Забезпечення безпеки, Інтернет і інші мережі, Security & Hack, статті

Павло Нагаєв

Тема, хвилююча
всіх адміністраторів і їх “господарів”.
Ідеальною захисту не буває, але є
набір правил, які повинен зробити у
себе кожен адміністратор.
За словами “Permyakov R.” sten@ignis.cs.nstu.ru
“Тут описується 0 (нульовий) цикл
підготовки до заходів із захисту
корпоративних ресурсів з доважком основ
роботи системного адміністратора.
Дані заходи дозволять Вам
захистити мережу ТІЛЬКИ в разі відсутності
зовнішніх комунікацій (Internet)
. А
основною проблемою безпеки
Вашої мережі є наявність в її
структурі серверів на базі NT. Їх
потрібно захищати програмно-апаратними
засобами, а не шляхом відключення
дисководів і написання досовської
програмок .. “Так що прохання
прислухатися до цієї думки.

Фізичний захист
сервера:

  1. Сервер повинен
    знаходиться в окремому приміщенні, куди
    має доступ обмежене коло осіб.
    Добре в цій кімнаті мати
    кондиціонер. Ідеальний варіант
    виділити одну кімнату для МініАТС,
    серверів, шаф для хабів,
    концентраторів і т.д., патч панелі.
    Якщо такої кімнати не існує, то
    спробуйте вибити у начальства шафа
    закривається на ключик, для
    сервера та обладнання. Ну а якщо навіть
    цього не пробити, то поставте його
    ближче до себе.

  2. Опечатати сервер, хоча б
    паперовою стрічкою. Щоб бути впевненим
    , Що сервер у Ваше відсутність не
    розкривали. У Москві зараз роблять
    прекрасні наклейки, які
    наклеюються тільки один раз,
    призначені спеціально для
    опечатування техніки.

Фізичний захист
кабельної системи:

   
Захищати кабельну систему потрібно швидше
все не від зловмисників, а прибиральниць.
Так, так прибиральниць. Пам’ятайте, прибиральниці –
головні вороги проводів. Ідеальний
варіант – короби, але фірмові короба –
дорого. Є альтернативний варіант –
простенькі коробочки на 4 дроти з
кручений парою. Під них немає спеціальних
розеток. Застосовуються в основному при
монтажі електропроводки. На крайній
випадок можна використовувати клеющяеся
хомути або пластмасові кліпси.
Головне – щоб кабель був добре
закріплений, прибрано від зайвих очей і не
валявся під ногами у ваших юзерів ..

Фізичний захист
робочих станцій:

  1. Опечатати
    станції як і сервер, хоча б паперової
    стрічкою. Щоб бути впевненим, що “розумні”
    Вам не розкривали її і не
    змінювали нутрощі комп’ютера. В
    Москві зараз роблять прекрасні
    наклейки, які наклеюються тільки
    один раз, призначені спеціально
    для опечатування техніки.

  2. Якщо
    користувачеві немає необхідності
    користуватися дискетами, то вимкніть
    дисководи фізично. Гірше від цього
    нікому не буде. Залиште дисководи на
    пару машинах, якщо комусь треба
    переписати файл, то нехай кидають його
    на загальний диск і переписують на
    дискету і назад. Ви завжди зможете
    це відстежити користуючись аудитом.

  3. А також
    вимкніть або опечатати
    послідовні і паралельні
    порти.

План дій щодо
захист від входу на сервер або зчитування
з нього даних:

  1. Вимкніть
    дисковод в Setupе або вимкніть його на
    фізичному рівні. Якщо сервер помре,
    то Ви дисковод підключіть, також
    як і відключали. А Rescue Diskette можна не
    створювати, а переписувати файли з
    каталогу winnt \ repair скажімо на ваш FAT диск
    C:. Коли сервер здохне, перепишіть їх
    на дискету і відновіть його. При
    відключеному дисководі, ніхто не
    зможе зняти базу з паролями
    завантажившись з дискети без розтину
    сервера.

  2. Вимкніть завантаження з
    флопів та CD диска.

  3. Якщо у вас диск
    С: відформатований під FAT, приберіть з
    boot.ini рядок: C: = “MS DOS”, для того
    щоб при завантаженні не можна було
    вибирати між завантаженням DOS і WINNT.
    Залиште стару копію, boot.ini. Вона вам
    може стати в нагоді при відновленні
    сервера.

  4. Установіть мінімальну
    довжину пароля не менше 6 символів.

  5. Кількість
    спроб реєстрації не більше 3, і щоб
    обліковий запис блокувалася до
    вашого приходу та перевірки, чому
    неправильно набирається пароль ..

  6. Поставте аудит
    на загальний диск PUBLIC, щоб мати
    можливість контролювати ходіння
    іграшок по офісу. Будьте обережні з
    аудитом, тому що якщо поставити аудит на
    усі події, то у вашому балці ви потім
    нічого не знайдете.

  7. Для начальників,
    у яких стоїть на столі супер крутий
    комп, на якому він грається і повинен
    бути доступ до всіх документів офісу,
    краще зробити доступ READONLY.

План дій щодо
захист робочих станцій:

  1. Вимкніть дисководи в Setupе
    або вимкніть їх на фізичному рівні.

  2. Вимкніть завантаження з
    флопів та CD диска.

  3. Раз це Workstation,
    то постарайтеся якомога менше
    програм зберігати на локальному
    диск. Засовуйте все на сервер і
    нехай люди радіють. Тобто зробіть так,
    що в будь-який момент кожен з
    користувачів міг працювати з будь-
    робочої станції у вашій організації.

  4. Забороніть
    користувачам зберігати файли на
    локальному диску, а через час все
    зайве стирайте без розмов.

  5. Визначте
    список програм і каталогів, які
    повинні бути на робочій станції,
    зробити б ще прогу, яка все
    нові й зайві файли видаляла.

  6. Файлів autoexec.bat і
    config.sys, а також усіх важливих
    конфігураційним файлам зробіть
    аттрибут тільки на читання. Щоб
    поменше народу в config.sys вставляли
    рядки типу PATH = dfg; dfgfg; fdgdf;

  7. Чи не расшарівать
    диски та принтери по можливості на
    робочих станціях. Пам’ятаєте у вас мережа з
    виділеним сервером, а не
    однорангова сітка.

План дій щодо
захист робочих станцій DOS:

  1. Самий
    беззахисний варіант. Єдине
    перевага – поставити
    резидентного шпигуна там де дозволено
    користуватися дискетами.

  2. При вході в мережу
    не забуваєте про параметр net logon / SAVEPW: NO,
    необхідний для того, щоб не
    створювалися файли PWL і всі знали Ваш
    пароль. При такому запуску доведеться
    вводити пароль два рази, але можна
    написати симпатичну програму входу
    в мережу і уникнути цього.

План дій щодо
захист робочих станцій Windows for Workgroups 3.11:

  1. Тут виникає
    така ж проблема, як і при вході в
    мережа з під ДОС. Стандартний клієнт
    Windows зберігає пароль у файлі *. pwl.
    Доводиться від нього відмовитися. Ми з
    колегами придумали два варіанти
    входу в мережу. Перший – пароль та ім’я
    користувача запитує програмка
    на Бейсіку при вході, яка в свою
    чергу викликає bat файл. У bat файлі
    знаходяться наступні команди:

    @echo off
    net logoff  /Y 
    echo %2|net logon %1 %2 /SAVEPW:NO  /DOMAIN:MYDOMAIN /DISCONNECTED
    net use LPT1: \\myserver\6P56561 /Y

    Вобщем то не
    погано, але обізнана людина витягне
    пароль з bat файл швидше, ніж з pwl.
    Вихід знайшли замінивши bat файл на
    досовської прогу. Зараз вона знаходиться
    на випробуваннях, хоча це теж не
    перешкода навіть для юного хакера.

  2. Там де
    дозволено користуватися дискетами,
    поставити шпигуна, який буде
    відстежувати звернення до диска А:,
    записувати в захований текстовий
    файл і опитувати сервер, якщо
    користувач підключений, то скидати
    цю інформацію на сервер.

План дій щодо
захист робочих станцій Windows 9x:

Клієнт Windows 95 більше
захищає сервер від зазіхань “зловмисників”.

  1. Обов’язково заведіть
    глобальні групи і покладіть в Netlogon
    файл config.pol. У полісі обов’язково
    поставте галочки на:

    Пункт з полісі

    Причина

    “Обов’язково
    перевіряти пароль мережею “
    Необхідний
    для того, щоб людина без пароля
    не міг увійти в комп’ютер.
    “Скасувати
    кешування паролів “
    Щоб
    не створювалися файли PWL. Правда
    при цьому пароль при підключенні до
    провайдеру не запам’ятовується теж.
    “Заборонити
    засоби редагування реєстру “
    Щоб
    користувачі не могли нічого
    змінювати в реєстрі
    “Запуск
    тільки дозволених програм
    "
    Пропишіть
    сюди те, що користувачам
    необхідно запускати для
    виконання їх звичайної роботи.
    Наприклад: MS WORD, MS EXCEL, Калькулятор,
    і т.д
    “Прибрати
    з меню пункт ‘Запуск’ “
    Це
    просто зайве для будь-якого
    користувача
  2. Поставте скрінсейвери з
    паролями, причому в налаштуваннях паролів
    вкажіть, щоб використовувався мережевий
    пароль. Це потрібно, щоб ніхто не
    працював на вашому компі, поки ви п’єте
    кави.

  3. У msdos.sys додайте рядок
      [Options]
      BootKeys=0           

    Це необхідно для того,
    щоб не можна було використовувати
    при завантаженні клавіші F5, F8 і т.д.
    Встановлювати його можна тільки
    після того, як Ви переконаєтеся, що
    Ви можете редагувати реєстр на
    цій машині і запускати полісі
    едітор. А також в російській OSR2
    перепишіть scandisk від англійської
    версії. Якщо, що то трапитися з
    машиною, то буде потрібно
    переустановка системи, якщо вище
    описані правила не будуть
    дотримані.

План дій щодо
захист рабочік станцій Windows NT Workstation:

Приблизно такий же як і для
Win9x.

Робота з персоналом:

Всі біди
відбуваються як завжди із за
користувачів. У наш час простіше
підкупити людини і він принесе
інформацію яку завгодно, ніж красти
сервера з підприємств і катувати
адміністратора. Тому необхідно
проводити організаційні заходи
щодо самих користувачів:

  1. При прийомі на
    роботу вказувати в контракті, що
    користувач не повинен розголошувати
    відомості стосуються локальної
    мережі підприємства, а також свій
    пароль і систему каталогів.

  2. Обов’язково
    напишіть інструкції з картинками по
    роботі в локальній мережі для клієнтів
    WFW311, WIN95 і WNWS 4.0. Щоб людина має
    найменші навички роботи на комп’ютері,
    міг після прочитання сісти і працювати.
    Це заощадить Вам купу часу. Прийшов
    нова людина на роботу –
    інструкцію в зуби і вперед.

  3. Не забудьте
    вказати в інструкції для чого
    користувачеві видається пароль. У нас
    був випадок, коли одна дівчина вранці
    входила в мережу, а ввечері виходила з
    неї. А на її компі працювали ще 2
    людини. У її відсутність на сервер
    переписали іграшки уражені OneHalf. В
    іншій кімнаті їх уже встигли
    запустити і викликали нас, тому що WFW311 з цим
    вірусом не працює. Ми глянули в лог,
    заходимо до цієї дівчини в кімнату і
    бачимо, як вона грається в ці іграшки.
    Вона їх запускала з дискети. Ми на неї
    накинулися, а вона каже, що нічого
    не переписувала на сервер і
    переписувати не вміє. Ми пояснили,
    що всі це розуміємо, але ввійшли під її
    ім’ям, значить вона винна. У загальному
    довели дівчинку до сліз і нервового
    куріння сигарет. Робилося це все в
    показово-виховних цілях,
    злочинець потім сам зізнався. Зате
    тепер, коли я видаю користувачеві
    пароль і він пропонує мені ввести 123456,
    я розповідаю йому цю історію. Після
    цього він придумує обладнаний
    пароль і не залишає машину під своїм
    ім’ям без нагляду.

  4. Виділіть одного
    людини і організуйте навчання ваших
    пользоваетелей основним навичкам
    роботи. Якщо немає такої можливості, то
    поясніть або змусьте людей
    відвідувати курси. Ні в якому разі не
    намагайтеся допомогти їм, так Ви станете
    безкоштовним учителем і людиною,
    який виконує чужу роботу.
    Давайте їм поради, підказуйте як
    зробити краще, але ні в якому разі не
    робіть за них. Зробивши раз, Ви потім
    будете зобов’язані це робити.

  5. У кожній
    віддаленої групі користувачів
    прагніть виділити для себе
    нормально думаючих і розбираються в
    компах людей. Багато питань можна
    вирішити по телефону, даючи цьому
    людині команди по телефону.

  6. Час від
    часу натякайте людям, що знаєте
    чим вони займаються на роботі, які
    файли використовують, але не кажіть
    звідки ви це знаєте. Це потрібно, щоб
    чоловік знав, що всі його дії
    фіксуються в комп’ютері і зайвий раз
    нікуди не ліз.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*