| The problem of passwords caching, on the other hand, their storage on the local drive, and concerning this the security threat, appeared in Windows for Workgroups 3.11 and still exists in 32-bit Windows. The files with "*.PWL" extensions, which were used to store the enciphered local copies of passwords used for access to the network and net resources in Windows for Workgroups 3.11, passed to the 32-bit Windows versions: 95/98/ME. |
Проблема кэширования паролей, другими словами, их сохранение на локальном диске, и связанная с ней угроза безопасности возникла в Windows for Workgroups 3.11, и продолжает существовать в 32-битных Windows. Для хранения зашифрованных локальных копий паролей для доступа в сеть и к сетевым ресурсам в Windows for Workgroups 3.11 использовались файлы с расширением "*.PWL", которые перешли в 32-битные версии Windows 95/98/ME. |
| The Microsoft realisation of DES algorithm, which enciphers the password, was compromised several times. Discussion of this is out of frames of this article, dedicated to the Windows administering there were published a lot of articles and utilities breaking the weak cryptographic defense. |
Реализация Microsoft алгоритма DES, шифрующего пароль была уже неоднократно скомпрометирована. Обсуждение этого выходит за рамки этой статьи, посвященной администрированию Windows: было опубликовано много статей и программ, взламывающих слабую криптозащиту. |
| These files are created in the folder, where the Windows was installed. This folder will be the booting one. Soon of all, this directory will be "C:\Windows" for Windows 9.X/ME. If this folder was renamed, it is possible to determine its location simultaneously with all environmental variables through typing "set" in DOS command prompt. The environmental variable "windir" reveals the sought path. The passwords are cached to the files named USERNAME.PWL, where "USERNAME" is user named given while logging on or accessing the resource. |
Эти файлы создаются в каталоге, где была установлена Windows. Этот же каталог будет загрузочным. Скорее всего, этот каталог будет: "C:\Windows" для Windows 9.X/ME. Если этот каталог переименован, то определить его местонахождение, как и состояние, всех переменных окружения можно набрав "set" в командной строке DOS. Переменная окружения "windir" и укажет искомый путь. Пароли кэшируются в файлы с именами USERNAME.PWL, где "USERNAME" имя пользователя, указанное при регистрации или доступе к ресурсу. |
| Besides, the list of files for cached passwords copies is kept in the in "System.ini" initialisation file, which is also stored in Windows boot directory. The section "[Password Lists]" is created in this file, where are stored the strings like "USERNAME =C:\WINDOWS\USERNAME.PWL", "User name=full file name with cached password". When user registers in the system, Windows check this list containing the references to the files with passwords. First eight letters of user name are taken to form the file name. If the file with such a name exits, it is overwritten. |
Кроме этого, список файлов с кэшированными копиями паролей ведется в файле инициализации "System.ini", который также хранится в каталоге запуска Windows. В этом файле создается раздел "[Password Lists]", где хранятся строки вида "USERNAME =C:\WINDOWS\USERNAME.PWL", "имя пользователя=полный путь к файлу с кэшированным паролем". Когда пользователь регистрируется в системе, то Windows проверяет этот список со ссылками на файлы с паролями. Для формирования имени файла берутся первые восемь букв из имени пользователя. Если файл с таким именем существует, то он перезаписывается. |
| Microsoft solved partially the problem of weak cryptographic algorithm released the Service Pack 1 for Windows 95 and updated version of Windows 95 OSR1 (OEM Service Release 1). The key length was enhanced from 32 bit to 128. |
Частично проблему слабого криптоалгоритма Microsoft решила с выпуском первого сервисного пакета обновлений для Windows 95 (Service Pack 1) и обновленной версии Windows 95 OSR1 (OEM Service Release 1). Длина ключа была увеличена с 32 бит до 128. |
| The Windows 9.X and ME operating system can be classified as D class of protection according to the "Orange Book". In them it is possible to stroke simply the Esc key or Cancel button in order to bypass the password dialog box, on condition that the system is not a part of domain and not demanded the obligatory verification procedure. The password in Windows 9.X/ME is necessary for the network resources access and not crucial for the boot of very operating system. On the other hand, they can be classified as systems allowing "the open and not restricted access". The protection of client machines working under Windows 9.X/ME control can not be even compared with the protection of servers. The breakers are ruled with the same "admissible hypothesis", to attack them, gaining later the access to the protected resources. |
Операционные системы Windows 9.X и ME могут быть отнесены к классу защищенности D по "оранжевой книге". В них обойти диалоговое окно ввода пароля можно простым нажатием клавиши "Esc" или кнопки "Отменить", при условии, что система не входит в домен и не затребована обязательная верификация. Пароль в Windows 9.X/ME нужен для доступа к сетевым ресурсам, но не принципиален для загрузки самой операционной системы. Другими словами к системам, "разрешающим открытый и неограниченный доступ". Защищенность клиентских машин, работающих под управлением Windows 9.X/ME, не идет, ни в какое сравнение с защищенностью серверов. Этой же "рабочей гипотезой" руководствуются взломщики, которые и атакуют их, далее получая доступ к защищенным ресурсам. |
| Microsoft offers the next system policies as one of the partial solution to this problem. |
Как одно из частичных решений этой проблемы, Microsoft предлагает использование следующие две системные политики. |
Disable Password Caching |
Запрет кэширования паролей |
| This system policy disables the network passwords caching. When it is in active state, the passwords are not cached, but user is to enter the password each time while attempting to access the password-protected resource. "By default" the policy is disabled in the system. |
Эта системная политика отменяет кэширование сетевых паролей. Когда она в активном состоянии, то пароли не кэшируются, но пользователь вынужден вводить пароль каждый раз при доступе к защищенному паролем ресурсу. "По умолчанию" политика в системе не задействована. |
| Its state is represented with the pair of Boolean values, which is stored in "DisablePwdCaching" parameter, in the "SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Network" system registry key. Although, the type DWORD is recommended for this value in MSDN, this policy will work in Windows 95/98/ME with "DisablePwdCaching" value of binary type. DWORD-value takes "1" and "0", the binary - "01 00 00 00" and "00 00 00 00". The first of pair of values stands for the active state of the policy. The missing of value in the system registry sets the policy to disabled state. |
Ее состояние представляется парой булевых значений, которая хранится в параметре "DisablePwdCaching", в ключе "SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Network" системного реестра. Хотя в документации MSDN для этого параметра рекомендован тип DWORD, в Windows 95/98/ME эта политика работает и с параметром "DisablePwdCaching" бинарного типа. DWORD-параметр принимает "1" и "0", бинарный - "01 00 00 00" и "00 00 00 00". Первое из пары значений отвечает за активное состояние политики. Отсутствие параметра в системном реестре приводит политику в неактивное состояние. |
| This key is located in HKEY_LOCAL_MACHINE hive and the range of this policy covers not the Current User, but all the system (Local Machine). When it is enabled, the "Change Windows Password" password is blocked in the "Passwords" applet in "Control Panel", showing that the passwords can not be changed. The second dialog box for the confirmation of new password is also disappeared. |
Этот ключ должен находится в разделе HKEY_LOCAL_MACHINE и действие политики распространяется не на зарегистрировавшегося Текущего Пользователя, а всю систему в целом. Когда она задействована, то блокируется кнопка "Смены паролей Windows" в приложении "Пароли" в "Панели управления", показывая, что пароли нельзя изменить. Также пропадает второе диалоговое окно для подтверждения нового пароля. |
| If the persistent connections with the password-protected resources are created, then after enabling the policy, the Quick Logon feature for the Microsoft network client can not be used effectively, when there is no automatic verification that all network connections are ready, but network connections are restored while they are required. |
Если были созданы постоянные сетевые соединения с защищенными паролями ресурсами, то после активации политики нельзя будет эффективно пользоваться опцией Quick Logon (быстрого входа в сеть) для клиента сетей Microsoft, когда происходит не автоматическое восстановление всех сетевых соединений после входа в сеть, а подключение по мере обращения к сетевым ресурсам. |
| "Disable Password Caching" does not erase the file list in "System.ini". The files with "*.PWL" are also remained and, and they must be deleted manually, if needed. |
"Запрет кэширования паролей" не обнуляет список файлов в "System.ini". Файлы с расширением "*.PWL" также остаются и, при необходимости, их придется удалять вручную. |
| The active state of this policy has an effect for the caching of passwords, which are entered in the forms of browser Internet Explorer, when the AutoComplete is enabled. The cached passwords are "lost" after the system reboot, notwithstanding the states of check boxes "Prompt me to save passwords" and "User names and passwords on forms" which control the password caching in browser. These boxes are on the "Content" page in "Personal information" in browser "Internet Options (Properties)". |
Активное состояние этой политики действует также на кэширование паролей, которые вводятся в формы в обозревателе Internet Explorer при задействованной функции Автозаполнения. Кэшированные пароли "пропадают" при перезагрузке системы независимо от состояния переключаемых окон "Запрос на сохранение пароля" и "Имен пользователей и паролей в формах", которые управляют кэшированием паролей в обозревателе. В "Свойствах обозревателя" эти окна расположены на странице "Содержание" в "Личных данных". |
Disable Domain Password Caching |
Запрет кэширования доменных паролей |
| While in active state this system policy disables the caching of the passwords for the access to domain or domain network resources. |
Эта системная политика, после приведения в активное состояние, блокирует кэширование паролей для доступа к домену или сетевым доменным ресурсам. |
| The numeric "NoDomainPwdCaching" value, located in "Network\Logon" key, in HKEY_LOCAL_MACHINE system registry hive, stands for its representation. The range of the policy covers all the system. The "1" value brings it to enabled state, "0" or absence - to disabled. "By default" the policy is not present in the system. |
За ее представление отвечает целочисленный параметр "NoDomainPwdCaching", расположенный в ключе "Network\Logon", в ветви HKEY_LOCAL_MACHINE системного реестра. Действие политики распространяется на всю систему в целом. Значение "1" приводит ее в активное состояние, "0" или отсутствие - в неактивное. "По умолчанию" политика в системе не задействована. |
Valient Newman |
