- •Учебно-методическое пособие
- •«Организация информационной безопасности»
- •Содержание
- •1.1. Анализ угроз безопасности информации. Основные принципы защиты информации в компьютерных системах
- •1.2. Политика mls - многоуровневая политика
- •2. Методы и средства обеспечения информационной безопасности
- •2.1. Особенности применения криптографических методов.
- •Шифровку с открытым ключом можно представить схемой (рис. 2).
- •Необходимо также при рассмотрении данной темы представить информацию о des и гост-28147; rsa и гост-р-3410.
- •2.2 Способы реализации криптографической подсистемы. Особенности реализации систем с симметричными и несимметричными ключами.
- •Классификация криптографических методов.
- •Базовые циклы криптографических преобразований.
- •Требования к качеству ключевой информации и источники ключей.
- •2.3. Элементы и принципы теории кодирования
- •2.4. Коды с обнаружением и исправлением ошибок
- •3. Архитектура электронных систем обработки данных
- •3.1. Представление информации в компьютере
- •3.2. Политика безопасности. Безопасность учетных записей пользователей в Windows nт
- •3.3. Хранение паролей
- •4.1. Возможные атаки на базу данных sam
- •4. 2. Основные методы защиты базы данных sam
- •4.3. Организация средств защиты web-портала
- •5. Стандарты по оценке защищенных систем. Примеры практической реализации. Построение парольных систем
- •5.1. Алгоритмы хеширования
- •5.2. Алгоритмы шифрования
- •6. Основные методы нарушения секретности, целостности и доступности информации. Причины, виды, каналы утечки и искажения информации
- •3. Степень воздействия
- •4. Особенности алгоритма работы
- •1.1. Файловые;
- •1.2. Загрузочные;
- •1.3. Файлово-загрузочные;
- •4. Сетевые;
- •5. Макро-вирусы;
- •2.1. Резидентные;
- •2.2. Нерезидентные;
- •Подозрительные действия при работе компьютера, характерные для вирусов
- •Прямая запись на диск по абсолютному адресу
- •6.2. Технология защищённой связи в электронной коммерции
- •6.3. Защита информации в электронной коммерции и электронной почте
- •7.1. Системы информационной защиты от внутренних угроз
- •7.2. Виды вредоносных программ и тенденции их развития
- •7.3. Безопасность данных в распределённых компьютерных системах
- •1. Защита информации от несанкционированного доступа в открытых версиях операционной системы Windows.
- •2. Подсистема безопасности защищенных версий операционной системы Windows
- •1. Понятие опасности и виды источников опасности.
- •2. Угроза и безопасность.
- •3. Виды безопасности:
- •4. Система мер по предотвращению угроз:
- •5. Как показывает опыт работ зарубежных стран, наиболее уязвимым звеном в охране коммерческих секретов является:
- •8. Конфиденциальные сведения ранжируются по степени ограничения их распространения, а именно:
- •9. Защищенные информационные системы основаны на:
- •Методы и средства обеспечения информационной безопасности
- •Архитектура электронных систем обработки данных.
- •Особенности применения криптографических методов.
4. 2. Основные методы защиты базы данных sam
Ограничение физического доступа к основным серверам сети. Основные рекомендации: не применять попеременную (dual-boot) загрузку; форматировать все разделы под файловую систему NTFS; установить пароль BIOS на запуск компьютера, отключив при этом возможность загрузки со сменных магнитных носителей; тщательно планировать формирование групп пользователей, имеющих право интерактивного доступа к серверам и контроллерам доменов.
Защита базы данных SAM от несанкционированного доступа. Доступ пользователей ко всем копиям базы данных SAM необходимо строго ограничивать. Потенциальным риском является разрешение на доступ к ним даже со стороны администраторов. Например, злоумышленник может попытаться внедрить в систему троянского коня - программу, которая, маскируясь под стандартную программу операционной системы, выполняет действия, облегчающие дальнейший взлом системы. Запущенная по неосторожности администратором, такая программа может, присвоив его права, передать копию SAM на компьютер взломщика. Следует ограничить количество пользователей с правами администратора и членов групп Backup Operators и Server Operators и запретить им запуск на сервере непроверенных программ и просмотр полученных через Internet сомнительных Web-страниц, использующих технологии ActiveX.
Резервный файл SAM.SAV создается при установке или при обновлении ОС и может быть после этого сразу удален. Папку \winnt\Repair надо средствами файловой системы NTFS закрыть для доступа всех пользователей, включая Administrators. Разрешать доступ к этой папке следует только на время работы программы RDISK, которая создает в ней новые архивные копии кустов реестра Windows NT. Принять меры к физическому сокрытию архивных копий и загрузочных дискет.
Отмена кэширования паролей на компьютерах домена. По умолчанию имена и хешированные пароли последних десяти пользователей домена, регистрировавшихся ранее на данном компьютере, сохраняются в его локальном реестре. Локальный администратор данного компьютера в состоянии извлечь эту информацию из реестра, и, если среди десяти пользователей обнаружится администратор домена, его пароль может быть взломан. Кэширование информации на локальном компьютере может быть отменено администратором домена.
Дополнительное шифрование хешированных паролей в базе данных SAM. Для этого можно применить программу SYSKEY фирмы Microsoft, включенную в состав Service Pack 3 for Windows NT 4.0. Запустить ее могут только члены локальной группы Administrators данного компьютера. Уникальный 128-битный ключ для дополнительного шифрования паролей, созданный программой SYSKEY, после ее работы автоматически сохраняется в реестре для последующего применения. Чтобы усилить защищенность паролей, этот ключ перед записью в реестр зашифровывается еще раз другим (тоже 128-битным ключом). Последний называется системным ключом или ключом запуска. Программа SYSKEY предлагает два способа его хранения: в реестре данного компьютера, на отдельной дискете, либо вообще его не хранить. В последнем случае он будет вычисляться (с помощью хеш-функции MD5) каждый раз при запуске системы на основе пароля, набираемого на клавиатуре системным администратором. Пароль указывается в диалоговом окне программы SYSKEY. Это окно будет выводиться перед появлением приглашения Press Ctrl-Alt-Del to log on. Отменить однажды установленный режим дополнительного шифрования паролей нельзя.
Защита учетных записей от подбора. Простейший способ защитить пароли пользователей от вскрытия методом подбора вариантов – включить блокировку учетных записей после определенного количества неудачных попыток входа в систему. Такая блокировка существенно уменьшает возможность подбора пароля той или иной учетной записи пользователя как при интерактивной регистрации, так и при сетевом доступе.
Исключением здесь является учетная запись Administrator, создаваемая при установке системы Windows NT. На нее режим обычной блокировки не распространяется. Программа PASSPROP из Windows NT Resource Kit позволяет установить специальный режим блокировки для учетной записи Administrator. Для этого ее надо запустить с ключом /ADMINLOCKOUT. Если после этого произойдет блокировка учетной записи, администратор сможет войти в систему интерактивно на любом из контроллеров домена, но любые попытки регистрации этого пользователя по сети будут отвергнуты.
Чтобы дополнительно защитить от подбора пароль администратора(т.е. пользователя с RID, равным 500), рекомендуется изменить имя в его учетной записи. После этого можно создать нового пользователя с именем Administrator, предоставив ему минимальные права. Переименованную учетную запись в дальнейшем лучше вообще не применять, а для системных администраторов можно создать отдельные учетные записи и поместить их в локальную группу Administrators или в глобальную группу Domain Admins.
Можно также лишить пользователей этих групп права доступа к Windows NT-компьютеру по сети, особенно если это контроллер домена. В последнем случае, однако, управлять сетью администратору придется непосредственно на этих компьютерах, а не удаленно.
Выбор паролей и их фильтрация. Для повышения устойчивости паролей пользователей к взлому рекомендуется принять ряд мер.
Во-первых, с помощью программы User Manager for Domains необходимо установить минимальную длину пароля, которая должна быть не меньше 8 символов. Во-вторых, следует установить режим устаревания паролей, чтобы пользователи их периодически обновляли, чем выше риск атаки, тем короче должен быть срок устаревания.
Чем шире используемый для построения пароля набор символов и чем длиннее пароль, тем в среднем больше времени понадобится пользователю для его вскрытия. В следующей таблице приведены оценки числа комбинаций символов в зависимости от указанных параметров.
Длина пароля Набор символов
A-Z A-Z, 0-9 A-Z, a-z, 0-9
5 5 5
5 26 - 11,9 млн. 36 - 60,5 млн. 62 - 916 млн.
6 266 - 309 млн. 6
36 - 2,2 млрд. 626 -56,8 млрд.
7 267 - 8 млрд. 367 - 78,4 млрд. 627 -3,52 трлн.
8 268 - 209 млрд. 368 - 2,8 трлн. 628 - 218 трлн.
Для взломщика (обладателя персонального компьютера) большинство этих значений вполне по силам. Кроме того, надо учесть недостаточную устойчивость к вскрытию пароля Lan Manager, хранящегося в базе данных SAM. За счет использования в этом пароле половин, полученных независимо друг от друга, и приведения букв к верхнему регистру максимальное число комбинаций, необходимых для его подбора (даже при длине 14 символов и при использовании букв разных регистров и цифр), все равно остается величиной порядка 367, а не 6214, как в случае пароля Windows NT.
Поэтому администратор должен проинформировать пользователей о необходимости применения как можно более широкого набора букв в разных регистрах и цифр. Запрету подлежат пароли, состоящие только из цифр, и пароли, представляющие слова того или иного языка.
Способы фильтрации паролей в Windows NT. Принудить пользователей вводить устойчивые к взлому пароли поможет уже упоминавшаяся выше программа PASSPROP. После ее запуска с ключом /COMPLEX «правильными» будут признаваться только пароли, сочетающие или буквы в разном регистре, или буквы с цифрами, или буквы со специальными символами, или цифры с символами.
Еще более строгие правила фильтрации вводимых пользователями паролей в Windows NT 4.0 можно установить после запуска Service Pack 2 или 3. Для дополнительного контроля в этом случае применяется специальная библиотека PASSFILT.DLL, которая проверяет, что новый пароль
- содержит не менее 6 символов;
- включает в себя символы из, по крайней мере 3-х наборов из 4-хвозможных: 1) A-Z, 2) a-z, 3) 0-9, 4) специальные символы, например, знаки препинания;
- не содержит в себе имя пользователя или любую часть его имени.
Чтобы включить такой режим проверки, необходимо с помощью программы REGEDIT32 в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa добавить параметр Notification Packages типа REG_MULTI_SZ и вписать в него строку PASSFILT. Если этот параметр уже есть и содержит строку FPNWCLNT, допишите новую строку после существующей. Сам файл
PASSFILT.DLL должен находиться в папке, содержащей системные DLL. Строка FPNWCLNT- это название еще одной динамически загружаемой библиотеки, применяемой в Windows NT для взаимодействия с серверами Novell NetWare при модификации учетных записей пользователей. Этот файл (FPNWCLNT.DLL) находится в папке \winnt\System32 и может быть подменен «троянским конем» («пасущимся в Интернете»). Поэтому, если поддержка NetWare неактуальна, то строку FPNWCLNT лучше удалить, в противном случае защитить файл FPNWCLNT.DLL средствами файловой системы NTFS.