◙ Biện pháp đối phó hiện tượng leo thang NetDDE.
☻XÓA SAM TRỐNG VÀ MẬT KHẨU ADMINISTRATOR
Tính phổ biến 4 Tính đơn giản 5 Tính hiệu quả 10 Mức độ rủi ro 6
Vào ngày 25/7/1999, James J. Grace và Thomas S. V. Bartlett III công bố một tài liệu gây chú ý mô tả cách thức xoá mật khẩu Administrator nhờ khởi động một hệ điều hành thay thế và xoá file SAM (xem tại trang http://www.deepquest.pf/win32/win2k_efs.txt). Nếu cần truy nhập vật lý không qua kiểm soát và các tính năng sẵn có của các công cụ viết các mục NTFS (ví dụ, NTFSDOS Pro có tại http:// www.sysinternals.com), thì kỹ thuật này cơ bản sẽ nghiễm nhiên đi qua hệ thống an ninh cục bộ trên NT/2000.
Mặc dù kỹ thuật đã được giới thiệu này đề cập đến sự cài đặt của một bản sao thứ hai của NT hoặc 2000 cùng với một bản gốc, nhưng việc làm này không thực sự cần thiết nếu kẻ tấn công chỉ muốn phá hỏng mật khẩu chương mục của Administrator. Lúc đó SAM được xoá một cách dễ dàng.
Cách thức tấn công này có thể dẫn đến một số tác hại nghiêm trọng đến Encrypting File System (Hệ Thống File mã hoá), sẽ được giới thiệu chi tiết ở phần sau.
CHÚ Ý Những trình điều khiển miền Windows 2000 không bị ảnh hưởng khi SAM bị xoá vì chúng không lưu giữ những thông tin phân tách mật khẩu trong SAM. Tuy nhiên, những phân tích của Grace và Bartlett chỉ ra một cơ chế dành được kết quả cần thiết tương tự trên những trình điều khiển miền nhờ cài đặt một bản sao Windows 2000.
◙ Ngừng quá trình Xoá SAM Ngoại Tuyến
Như chúng ta đã biết, phương pháp duy nhất để bước đầu giảm thiểu hậu quả do cuộc tấn công kiểu này là định cấu hình cho Windows 2000 để khởi chạy trong SYSKEY ở chếđộ password hoặc ploppy. Một số cách hiệu quả khác để ngăn cản tấn công mật khẩu ngoại tuyến là giữ cho máy chủ được bảo mật vật lý, di dời hay làm vô hiệu hoá những ổ đĩa khởi động, hoặc xây dựng lại một mật khẩu trong BIOS nhập vào trước khi khởi động lại hệ thống. Chúng tôi khuyên các bạn nên sử dụng tất cả những cơ chế này.
Hệ Thống File Mã Hóa (EFS)
Một trong những trọng điểm của vấn đề bảo mật trong Windows 2000 là Hệ Thống Mã Hoá File (EFS). EFS là một hệ thống dựa trên cơ cấu khoá bảo mật chung nhằm mã hóa dữ liệu trên đĩa tại một thời điểm nhất định với mục đích ngăn chặn tin tặc tiếp cận hệ thống. Hãng Microsoft đã tung ra một bộ tài liệu cung cấp thông tin chi tiết về cơ chế hoạt động của EFS. White paper này
được giới thiệu trên địa chỉ
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encryp t.asp. EFS có thể mã hoá một file hay thư mục với một cơ chế thuật toán mã hoá, đối xứng, và nhanh chóng sử dụng một khoá mã hoá file (FEK) được tạo ra ngẫu nhiên đặc trưng cho file hay thư mục. Phiên bản EFS đầu tiên sử dụng Tiêu Chuẩn Mã Hoá Dữ Liệu Mở Rộng (DESX) như một thuật toán mã hoá. Khóa mã hoá file được tạo ra ngẫu nhiên sau đó lại tự động mã hoá với một hay nhiều khoá mã hoá dùng chung, bao gồm khoá của đối tượng sử dụng (mỗi đối tượng sử dụng Windows 2000 đều nhận được một mật khẩu dùng chung/cá nhân) và một tác nhân phục hồi mật khẩu (RA). Những giá trị đã được mã hoá được lưu dưới dạng thuộc tính của file.
Ví dụ tác nhân phục hồi mật khẩu được kích hoạt trong trường hợp người sử dụng mã hoá một số dữ liệu nhạy cảm bỏ một hệ thống hay những mật khẩu mã hoá của họ bị mất. Để tránh trường hợp mất dữ liệu đã mã hoá không thể phục hồi được, Windows 2000 tạo ra một tác nhân phục hồi dữ liệu cho EFS—EFS sẽ không hoạt động nếu không có một tác nhân phục hồi. Một tác nhân phục hồi có thể mã hoá nội dung file đó mà không cần mật khẩu cá nhân của đối tượng sử dụng vì FEK độc lập hoàn toàn với mật khẩu dùng chung hay cá nhân của đối tượng sử dụng. Tác nhân phục hồi dữ liệu mặc định cho một hệ thống là chương mục administrator cục bộ.
Mặc dù EFS có thể rất hữu hiệu trong nhiều trường hợp, nhưng nó không phát huy tác dụng nếu làm việc với những đối tượng sử dụng ở cùng một Workstation nhằm bảo vệ file. Đó chính là tính năng hoạt động của danh sách điều khiển truy cập (ACL) hệ thống file NTFS. Microsoft đã đặt EFS vào một vị trí như một tầng bảo vệ chống lại những cuộc tấn công ở những vị trí NTFS bị hỏng. Ví dụ, bằng cách khởi động những HệĐiều Hành thay thế và sử dụng những công cụ thuộc nhóm ba để truy cập vào ổ đĩa cứng, hay những file lưu trong máy chủ từ xa. Thực ra, bộ tài liệu của Microsoft về EFS tập trung vào chủ đề “EFS có thể giải quyết những vấn đề bảo mật dựa trên các công cụ có trên các hệ điều hành khác. Những hệ điều hành này cho phép đối tượng sử dụng truy cập vật lý các file từ một mục NTFS mà không cần có sự kiểm tra truy cập”. Chúng ta sẽ tìm hiểu rõ vấn đề này ở phần sau.