Современные компьютерные
технологии кроме полезности, удобства и прочих преимуществ имеют так же
и опасность в виде вирусов, троянов, шпионов, сетевых атак, кривых рук
пользлователей и т.д. Существуют различные решения для устранения даных
проблем. Это-установка антивирусов, антиспаев, фаерволов, чистилок
реестра и прочих программ по обслуживанию системы. Конечно же самое
безопасное-отключить интернетовский кабель, CD и флоппи приводы и
развлекаться в одиночку. Без набора вышеупомянтутых программ никак не
обойтись-эта истина известна всем. Но ни один антивирус с антиспаем и
фаерволом не даст вам 100% гарантии защиты и надежности, если не
применять систему безопасности, которая основана на технологии NT. Как
правило сервера оснащаются всевозможными системами защиты, но и рабочие
станции не хуже и тоже имеют право быть надежными.
Суть системы безопасности заключается в следующем:- разграниечение праав пользователей;
- установка только необходимого и доказанного ПО;
- настройка параметров безопасности.
Перед
установкой ОС-операционной системы (за ОС возьмем Windows XP Pro)
необходимо четко спланировать стратегию установки системы:- опеределение задач, которые будут выполняться на системе;
- разбиение жестких дисков на разделы;
- составления
списка программ, которые будут устанавливаться в системе. Вы должны
будете сами себе доказать необходимость установки той или иной
программы, т.к. программы могут в себе таить опасность и излишний
перебор программ лишь подорвет стабильность системы в целом;
- Какие политики безопасности будем применять.
Начнем с первого пункта-разбиение жестких дисков на разделы или использование индивидуальных жетских дисков для каждого раздела. Нам потребуется:
1)системный раздел размером 12-20ГБ (не более)
2)пользовательский раздел для хранения личных документов и прочих временных папок.
3)файловый архив располагаете как угодно
Поцесс установки вам известен, тут останавливаться не будем, за исключением нескольких моментов:
1)Все разделы надо отформатировать в систему NTFS или переконвертировать командой
convert метка тома: /fs:NTFS /x
2)При установке сетевой кабель/модем должны быть отключены.
3)При установке системы выбираем пароль администратора посложнее, чтобы его было труднее подобрать путем прямого перебора.
Когда установка завершена мы видим наш десктоп и первый вход в систему происходит под именем Administrator. Первым делом делаем следующие шаги:
Обновление системы
1)Включаем встроенный брандмауэр и на сайте http://windowupdate.microsoft.com
получаем все необходимые обновления для системы, после чего придется перезагрузить систему;
Создаем и администрируем пользователей
2)Учим
систему различать пользователей, чтобы она понимала кто и зачем к ней
обращается и какие права доступа у каждого пользователя:
Start -> Run... -> compmgmt.msc запускаем консоль управления компьютером Computer Management и в ней ищем раздел Local Users And Groups, раскрываем его и открываем раздел Users. В этом разделе в свободном месте нажимаем правой кнопкой и выбираем New User....
Здесь
мы создаем ровно столько пользователей, сколько людей будет работать на
ней. Имена задаем произвольно, главное, чтобы они были интуитивно
понятны. И для себя создаем отдельный аккаунт, т.к. под администратором
вы, как правило, работать не будете. Когда наши пользователи готовы, то
можно на всякий случай проверить принадлежность пользователей к группе Users, а не к группе Administrators. Для этого двойным щелчком на каждом созданном пользователе вызываем свойства пользователя и переходимна закладку Member Of и вы должны увидеть примерно следующее:
В данном случае я вызвал проверку членства в группах для пользователя Test.
Везде должна быть только группа Users все остальные группы удаляем кнопкой Remove.
Вы
можете задать вопрос, а почему же группа Users? Я же владелец моей
системы и хочу полностью владеть своей системой. Да, это желание вполне
оправдланно собственными амбициями, но никак не оправдано
действительностью. Увы, но хоть вы и владелец собственной системы, но
вы можете отвечать лишь за то, что запускается в системе только с
вашего ведома. А как же быть с процессами, что запускаются в системе
без вашего ведома? Вы не можете это контроллировать самостоятельно,
поэтому возложим эту хадачу на систему безопасности NT. Скажу
откровенно, что простым ограничением прав пользвователя вы делаете
бесполезными порядка 98-99% всех вирусов, троянов и прочего мусора. Я
не буду приводить конкретные факты действия вирусов, а просто скажу,
что большинство вирусов наносят вред системным файлам (подмена,
изменение, запись новых и т.д.). А права Users исключают это автоматически за счет того, что группе Users запрещено:- запись в корень системного диска;
- запись в папку и подпапки Program Files;
- запись в папку и подпапки Windows.
А
если мы не можем сделать запись в папку Windows или Program Files, то
мы не можем менять системные файлы. Но вирусы запускаются под правами
того пользователя, который их запустил и при включении пользователя в
группу Users вирусы будут иметь те же права, что и пользователь
и просто не будут иметь прав на изменение системных и програмных файлов
и их деятельность просто обломится по всем статьям и не сможет чисто
физически нанести сколько либо реального ущерба Вам. Необходимо понять
этот момент и вы тут же поймете всю прелесть ограниченных прав. А
теперь продолжим.
Можно для разнообразия встроенный аккаунт
администратора переименовать в какой-нибудь другой (нажимаем правой
кнопкой на аккаунт Administrator и выбираем Rename). На первом рисунке встроенный админский аккаунт переименован в #Root. Когда аккаунт админа переименован создаем еще один аккаунт с именем Administrator, задаем ему стойкий пароль, и выбираем свойства аккаунта. В закладке Member Of удаляем User и добавляем гостевую группу Guests,
 
далее не закрывая окна свойств на закладке General выставляем чек-бокс напротив Account is disabled. Этим самым мы создадим головоломку для хакеров, которые будут пробовать взломать аккаунт администратора.
Здесь
мы показали системе, что у нас есть один администраторский аккаунт и
есть простые пользовательские аккаунты, у которых права доступа
ограниченны и они могут не все делать на системе. Если вы думаете, что
группа Users ничего не может делать в системе, то могу вас заверить,
что это не так. Группа Users не может делать изменения на уровне
системы, зато на уровне пользователя-всё что угодно. Желательно каждому
аккаунту присвоить стойкий пароль, в котором сочетаются как минимум
буквы разных регистров и цифрами (желательно). Хотя мы потом применим
политику, предотвращающую взлом аккаунта путем перебора паролей, но
стойкий пароль не будет лишним.
Настройка разрешений файловой системы NTFS
3)На разделе D: (подразумевается, что система находится на диске C: ) создаем 2 папки:
Games и папку Users. В первую папку мы будем устанавливать игры (как же без них  ),
а во второй папке будут храниться личные папки и файлы пользователей. И
здесь мы уже начнем настраивать разрешения файловой системы NTFS. Для
начала сделаем видимым закладку Security (Безопасность) в свойствах
папок и файлов:
Tools -> Folder Options -> View и снимаем галочку с Use simple File Sharing. Применяем изменения и выбираем свойства папки D:\Users, переходим на закладку Security и в окне выбираем группу Users и внизу выставляем ей все галочки от Modify до Write. Галочку напротив Full Control
ставить нельзя, т.к. это даст возможность пользователям изменять
разрешения на чужие папки, поэтому только Modify. Можно убедиться, что
у администратора есть права уровня Full Control, которые дают ему права
полного управления папкой. Т.к. в этой папке у нас будут храниться
личные файлы пользователей, то в папке Users создаем подпапки для
каждого пользователя. Если вы одни работаете в системе, то создаем
папку Administrator и еще одну папку для вас. И создаем еще одну папку для общих документов _ Shared Folder.
После этого берем свойства папки Administrator в папке d:\Users\ и переходим на закладку Security. В этой закладке мы видим всех пользовательских групп в системе и участников группы безопасности:- Administrators
- Creator Owner
- system
- Users
В зависимости от вариаций, там могут быть и другие группы. Удаляем из этого списка группу Users и другие группы так, чтобы там осталось бы только это:
Примечание:
если при попытке удалить группу у вас появляется сообщение, что
невозможно удалить, поскольку разрешение унаследовано от родительского
обьекта, то нажмите кнопку Advanced и в закладке Permissions
снимите верхнюю галочку после чего появится окошко, которое спросит,
что делать с действующими разрешениями. В этом окошке нажмите Copy, чтобы скопировать разрешения.
Далее выбираем каждую папку пользователей и удаляем из закладки Security все группы, кроме групп Administrators, System, Creator Owner и добавляем кнопкой Add только того пользователя, которому она будет принадлежать и задайте ему права доступа уровня Full Control:
Здесь мы видим, что к этой папке доступ будут иметь только:- администраторы
- система
- создатель-владелец
- пользователь (в данном случае пользователь user name)
И никто больше не сможет попасть сюда, кроме вышеперечисленных пользователей/групп.
Далее,
нам нужно максимально предохранить системный том от засорения
временными файлами. Как известно, очень большое количество мелких и не
очень временных файлов создают установочные программы, архиваторы (как
WinRAR) и браузеры. Поэтому мы переместим как временные папки системы,
так и кэша браузера. Если мы используем Internet Explorer, то делаем
следующее:
1)запускаем браузер и в меню Tools выбираем Internet Options. Далее, в вкладке General находим кнопку Settings для раздела Temporary Internet Files.
В открывшемся окошке мы можем задавать размер этого кэша и его
месторасположение кнопкой Move Folder. Нажимаем на неё и в окне
проводника указываем путь:
D:\Users\%username%\Temporary Internet Files
разумеется, там такой папки сейчас нету, но вы можете легко создать её из окна проводника нажатием кнопки Create new folder. В качестве параметра %username%
используйте имя того пользователя для которого вы в данный момент
изменяете место размещения папки. Если это пользователь User, то путь
должен быть D:\Users\User\Temporary Internet Files. У меня есть пользователь Administrator и после переноса папки для него путь получился такой:
Примечание:
После проведения данной процедуры система попросит вас выйти из текущей
сессии и перезайти (перелогониться) заново. Система за вас сама выйдет
и предложит зайти снова.
Теперь займёмся переносом общесистемных временных папок. Их текущее местоположение и изменить его можно в свойствах системы:
Control Panel -> System
Переходим на вкладку Advanced и нажимаем кнопку Environment Variables. и Видим следующее окно:
Здесь
в верхнем окне у меня установлены новые пути. У вас они будут
показывать на C:\Dociments and Settings\%username%\LocalSettings\Temp.
Нажмитке кнопку Edit и в строке пути пропишите следующее:
D:\Users\%username%\Temp
В данном случае нет необходимость прописывать имя конкретного пользователя, а воспользуйтесь переменной %username%.
Система сама подставит нужное имя в переменную. После изменений вы
увидите, что в итоге переменной %username% нету, а есть имя конкретного
пользователя.
Теперь вренемся к забытой папке Games,
чтобы и для нее настроить разрешения. Т.к. в эту папку будут
устанавливать игры сами пользователи без вмешательства администратора и
пользователям будет нужен доступ на сохраниния сэйвов и настроек игры,
то в закладке Securtity мы даем группе Users права доступа уровня Full control и удаляем группу Guests. Вообще группу Guests
можно удалить из всех этих списков, т.к. она вам не нужна для работы.
На этом этапе с разрешениями пока всё. Но мы вернемся к этому вопросу
чуть ниже, когда будем разбирать Аудит.
Краткое резюме: На данном этапе мы сделали следующее:
научили
систему рапознавать пользователей, т.е. отличать администраторов от
пользователей и пользователей между собой. В данном случае вы видите
наглядное разграничение прав пользователей и работающее решение,
которое можно применять на практике. Так же мы отделили систему от
личных файлов пользователей и тем же самым распознованием пользователей
мы запретили доступ пользователям к чужим личным папкам, когда выдали
разрешение на папку user name только администратору и самому
пользователю user name. Так же мы сняли нагрузку с системного раздела
путем перемещения пользовательских временных папок, которые в процессе
работы могут активно использовать жесткий диск и снижать скорость
работы ОС, а так же, предохраняем системный раздел от лишнего и
ненужного мусора.
Когда мы настроили пользователей и настроили
разрешения для пользовательских папок, то можно приступить к установке
прикладных программ. Замечу сразу, что этот раздел будет очень важным и
серьезным и потребует от вас выдержки и терпения. Но в ответ вы
получите хорошо настроенную систему с гибким управлением. Казалось бы
что тут может быть сложным? А вроде ничего.. но это не так. Не все
программы хотят работать под правами Users из-за чего многие просто избегают работы в этой группе. Но всё решаемо и эта проблема решается тоже.
Когда
вы установили все необходимые программы, то требуется проверить их
работоспособность под ограниченными учетными записями. Возможно вам
повезет и все пргограммы будут корректно под ограниченными учетками. Но
что делать, если какая-то программа не захочет работать корректно? Как
быть? Вэтом случае нам поможет Аудит доступа к обьектам. Для
примера можно взять WinISO, который при вводе серийного номера, который
воодит администратор при устновке регистрирует ее. Но под правами Users
программа будет незарегистрированной. Есть и другие программы, которые
требуют записи в какие-то системные области диска или реестра и такие
проблемы будем решать при помощи Аудита.
Когда вы наберете
список программ, которые не хотят работать в пользовательском режиме
приступим к самой кропотливой работе. Для начала заходим в систему под
администратором и октрываем оснастку Local Security Policy
Strat –> Run.. -> secpol.msc
В ней ищем раздел Local Policy -> Audit Policy. В нем ищем элемент Audit Object Access вызываем его свойства и выставляем чек-бокс Failure.
Этим самым мы включаем политику аудита на предмет неудачных попыток
доступа к обьекту. Теперь надо указать, для какого обьекта будем делать
аудит. Есть два места доступа ресурсов: жесткий диск и реестр. Т.к. мы работаем с ограниченными правами и нам недоступны для изменения следующие папки и ветки реестра: - корневой каталог системного диска
- папка Program Files
- папка Windows
- папки учетных записей других пользователей
- ветка реестра HKEY_LOCAL_MACHINE
- ветка реестра HKEY_CLASSER_ROOT
При
запуске программы иногда хотят внести изменения в вышеупомянутые папки
и файлы. Но необходимо узнать, куда именно, чтобы открыть доступ лишь к
требуемым файлам и папкам, а также ветвям реестра, чтобы не открывать
полный доступ. Для этого необходимо включить аудит вышеупомянутых
ресурсов:
Как известно в реестре ограниченным учетным записям
запрещено писать в разделы HKCR и HKLM. Также нам известно, что
программы при установке записывают свои значения в разделы:
HKCU\Software и HKLM\Software. Мы также знаем, что в HKLM\Software у
простых пользователей прав на запись ключей и подключей нету. Значит
будем проводить аудит попыток записи в данный раздел простым юзерам. В
групповой политике мы указали, что будем контролировать только
неудачные попытки, т.к. любые попытки простому пользователю что-либо
изменить в HKLM\Software окончатся неудачей.
Значит приступаем к следующему шагу:
Открываем
редактор реестра под правами администратора, выставляем указатель на
раздел HKLM\software нажимаем правой кнопкой и выбираем раздел
Permissions (Разрешения). В открывшемся окне внизу нажимаем кнопку
Advanced и переходим на закладку Auditing. В ней нажимаем кнопку Add и
добавляем, либо пользователя, либо группу пользователей, которых мы
хотим контролировать. Когда выберем пользователя, то будет предложено
указать, какие действия мы хотим контролировать. Выставляем чек-бокс
Full Control в графе Failure. Применяем все изменения (когда будете
закрывать дополнительное окно назначения прав, то пройдет некоторое
время, пока аудит будет применен ко всей ветви ключа). Вот с этого
момента будет контролироваться каждая неудачная попытка
записи/изменения ключа реестра HKLM\software.
Перелогониваемся
обратно в ограниченную учетную запись. Выждав примерно 5 минут (в это
время лучше ничего не делать и зафиксровать время) после чего пробуем
запустить приложение. После сообщения об ошибке отменяем запуск
приложения, ждем минуту-две и снова возвращаемся в аккаунт
администратора. В аккаунте администратора выбираем:
start -> Run... -> eventvwr.msc
В
открывшемся журнале событий раскрываем раздел Security и просматриваем
все записи, которые помечены статусом как Failed. В окне события будет
указано какой юзер, какое приложение и в какое место раздела
HKLM\Software именно пыталось произвести изменение. Как правило будет 1
или 2 корневых подключа, которые относятся к приложению. Записываем на
бумажку адреса этих ключей и открываем снова редактор реестра.
Вот пример сообщения журнала безопасности:
Код Event Type: Failure Audit
Event Source: Security
Event Category: Object Access
Event ID: 560
Date: 2006.10.20.
Time: 10:09:37
User: CAMELOT\user name
Computer: CAMELOT
Description:
Object Open:
Object Server: Security
Object Type: Key
Object Name: \REGISTRY\MACHINE\SOFTWARE\Fraps2
Handle ID: -
Operation ID: {0,71726323}
Process ID: 5152
Image File Name: C:\Program Files\Fraps\fraps.exe
Primary User Name: user name
Primary Domain: CAMELOT
Primary Logon ID: (0x0,0x72708)
Client User Name: -
Client Domain: -
Client Logon ID: -
Accesses: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Query key value
Set key value
Create sub-key
Enumerate sub-keys
Notify about changes to keys
Create Link
Privileges: -
Restricted Sid Count: 0
Access Mask: 0xF003F
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Здесь
мы видим, что программа Fraps.exe обратилась к ключу реестре
HKLM\Software\Fraps2 (из раздела Object Name) с записью (это видим в
разделе Accesses, где фигурируют команды Write и Create).
В
редакторе реестра открываем корневой раздел для программы (как правило
имеет вид HKLM\Software\ProgramName, где ProgramName - название или
производитель программы) и выбираем правой кнопкой мышки Permissions. В
открывшемся окне настройки разрешений выбираем нужную группу
пользователей, или конкретного пользователя. (если его там нету в
списке, то нажимаем кнопку Add и добавляем соответствующего
пользователя/группу) и выдаем ей права Full Control только для этого
раздела ключа HKLM\Software. Этим самым мы позволяем выбранной
группе/пользователю производить запись/изменение не во всей ветке
HKLM\Software, а только к подразделу, который относится лишь к самой
программе, что не вызовет угрозы для самой системы.
Когда
выставлены разрешения Full Control на все подключи, которые использует
приложение, то снимаем аудит, т.к. это значительно тормозит систему.
Возвращаемся в HKLM\Software, выбираем Permissions -> Advanced ->
Auditing. Там кнопкой Remove удаляем пользователя/группу, которую
проверяли и там ничего остаться не должно. Перелогонившись в
ограниченную учетку можем запускать приложение и если вы дали
разрешение на запись/изменение всех ключей реестра, которые использует
приложение, то программа должна пойти без всяких проблем.
Однако, есть ситуации, когда игры/приложения используют системные библиотеки и требуют либо записи/изменений в системных фалах/папках. Как же быть? Ответ на этот вопрос тот же – Аудит.
Вновь логонимся под учетной записью администратора и создаем аудит
доступа к системным файлам (с реестром мы провели аудит и решили
проблему записей ключей). Можно просто вызвать свойства системного
раздела, перейти на закладку Security нажать на кнопку Advanced и перейти на заклдаку Auditing. Та же самая аналогия, что и в случае с реестром – фиксируем все неудачные попытки записизименения файлов в системных папках. В закладке Auditing добавляем того же пользователя (в нашем случае User Name)
Как правило большинство проблем возникают в том, что невозможно
что-то сделать с системныи областями (будь то реестр или физические
файлы). И аудит нам помогает установить конкретно, что именно мы не
можем. Когда мы создали аудит по файлам и папкам, то можем
перелогиниться в ограниченную учетную запись с правами Users.
Снова фиксируем системное время. Выжидаем минуты 2 (чтобы не возникло
ошибок при анализе журнала ошибок) и запусакаем требуемую программу.
Когда мы получаем сообщение об ошибке запуска (или любую другую ошибку,
которая не дает нам запустить программу) мы выжидаеп еще минуту-две и
перелогониваемся под учетной записью администратора и открываем журнал
ошибок:
Start -> Run... -> Eventvwr.msc
Переходим в раздел Security и анализируем все ошибки в категории Failed
которые произошли в предварительно зафиксированное время. Анализировать
следует ошибки, в которых требуемая нам программа пыталась совершить запись/изменение
какого-то файла в запрещенной папке (системной папке). В некоторых
случаях проблема кроется лишь в разрешениях реестра, а некоторые – в
разрешениях файловой системы. Если вы там увидели в качестве
обращающегося ресурса требуемую программу, которая обратилась к некому
системному файлу, то стоит открыть разрешение на изменения того файла,
к которому программа обратилась с задачей запись/изменение и которе
фигурирует в разделе Object Name. Т.е. в этой категории мы
вчитываем, что наша программа обратилась к этому файлу (смотрим в
раздел Object Name) и убеждаемся, что программа хотела произвести
запись/изменение файла – это вычитывыаем в разделе Accesses в
отчете об ошибке журнала безопасности. Теперь мы знаем, что за файл
требуется программе для перезаписи и открываем ему разрешение уровня Modify.
Как это делается уже было описано выше (выбираем свойства файла или
папки, переходим на закладку Security, выбираем требуемую группу
пользователей (в нашем случяае группе Users) и задаём ей разрешение на файл или родительскую (корневую) папку файла (если файлов несколько) уровня Modify. То же самое делаем для всех всех файлов, которые фигурируют в журнале событий раздела Security помеченные статусом Failed. Когда эта процедура завершена можем снова логониться в ограниченную учетную запись (в нашем случае член группы Users)
и проверять потворный запуск программы под ограниченной учетной записи.
Если вы дали соответствующие разрешения на реестр и/или файлы/папки, то
программа должна запуститься в нормальном режиме, т.к. мы путём
разрешений реестра и файловой системы устранили все моменты, которые
мешали программе нормально стартовать (запись в файл или системную
часть реестра). Если этого не произошло, то произведите аудит еще раз,
поскольку больше нигде проблема заключаться нигде не может, за
исключением изначальной неработоспособности рограммы, что происходит
крайне редко. Если у вас получилось запустить программу из под
ограниченной учетной записи, то необходимо удалить аудит системного
диска. Удаление происходит в том же месте, где мы его и задавали. В
данном случае логонимся под административной учетной записью
Администратора, выбираем свойства системного диска и переходим на
закладку Security, нажимаем кнопку Advanced, переходим на закладку Auditing и там удаляем нашего пользователя или группу, которую мы контролировали. После чего заходим в
Start -> Run... -> secpol.msc
Локальную политику безопасности Local Policy -> Audit Policy. В нем ищем элемент Audit Object Access и снимаем галочку с чек-бокса Failure,
чем мы отменяем аудит. Нам он на данном этапе не потребуется больше. И,
также снимаем аудит с свойств разрешений файловой системы и реестра,
чтобы убрать абсолютно все хвосты и разгрузить систему.
Здесь я хочу заострить ваше внимание на том, что аудит необходимо включать в:- Локальной политике безопасности;
- том месте, что мы собираемся отслеживать (файловую систему или реестр).
Отслеживание
работы групповых политик вам не понадобится в условиях этой статьи,
поскольку вы редко применяете групповые политики. А так же не забывайте отключать аудит, после проверок, поскольку аудит потр*цензура*ет значительно количество системных ресурсов.
Краткое резюме:
На данном этом этапе мы провели крайне кропотливую работу по аудиту
доступа к системным ключам реестра и системных файлов и папок. Да, этот
процесс относительно долгий и очень муторный (не каждый выдержит анализ
системы аудитом), но с его помощью мы решаем следующие задачи:- делаем
возможным запуск программ из под ограниченной учетной записи (которая
входит в групу Users), которые обычно не хотят запускаться из
ограниченного режима;
- узнаем о возможностях аудита;
- узнаем много нового о технологии NT, которая поможет нам в будущем;
- самосовершенствуемся в познаниях ОС Windows семейства WindowsNT.
Очень
вероятно, что с первого раза у вас может что-то не получиться. У меня
самого с первого раза на всё получалось. Поэтому тут требуется
практика. Необходимо прочитать вышеизложенный материал, повященный
аудиту, разобрать и понять его в теории и применить на практике. Когда
вы сможете решать проблему незапуска какой-либо программы при помощи
аудита, то вы сможете решить проблему и для других программ. И только
тогда, когда вы проработаете этот материал, то перед вами откроются
неограниченные возможности анализа и изучения системы безопасности NT.
Вы сможете отслеживать не только какие-то запреты на уровне файловой
системы и реестра, как было описано в этой статье, но и сможете
отслеживать работу групповых политик и локальных политик безопасности
при помощи тгго же аудита. К слову сказать, при сдаче сертификационных
экзаменов Microsoft по программамам MCP, MCSA, MCSE, MCT экзаминаторы
достаточно большое внимание уделяют именно аудиту. Естественно, что вы
не можете знать всего, но при помощи аудита вы сможете решить бОльшую часть своих проблем.
Если
всё вышеупомянутое было выполнено и вы смогли корректно запустить
программы из пользовательского режима, то переходим к дальнейшему
пункту нашей статьи: применение политик безопасности.
Применение
политик безопасности будет намного проще аудита. Мы не будем особо
мудрить, просто включим несколько важных политик безопасности, которые
помогут нам избежать вредоносное действие атак хакров или прогармных
роботов извне и локально. Тут мы затронем политиу паролей. Известно,
что у многих открыт доступ к системе по различным протоколам (в том
числе и FTP, RDP и другие) с использованием логина и пароля учетной
записи пользователя. Вроде бы ничего страшного, но что делать если
какой-то медвежный бот или юзер запустит программу, которая будет
перебирать все пароли, пока не получит доступ к вашей системе? Но мы не
дадимся этим хакерам и ботам так просто. Мы вообще заставим их, как
говорит нынче молодежь, „бриться бритвой Харьков”. Для этого, как я
упомянул выше, мы создаем достаточно стойкие пароли для учетных
записей. Я настоятельно рекомендую использовать слоджные пароли,
которые включают в себя буквы обоих регистров и цифровые знаки. Не
обязательно придумывать сверзсложный пароль, просто использовать
понятные только вам пароли с такими качествами. И, также, надо будет
бороться с тем, что пользователь решит сменить пароль, игнорировав
требования по сложности пароля. Все эти задачи мы решим букввально в 2
минуты, если не быстрее. Поехали!
Открываем консоль локальной полтиитки безопасности:
Start -> Run... -> secpol.msc
В открывшейся политике переходим в:
Security Settings -> Password Policy
В правом окне мы видим список политик паролей (у меня они уже настроены, но по умолчанию они в статусе Not Configured):
 Уменьшено: 93% от [ 750 на 204 ] — нажмите для просмотра полного изображения
Здесь я поясню значение каждой политики:- Enforce password historyонтролирует
неповторяемость пролей в течении некоторого количества запомненных
паролей. Т.е. когда система требует смены пароля, чтобы пользователь не
смог установить свой предыдущий пароль (не продлил старый пароль или
использовал тот, что уже использовался). В моем случае установленно
значение 10, что означает, что система хранит в памяти 10 предыдущих
паролей пользователя и при смене пароля не даст ему установить пароль,
который был в числе 10 предыдущих и заставит пользователя придумать
новый уникальный пароль.
- Maximum password age – эта
политика устанавливает время жизни пароля, после которого она потребует
смены пароля на новый Я установил значение в 360 дней. Это значит, что
каждый год система будет требовать смену паролей и предыдущей политикой
не позволит задать пароль, который уже использовался. Я не вижу
необходимости делать это чаще, чем раз в год.
- Minimum password age
– задает минимальное время жизни пароля. Обычно пользователю дается
возможность сменить пароль и он может обойти первую политику, изменив
10 раз пароль (чем он удалит пароль из памяти политики, где стоит
память на 10 использованных паролей), который может быть кому-то
известен. Этой политикой мы запрещаем пользлователю менять свой пароль
чаще, чем каждые 10 дней (в моем случае).
- Minimum password length
– задает минимальную длину пароля. Я выбрал число 7. Это значит, что
при замене пароля система не даст изменить новый пароль, который будет
короче, чем 7 знаков. Тут вопросов возникнуть не должно.
- Password must meet comlexity requirements – задает уровень сложности для пароля. Эта политика может иметь значение или Enabled или Disabled.
Если политика включена, то система не даст задать пароль, если он не
отвечает следующим требованиям: наличие букв обоих регистров, цифр и
спец.символов.
- Store passwords using reversible encription – эта политика так же имеет состояние или Enabled или Disabled. Если она включена, то пароля в системе хранятся в незашифрованном виде с возможностью обратимого шифрования и дается возможность восстановления пароля.
Совет:
Настоятельно рекомендую отключать эту политику и держать пароли без
возможности обратимого шифрования и его восстановления, поскольку это
легкая добыча для взломщиков. Мы ее отключаем и выставляем в положение Disabled.
В
этом разделе мы задали правила для создания и метода хранения паролей
для пользователей. Этот раздел достаточно важен, поскольку эти политики
помогут нам быть уверенными, что пароли достаточно сложные и их
подобрать будет нелегко.
Далее спускаемся на подраздел ниже, а именно:
Security Settings -> Account Lockout Policy
Здесь мы видим лишь 3, но очень важные политики:
Уменьшено: 92% от [ 753 на 204 ] — нажмите для просмотра полного изображения 
Поясняю каждую политику:- Account lockout duration
– эта политика показывает время, на которое блокируется учетная запись
пользователя после нескольких попыток ввода неправильного пароля
(количество попыток определяется следующей политикой), что равносильно
перебору пароля. Если учетная запись будет заблокирована, то даже при
вводе правильного пароля пользователь или злоумышленник не сможет зайти
в систему, поскольку учетная запись будет блокирована на некоторое
время. В моем случае учетная запись блокируется на 30 минут, после чего
можно будет еще раз попробовать залогониться.
- Account lockout threshold
– эта политика устанавливает количество попыток подряд для ввода
неправильного пароля, прежде чем учетная запись пользователя будет
блокирована. Я установил значение 10. Это значит, что после 10 раз
подряд ввода неправильного пароля, учетная запись блокируется на время,
указанное первой политикой в этом разделе.
- Reset account lockout counter after
– эта политика задает время хранения количества ввода неправи
Источник: http://forum.freesoft.ru
|
