Пароль "Рыба-меч". Аудит паролей в Windows Vista

Пароли, которые забывают пользователи или которые не обеспечивают должного уровня защиты, давно стали головной болью системных администраторов всех уровней. Частые обращения в службу технической поддержки по поводу восстановления или сброса учетной записи приводят не только в бешенство соответствующих должностных лиц, но и приводят также к убыткам (из-за простоя работы). Другой вариант: из-за кражи в ходе атаки или создания слишком легкого для взлома пароля злоумышленник получает доступ к компьютеру. И те, и другие случаи требуют особого внимания и входят в комплекс мероприятий, обязательных для выполнения системным администратором. Безусловно, есть такие профессионалы своего дела, которые могут выполнять все эти задачи быстро и оперативно штатными средствами операционной системы, но нашей задачей является автоматизация рутинных процессов восстановления паролей, а также проверки их качества. С этой целью мы прибегнем к помощи приложений Elcomsoft System Recovery, Proactive Password Auditor и Proactive System Password Recovery.

Elcomsoft System Recovery уверенно находит все нужные учетные записи

Elcomsoft System Recovery представляет собой инструмент для сброса и восстановления паролей от учетных записей пользователей в операционных системах Windows NT 4.0, Windows 2000, Windows XP, Windows 2003 Server, Windows Vista и Windows 2008 Server. Исполняемые файлы программы записываются на загрузочный носитель (CD или USB-флешку), после чего пользователь может загрузить само приложение для восстановления. В отличие от немногочисленных конкурирующих решений (в основном построенных на базе open source LiveCD для Linux) в решении от Elcomsoft обеспечен максимальный уровень совместимости (поддерживаются SATA-, SCSI- и RAID-контроллеры, что часто невозможно в случае с Linux из-за отсутствия официальных драйверов), а также сама оболочка имеет удобный графический интерфейс (а не командную строку, как в большинстве остальных решений). С помощью Elcomsoft System Recovery пользователь может сканировать все учетные записи на компьютере, выгружая хеши паролей как из локального реестра, так и из Active Directory, поднимать привилегии любому пользователю, разблокировать любой аккаунт, включая тот, срок действия пароля от которого истек. Еще одно важное отличие – поддержка всех локализованных версий Microsoft Windows, а также паролей, состоящих из non-Unicode-символов. Ограничения работы приложения кроются в том, что редактирование учетных записей администраторского аккаунта, а также сроков действия паролей возможно только на локальном компьютере, а не в ActiveDirectory (для последней как раз и существует функция экспорта хешей для последующего анализа).

Пользователь Elcomsoft System Recovery получает возможность полного управления найденными учетными записями

Если же проблема получения и восстановления паролей стоит более остро, чем в только что описанном случае, то для таких целей подходит программное решение Proactive System Password Recovery. Оно создано для управления пользовательскими паролями на вход в систему и в домен, в виртуальную беспроводную сеть (WEP и WPA-PSK), к ресурсам в общем доступе, к RAS, к VPN, к удаленному рабочему столу, к модемному доступу, а также для получения паролей из .NET Passport, Windows Protected Storage (в котором хранятся пароли и строки для автоматического заполнения форм для Internet Explorer, Outlook и Outlook Express), LSA Secrets, файлов PWL, системного реестра (веток SAM и SYSTEM), отображения хешей предыдущих паролей, ключей установки Microsoft Windows и Office, а также данных, хранимых на дисках сброса паролей. В качестве инструментов используются сложные механизмы анализа соответствующих мест в операционной системе, атаки перебором, по маске и по словарю, поскольку большую часть паролей можно получить сразу же, проанализировав кеш и системные файлы. Кроме того, в Proactive System Password Recovery работает анализатор уже найденных паролей – они добавляются в специальную базу, по которой программа вычисляет возможность использования тех или иных комбинаций в последующих сохраненных данных.

Proactive System Password Recovery позволяет собрать пароли почти со всей системы

Интерфейс программы выполнен в виде небольшого окна, в котором слева отображаются категории инструментов ("Главное меню", "Доп.меню", "Открывалки" (в английской версии - Reveleation), "Разное"). Пользователь может легко копировать найденную информацию, сохранять ее в виде текстовых файлов или выводить на печать. В Proactive System Password Recovery также есть возможность запуска приложения с правами разных учетных записей. Приложение совместимо с большинством выпусков операционных систем семейства Microsoft Windows (от Windows 95 до Windows Vista).

Если с восстановлением паролей все более-менее становится ясно, то для аудита безопасности (проверки устойчивости сети к взлому и качества созданных пользователями паролей) можно использовать Proactive Password Auditor. Приложение разработано для нахождения в ЛВС небезопасных учетных данных пользователей, позволяет сымитировать атаку на корпоративную сеть путем полного перебора, атаки по словарю или по маске либо продвинутой Rainbow-атаки (с использованием заранее подготовленных наборов хешей паролей), а также восстановить утраченные учетные записи входа в Windows. Proactive Password Auditor работает с Windows NT4, 2000, XP, Vista, Windows Server 2003 и Windows Server 2008.

Proactive Password Auditor может проверить ЛВС на устойчивость к взлому

Для работы в Proactive Password Auditor системному администратору потребуется указать способы получения хешей паролей на выбор: дамп паролей (файлы типа PWDUMP, доставшиеся от работы Elcomsoft System Recovery), реестр (ветки SAM и System), в том числе удаленного компьютера, а также памяти локального компьютера или компьютера в ЛВС (контроллеров домена, включая и те, на которых работает Active Directory). "Доломать" пароль можно с помощью вышеописанных техник с богатым количеством настроек (длина пароля, маски используемых и неиспользуемых в нем символов). Вся активность, естественно, протоколируется и сохраняется автоматически в виде проектов (для дальнейшего использования и анализа). Также можно выставить приоритет процессу перебора паролей – от высокого до низкого. Для особо крупных сетей или в условиях ограниченного времени на взлом пароля можно использовать другой продукт этого же разработчика, а именно, Elcomsoft Distributed Password Recovery. В нем используется принцип работы распределенных вычислений, когда используются мощности каждого компьютера (видеокарты) в ЛВС для ускорения расчетов (по данным производителя – до 50 раз).

Все рассмотренные в обзоре продукты имеют многоязычный интерфейс (русский, английский, немецкий), а файлы помощи существуют только на английском языке. Тем не менее сложностей в использовании программ не возникает, в Proactive Password Auditor даже есть полезные советы системным администраторам при загрузке приложения.

Elcomsoft System Recovery поставляется в трех редакциях: Basic, Standard и Professional. Разница между ними состоит в наборе опций: в базовой версии недоступна работа с серверами на Windows NT/2000/2003/2008, отсутствуют многоязычный интерфейс и режим определения учетных записей вручную через реестр, нет возможности создавать USB-флешку для сброса пароля, отключены опции по управлению паролями от других учетных записей, в том числе на домене и в Active Directory, включая создание дампов и просмотр хешей/SAM. Стандартная версия не имеет ограничений по серверным операционным системам, позволяет создавать флешки для сброса паролей, вручную указывать ветки реестра для поиска аккаунтов, управлять паролями для других пользователей, но только на локальной машине. Соответственно, профессиональная редакция Elcomsoft System Recovery лишена всех ограничений.

Proactive System Password Recovery лицензируется или как Home License, или как Business License (разница между ними только в целях использования). Демонстрационная версия ограничена в функциональности – она позволяет восстанавливать пароли длиной не более четырех символов.

Proactive Password Auditor лицензируется по количеству учетных записей, на выбор предоставляются лицензии на 20, 100, 500, 2500 и более 2500 аккаунтов. Демонстрационная версия приложения работает только 60 дней и позволяет проверять одновременно только 10 учетных записей пользователей.