Последние Статьи


Самые популярные пароли

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Хакеры и кракеры, или Что такое хорошо и что такое плохо?

Хронология ARPANET - INTERNET

Система защиты в Windows — факт или вымысел

Основные принципы обеспечения безопасности

Диспетчер SAM и служба Active Directory

Административные границы: лес или домен?

Можно ли доверять домену, подключенному к Internet?

Идентификаторы защиты (SID)

Почему нельзя входить в систему с правами администратора из любой точки?

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Ложный ARP-сервер в сети Internet

Ложный DNS-сервер в сети Internet

Подмена одного из субъектов TCP-соединения в сети Internet

Нарушение работоспособности хоста в сети

Мифические удаленные атаки в сети Internet

Выделенный канал связи между объектами распределенной ВС

Основные принципы обеспечения безопасности

  Помните, что безопасность — это не чисто техническое решение, а скорее комбинация технических мер и процессов, которые уникальным образом связаны с конкретной ситуацией. Создайте учетную запись для каждого пользователя

   Факт остается фактом: многие квалифицированные специалисты по обеспечению безопасности не отслеживают всех действий, выполняемых в системе. Создайте учетные записи для всех выполняемых процессов в организации.

    Запретите или сделайте невозможным то, что не разрешено явным образом

  Нет возможности атаковать систему, в которой нет запущенных служб, за очень-очень редким исключением. Таким образом, если закрыть доступ к службам или совсем запретить их работу, то атака станет невозможной.

   Для разрешенных служб, конечно, есть некоторое послабление (например, для таких прикладных служб, как Web-сервер IIS). Если не требуется разрешать доступ к службам, убедитесь, что вы защитились наилучшим образом (например, в главе 10, "Хакинг сервера IIS", вы можете прочитать о методах ограничения работы IIS).

  По причине уникальности отдельных приложений, их необходимо обезопасить, применяя старые добрые методы разработки и лучшие методики реализации.
Всегда устанавливайте пароль, сделайте его сложным и часто меняйте

   Пароли — это несчастье мира безопасности. Они являются основной формой идентификации почти для каждой программы, включая и Windows Server 2003. Простые, неустойчивые ко взлому пароли являются основной причиной проникновения в сети под управлением Windows Server 2003. Всегда устанавливайте пароль (никогда не оставляйте его пустым!), сделайте его подбор как можно более сложным. По возможности применяйте несколько методов аутентификации (например, в Windows Server 2003 достаточно просто можно использовать для этой цели смарт-карты).

   Следите за обновлениями используемого программного обеспечения

  Никто из разработчиков программного обеспечения не знает, какие случайности могут про¬изойти. Когда обнаруживается очередная ошибка в программах от Microsoft, погоня за славой и популярностью приводит к появлению программы атаки в течение 48 часов (exploit — программа, в которой обнаруженная ошибка используется для взлома системы). Это значит, что у вас есть примерно два дня на установку исправлений от Microsoft до того, как кто-нибудь постучится в дверь. Эти вопросы очень подробно описаны в данной книге, поскольку ценой за нерегулярное обновление системы может стать полная и абсолютная дискредитация удаленной системы.

   Для всех типов доступа предоставляйте лишь необходимый минимум привилегий

  Этот принцип наши клиенты понимают не сразу, но отказ от него приводит к наиболее успешному проникновению хакеров в чужие сети. Для защиты критически важных ресурсов от доступа пользователей с недостаточными привилегиями после аутентификации выполняется авторизация.

  Плохо, когда удается взломать ненадежный пароль. Но еще хуже, если учетная запись скромного пользователя, доступ к которой мы только что получили, открывает доступ к корпоративной финансовой информации. Да, придется серьезно потрудиться, чтобы описать все ресурсы конкретного информационного окружения и назначить для каждого из них необходимые прайма доступа, но если этого не сделать, то уровень защиты всей системы будет определяться уровнем защиты самого слабого звена аутентификации —того же самого пользователя с ненадежным паролем.

   Ограничьте доверие

  Ни одна система не является изолированной, включая и Windows Server 2003. Одна из самых эффективных атак на сети под управлением Windows состоит в использовании незначительного компьютера в домене, на котором используется простой для взлома пароль администратора. Затем с помощью методов, описанных в главе 8, "Расширение сферы влияния", мы и запекаем из этого компьютера мандаты действительного пользователя домена, что дает возможность получить сведения об инфраструктуре всего домена и, возможно, о доменах, с которыми установлены доверительные отношения. Запомните, что каждое устанавливаемое доверительное отношение, будь то "официальное" доверие домену Windows Server 2003 или просто пароль, который хранится в командном файле на удаленном компьютере, расширяет необходимый периметр защиты и повышает степень риска.

  Вывод из этого правила: повторное использование паролей должно быть строго запрещено. Можно сбиться со счета, пытаясь вспомнить, сколько раз, пробившись в одну систему Windows и взломав пароли нескольких учетных записей, мы обнаруживали, что эти же пароли дают доступ почти ко всем остальным системам сети (коммутаторам телефонных систем, серверам баз данных UNIX, шлюзам S"NA, к чему угодно).

   Сохраняйте крайнюю подозрительность по отношению ко всем внешним интерфейсам

  Общее число потенциальных изъянов сети может показаться ошеломляющим, но их необходимо изучить, чтобы сосредоточиться на уязвимых местах, представляющих наибольшую опасность. Чаще всего наибольшую степень риска представляют системы, которые взаимодействуют с общедоступными сетями, например Wcb-ссрверы и т.п. Поэтому для таких "внешних" систем необходимо установить более строгие стандарты идентификации, чем для внутренних систем. Помните, что общедоступная коммутируемая телефонная сеть — такой же внешний интерфейс взаимодействия.

   Многоуровневая защита

  Общая система безопасности не должна зависеть только от одного механизма защиты. Если хакеру удастся проникнуть через внешний периметр защищаемой зоны, то атака должна быть остановлена на следующих рубежах обороны. Из этого метода определяется принцип изолированности — если одна из программ или служб будет скомпрометирована, то задача хакера по расширению своих привилегий и компрометации других данных не должна упроститься.

   Бесполезная атака

  При компрометации защищенности, целостности или доступности система должна перейти в нерабочее состояние (другими словами, должен произойти отказ в работе).

   Простота - залог защиты

  Поскольку простота позволяет снизить вероятность возникновения ошибок, то обеспечить безопасность простой системы намного легче, нежели проделать то же самое по отношению к сложной системе. Из этого можно сделать следующий вывод: компьютеры должны выполнять специализированные функции (принцип модульности). Это устраняет возможные конфликты иди ненужную избыточность, что может привести к появлению уязвимых мест в системе безопасности. Системный администратор обязан отстаивать этот принцип выделенных компьютеров, несмотря на стоимость установки и поддержки многочисленных систем. Одним из классических примеров являются наши многолетние споры о том, стоит ли устанавливать сервер IIS и сервер SQL Server на одной машине (мы оставляем решение этого вопроса на усмотрение читателей).

   Определите реальный уровень допустимого риска

  Не позволяйте излишней осторожности мешать ведению бизнеса ( наоборот). Многие из рекомендаций, которые приводятся в этой книге, довольно ограничивают свободу действий. Однако они остаются лишь рекомендациями. Мы вполне осознаем тс технические и личные проблемы, с которыми наверняка столкнуться специалисты по безопасности, пожелавшие реализовать эти рекомендации.

   Технология не защитит вас от социальных атак

  Настоящая книга в основном посвящена техническим атакам — взломам с помощью программ, для выполнения которых нужен компьютер, а для реализации — технические знания. Но в некоторых, самых опасных атаках, которые мы наблюдали, техника вовсе не использовалась. При так называемой социальной инженерии используется обман людей для получения не авторизованного доступа к информации. Эта книга может защитить вас на уровне битов и байтов, но не защитит от социальных атак, при которых техническая сторона вопроса значения не имеет. Изучите общие принципы социальной инженерии самостоятельно и объясните необходимую политику безопасности в своей организации.

   Изучите свои системы и программы лучше врага

  Эта книга написана таким образом, чтобы дать полное представление об обеспечении безопасности в Windows Server 2003. Однако она не предоставляет простого перечня настроек, которые сделают вашу систему пуленепробиваемой. Мы надеемся, что к концу книги вы приобретете глубокое пони¬мание архитектуры защиты Windows Server 2003, узнаете ее слабые стороны и лучшие методы устранения недостатков; а также надеемся, что полученные знания будут актуальны всегда и подготовят вас к любым неожиданностям как со стороны разработчиков последующих версий операционной системы Windows, так и со стороны злоумышленников.
ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Диспетчер SAM и служба Active Directory

Вы забыли пароль. Что делать? Часть 3

Идентификаторы защиты (SID)

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации
Copyright © 2010 BRV ISTCOM S.R.L.- раскрутка сайта