng]) trong forest, hoặc bạn nên thao tác hoàn toàn như những máy chủđộc lập.

Ngoài ra, với trust chuyển tiếp hai chiều, nhóm Authenticated Users sẽ đảm nhiệm tổng thể phạm vi mới. Trong những công ty lớn, cần phải xem đây là một nhóm không đáng tin cậy.

LẤP RÃNH GHI

Những kỹ thuật và công cụ cũ dùng để che giấu những rãnh ghi vẫn hoạt động tốt (hầu như đối với tất cả các phần) trong Windows 2000. Song những kỹ thuật và công cụ này vẫn còn có những điểm không tương đồng được chỉ ra sau đây.

Vô Hiệu Hoá Tính năng kiểm tra

Tính năng kiểm tra có thể hoạt động dựa trên Chính Sách An Ninh Cục Bộ (secpol.msc) tại \Local Policy\Audit Policy, hay công cụ Group Policy (gpedit.msc) tại \Computer Configuration\Windows Settings\Security Settings\Local Policy\Audit Policy. Chúng ta sẽ tiếp tục tìm hiểu Group Policy ở cuối chương này. Thiết lập kiểm tra vẫn được giữ nguyên như trong NT4.

Trong Windows 2000 không có bản ghi tập trung – tất cả các bản ghi sẽ được lưu trữ trong hệ thống cục bộ, đây chính là một điểm rắc rối so với

syslog của UNIX. Và tất nhiên Windows 2000 từ chối lưu các địa chỉ Internet kết nối từ xa cho các sự kiện như đăng nhập thất bại. Nhưng dường như một số mục vẫn không hề thay đổi.

Ngoài giao diện cấu hình kiểm toán Group Policy, tiện ích auditpol từ NTRK vẫn hoạt động chính xác như đã tìm hiểu kỹ trong Chương 5. Tiện ích auditpol có thể kích hoạt hay vô hiệu hoá việc kiểm toán. Không ai có thể dự đoán được tương lai sẽ ra sao nếu không có NTRK?

Xoá Bản Ghi Sự kiện

Tất nhiên chúng ta vẫn có thể xoá được Bản ghi sự việc trong (Event Log) Windows 2000, nhưng những bản ghi vẫn bị truy xuất thông qua một giao diện mới. Hàng loạt Event Log vẫn được lưu trong hệ thống quản lý máy tính MMC tại \System tools\Event Viewer. Bên cạnh đó ba bảng ghi mới được hiện hữu là: Directory Service, DNS server, và File Replication Service. Nhấp chuột phải vào bất kỳ một bản ghi nào sẽ cho ra trình đơn chứa một mục nhập Clear All Events.

Tiện ích elsave trong chương 5 sẽ thực hiện xóa tất cả các bản ghi từ xa (kể cả những bản mới nhất). Trong ví dụ sau đây, cú pháp lệnh sử dụng elsave để xoá bản ghi File Replication Service trong máy chủ “joel”. (Cần có những đặc quyền chính xác trong hệ thống từ xa này).

C:\>elsave –s \\joel -1 “File Repllication Service” -C

Một thủ thuật khác để chạy như Administrator trong một máy chủ bị tổn thương là khởi động một câu lệnh dưới hình thức chương mục SYSTEM. Thủ thuật này có thể dễ dàng thực hiện được nhờ sử dụng chương trình lập biểu AT. Khi trình tiện ích đó đã được bật lên, mở Event Log MMC (compmgmt.msc) và xoá những bản ghi này. Mặc dù một mục nhập vẫn chỉ ra những bản ghi này đã bị xoá, song chương mục của đối tượng sử dụng có chức năng xoá những bản ghi này sẽđược chỉ ra như SYSTEM.

n file

Một thao tác quan trọng ngay sau khi đột nhập thành công sẽ xoá sạch dấu vết đột nhập tinh vi của kẻ tấn công. Chúng ta tìm hiểu hai cách ẩn file Chương 5: lệnh attrib và chuỗi tệp tin.

Attrib

Attrib sẽ ẩn file, nhưng những file này vẫn hiển thị khi dùng lệnh Show All Files áp dụng cho các thư mục.

Một phần của tài liệu Đột nhập windows 2000 (Trang 46 - 49)

Tải bản đầy đủ (PDF)

(65 trang)