Отключить перечисление SID

Один из приемов для хакеров при обзоре или «отпечатке» потенциальной целевой системы состоит в том, чтобы получить доступ для перечисления или «перечисления» SID (идентификаторов безопасности) в системе.

Используя бесплатные инструменты, злоумышленник может получить SID известного пользователя в домене и использовать эту информацию для атаки на учетную запись администратора. Последняя часть SID известна как RID (относительный идентификатор) и предопределена для определенных учетных записей, таких как учетные записи администратора и гостя.

Как только SID для любой учетной записи или системы в домене обнаружен, злоумышленник может заменить RID на учетную запись администратора и использовать другие свободно доступные инструменты для работы в обратном направлении и узнать, каково имя учетной записи пользователя администратора.

Все эти копания довольно утомительны, и у хакеров-любителей или новичков может не хватить знаний или терпения для успешного перечисления учетных записей в вашей системе. Но чтобы защитить свой компьютер или сеть даже от самых преданных злоумышленников, вы можете отключить возможность перечисления SID. Следуй этим шагам:

1. Нажмите «Пуск», «Администрирование», «Локальная политика безопасности» (также можно ввести в командной строке или с помощью «Пуск», «Выполнить»).
   
2. Нажмите + рядом с локальными политиками.
   
3. Нажмите «Параметры безопасности».
   
4. В системах Windows 2000 дважды щелкните Дополнительные ограничения для анонимных подключений в области сведений и выберите Не разрешать перечисление учетных записей SAM и общих ресурсов в раскрывающемся списке Параметры локальной политики
   
5. В системах Windows Server 2003 и Windows XP выберите Доступ к сети: разрешить трансляцию анонимного SID/имени в области сведений и убедитесь, что политика отключена.
   
6. Нажмите OK и закройте консоль.

Вы также можете применить политику к домену, а не к одному отдельному компьютеру, выполнив следующие действия:

1. Откройте экран консоли «Пользователи и компьютеры Active Directory».
   
2. Щелкните домен правой кнопкой мыши и выберите «Свойства».
   
3. Перейдите на вкладку «Групповая политика».
   
4. Щелкните политику домена по умолчанию и выберите «Изменить».
   
5. Перейдите через панель консоли к Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, Параметры безопасности.
   
6. В домене Windows 2000 дважды щелкните Дополнительные ограничения для анонимных подключений. Нажмите « Определить эту политику ». В раскрывающемся списке выберите Не разрешать перечисление учетных записей и общих ресурсов SAM.
   
7. В домене Windows Server 2003 дважды щелкните Доступ к сети: разрешить анонимный перевод SID/имени и убедитесь, что политика отключена.
   
8. Нажмите OK и закройте консоль.

Тони Брэдли — консультант и писатель, специализирующийся на сетевой безопасности, антивирусах и реагировании на инциденты. Он является гидом About.com по безопасности в Интернете / сети (http://netsecurity.about.com), предоставляя широкий спектр советов, советов, обзоров и информации по информационной безопасности. Тони также часто публикуется в других отраслевых изданиях. Полный список его внештатных работ можно найти на сайте Essential Computer Security (http://www.tonybradley.com).